LGPD: Reduza a Superfície de Ataque

#bomdialgpd

Em defesa cibernética chamamos de superfície de ataque ao conjunto de ativos que podem ser explorados por ataques bem sucedidos, com isso, uma forma de defesa é selecionar os ativos ao mínimo necessário e configurá-los de forma protegida, chamamos isso de 'reduzir a superfície de ataque'. Com menos ativos, ou ativos mais enxutos, é possível aumentar o controle e distribuir melhor os recursos de proteção.

O termo superfície de ataque pode ser bem utilizado na proteção de dados pessoais associado aos conceitos de minimização e inventário (só é possível saber o que se pode minimizar a partir de um inventário).

as organizações caminharam para o sentido contrário da minimização

Nos últimos anos, em especial a partir do desenvolvimento da tecnologia de nuvem, as organizações caminharam para o sentido contrário da minimização pois:

• Os recursos tecnológicos ficaram mais acessíveis pelo barateamento do armazenamento de dados, os bancos de dados ficaram mais rápidos e ficou mais fácil utilizar serviços cognitivos, tudo isso levou ao conceito de bigdata, tema que nem é mais tão falado;
• As áreas de TI e marketing sempre buscaram coletar o máximo possível de dados pessoais para alimentar seus sistemas analíticos e de 'know your customer' (uma vez o gerente do banco me ligou para perguntar qual meu prato favorito para atualizar seu cadastro, e ainda me julgou pela minha resposta :) );
• A transformação digital criou um furor por utilizar cada vez mais e mais dados e dispositivos (lembram do 'dado é o novo petróleo'?);
• As mudanças tecnológicas e legais levaram a processos os quais, em alguns casos, foram se acumulando, por exemplo: a coleta de ponto no trabalho pode ser feita em folha de ponto pessoal ou centralizada, catracas, relógios analógicos, reconhecimento biométrico, crachás, beacon, apps e outras, em alguns casos (não são poucos) acumulam.

A minimização corresponde a racionalizar o uso de dados por meio de: desenvolver formulários e telas com menos atributos, unificar canais de comunicação, eliminar suportes redundantes, reduzir papel, e economizar processos e sistemas.

Se você por exemplo identifica uma operação de tratamento de atestados médicos para justificar faltas que podem ser encaminhados por whatsapp, papel, email, sistemas, malotes, folders e sistemas, e reduz para um sistema, além de diminuir o risco de sanções com a LGPD e de ações judiciais, também tornará o processo mais ágil e barato.

Minimização é uma das formas que o DPO mais pode colaborar com o negócio

Minimização é agenda positiva, demanda observação e decisão, e é uma das formas que o DPO mais pode colaborar com o negócio de sua organização.

No livro essencialismo (título em minúscula na capa) o autor Greg McKeown indica 21 passos para tratar o essencial, minimizar é essencial para a saúde da organização.

"O essencialista não faz mais coisas ao mesmo tempo - ele faz apenas as coisas certas" Greg McKeown

Há muita oportunidade para minimizar na organização.

Boa semana!

Obrigado,

Abraço,

FNery.