Uma visão tecnológica sobre a LGPD - Review (Parte 4)

Finalmente chegamos ao ultimo artigo da trilha de artigos sobre LGPD, e para relembrarmos os principais pontos das postagens anteriores irei fazer um breve resumo sobre cada um dos temas que abordei:

Lembrando que não estou aqui com pretensão de escrever algum tipo de regra ou descrever algum processo que deve ser "escrito na pedra", meu intuito é apenas dar um direcionamento inicial e começar uma discussão sobre o tema de forma que possamos aprender juntos como seguir daqui pra frente.

Discovery

O inicio de qualquer projeto é muito complexo, pois é extremamente necessário encontrar um "norte" ou direcionamento por onde começar. E este é o principal objetivo de se iniciar com uma descoberta em todo seu ambiente tecnológico, pois com uma coleta detalhada de informações você terá mais insumos que irão facilitar as decisões e com isso reduzir a complexidade para traçar sua estratégia.

É nesse momento que você irá mapear os equipamentos computacionais da empresa, softwares utilizados e a topologia de rede, outros passos muito importantes são: a classificação dos dados, definição do uso dos dados e solicitação da autorização de uso.

Produza e documente o desenho de arquitetura atual para alcançar uma visão mais aprofundada e assim poderá elaborar um novo modelo de arquitetura levando em conta estratégias para melhoria dos processos e segurança do ambiente.

Protection

Quando possuir todas informações do seu ambiente e entender profundamente o estado atual dele poderá iniciar as definições da nova arquitetura e escolha das tecnologias que serão utilizadas para melhoria da postura de segurança cibernética do seu ambiente. É nesse momento do projeto você poderá refazer a arquitetura para fechar as lacunas de segurança e escolher as melhores tecnologias para resolver problemas relacionados as lacunas identificadas no mapeamento e dessa forma poderão ser customizadas para sua real necessidade. 

Audit and Monitoring

Na minha visão existem três principais pontos que reforçam a utilização de um processo bem robusto de auditoria e monitoramento e eles são: Identificação rápida de problemas técnicos, alerta de riscos e geração de relatórios precisos. Falando sobre LGPD todos os pontos são extremamente importantes, porém um ponto que fica muito evidente é que em algum momento a ANPD poderá solicitar um relatório de impacto para sua empresa e por isso fica claro como água que um processo de auditoria e monitoramento bem definido e frequente é essencial no seu planejamento levando em consideração as exigências impostas pela LGPD.

Review

Agora que pontuamos todos os outros tópicos do processo, vamos discutir um pouco sobre a revisão. Na teoria é muito simples, pois é o momento onde você irá realizar uma revisão dos processos, tecnologias, arquiteturas, monitoramento e etc. E considero de extrema importância os seguintes pontos:

Consultoria Legal

Sempre destaco a importância em ter a orientação de um advogado com relação a LGPD, pois como se trata de uma lei existem pontos que devem se considerados e revistos por especialista no assunto. A manutenção e revisão dos processos e melhoria continua sob a ótica legal deve ser sempre considerado por sua empresa.

Treinamento

Existem um série de boas práticas que podem ser realizadas após a implementação da LGPD e muitas destas práticas dependem totalmente que os funcionários estejam na "mesma página" ou seja, todos devem conhecer as novas politicas que foram incorporadas pela empresa, e por isso será extremamente necessário entender qual a nova postura adotada pela empresa. Essa nova abordagem levará algum tempo para a adaptação dos colaboradores e por isso é essencial que treinamentos sejam realizados para que os processos sejam cumpridos da melhor maneira possível.

Analise de logs, auditoria e monitoramento

Este processo deverá ser realizado constantemente, pois muitos insights para melhoria da segurança do seu ambiente serão provenientes desta analise e sem esse tipo de informação você irá tomar decisões apenas baseadas em percepção, o que não é o ideal.

Pentest

Na minha visão esse é um passo extremamente importante para identificar falhas e assim destacar onde há espaço para melhorias na segurança do seu ambiente, e existem algumas formas para realizar esse processo:

Contrate um especialista em segurança e disponibilize as ferramentas e liberdade necessárias para realização dos testes de penetração e segurança no seu ambiente.

Contrate uma empresa especializada em Pentest e assim poderá receber diagnósticos detalhados e com uma visão mais próxima da realidade, pois como não há vinculo com a empresa e conhecimento prévio de como funciona internamente, você poderá alcançar a simulação ideal do cenário que um Hacker teria ao tentar invadir seu ambiente.

Rearquitetura

É momento de repensar e melhorar os processos para que seu ambiente tecnológico alcance uma melhoria continua com relação a segurança cibernética. Reveja a topologia de redes, repense as tecnologias usadas para proteção, refaça o desenho da arquitetura, analise os relatórios gerados pelos monitoramentos e auditorias, melhore os processos e leve sempre em consideração a mudança.

Este processo deve ser vivo e evoluir constantemente, pois novas vulnerabilidades podem ser encontradas ou novas tecnologias podem ser desenvolvidas, causando assim novas realidades quanto a segurança.

Não há espaço para falhas ou comodismo na sua estratégia de segurança, pois pode ser justamente o motivo para que lacunas sejam encontradas ou exploradas.

Conclusão

Este é um processo vivo e continuamente deverá ser ajustado, tenha em mente que as tecnologias avançam com uma velocidade extremamente alta e por este motivo você precisa ter uma postura ativa com relação melhoria da segurança do seu ambiente e dos processos que embarcam a entrega dos requisitos impostos pela LGPD.