Adequação à LGPD exige análise 360º de gaps e impactos

Mapeamento da infraestrutura e dos processos são fundamentais para o compliance com a Lei Geral de Proteção de Dados

Por Rafael Cividanes*

A menos de um mês para a entrada em vigor das sanções estabelecidas pela Lei Geral de Proteção de Dados (LGPD), um grande número de empresas ainda não está em conformidade com a nova legislação. Há dificuldade de muitas delas em adequar seus processos às exigências da lei e até mesmo de mensurar a amplitude do projeto e o investimento necessário.

Pesquisas de mercado mostram que poucas empresas estão totalmente preparadas para cumprir as exigências e ainda não iniciaram nenhuma ação para adaptação à LGPD. O principal desafio a ser vencido para o cumprimento da lei, além da escassez de especialistas em proteção de dados, é o entendimento do gap existente em relação à infraestrutura e às informações que a empresa manipula, mais especificamente no que diz respeito aos controles tecnológicos, gestão, classificação das informações, armazenamento de acordo com a sensibilidade dos dados e a recuperação, caso a empresa venha a sofrer um ataque e o vazamento de dados.

Por isso, o primeiro passo para a adequação à lei é a análise de gap, o que não é simples de fazer, já que envolve várias etapas e um exame minucioso sobre que tipo de dado é tratado pela organização, quais são os processos de coleta e descarte e como é feita a proteção dos dados. A análise de gap é feita após o mapeamento da infraestrutura e dos processos da empresa. O passo seguinte é a implantação da conformidade e, por último, o monitoramento contínuo para garantir a manutenção da estrutura de compliance.

Esse mapeamento tem de ser feito com base no conceito de análise 360º, em que serão avaliadas todas as unidades de negócios da empresa e verificados não só os gaps para adequação à LGPD, mas também em relação a outros padrões que eventualmente ela tenha necessidade de estar em conformidade. A análise 360 faz uma “fotografia” do nível de maturidade da empresa no que se refere à segurança cibernética para definir as metas que pretende alcançar nos próximos 6, 12 ou 18 meses em termos de evolução. Isso facilita também identificar “pontos” nos quais investir para elevar o grau de maturidade.

Outro ponto muito importante de ser destacado é o perfil do especialista envolvido nos trabalhos de conformidade com a LGPD. Devido a transformação digital das empresas na atualidade, que teve uma aceleração com a pandemia, hoje temos um elevadíssimo índice de digitalização das empresas em todos os segmentos. Nesse cenário, é imprescindível o envolvimento dos profissionais de TI e de cibersegurança. Infelizmente, o que se verifica no mercado é a oferta de serviços consultivos na qual esses profissionais são muito pouco utilizados — ou até mesmo não são —, o que é grave, uma vez que eles têm papel fundamental para a entrega, no final do dia, da adequação à LGPD, otimizada e eficiente. 

As empresas precisam ter em mente que a adequação à LGPD deve ser feita não apenas para evitar a aplicação de sanções, mas para proteger os dados dos seus clientes, funcionários e da própria operação. Infelizmente, muitas organizações ainda veem o investimento em proteção de dados e segurança cibernética apenas como custo e não como um investimento importante para evitar possíveis prejuízos e danos à sua reputação. Hoje, com a explosão de ataques de ransomware, com pedidos de resgate de alto valor, o investimento em segurança da informação ajuda as empresas a identificar os riscos e a responder rapidamente na eventualidade de um vazamento preservando sua imagem.

*Rafael Cividanes é diretor de cibersegurança da Kryptus.

LGPD

A consultoria LGPD da Kryptus vai muito além do diagnóstico de conformidade.


Somos capazes de entregar uma implantação que agrega todo o projeto de consultoria.