Recentemente a Autoridade Nacional de Proteção de Dados – ANPD lançou um guia que orienta os agentes de tratamento a adequarem seus negócios às aplicações de segurança da informação. Neste guia, o tripé: segurança da informação, governança de dados e gestão de riscos se entrelaça a uma conformidade efetiva com o pleno desenvolvimento em um ambiente de negócios. As empresas declaradamente conhecidas como startups e outras de caráter disruptivo relacionadas à inovação também estão inseridas nesse contexto.
Com a Lei nº 13.709 de 2018 em pleno vigor, a grande maioria das empresas correndo para se adequar aos ditames da Lei Geral de Proteção de Dados, procura seguir cegamente as diretrizes legais sem se preocupar tanto com o que vem por trás de um tratamento de dados verdadeiramente adequado: a instituição de um sistema de segurança da informação que esteja consolidado com as principais medidas de segurança aplicáveis na atualidade.
Garantir a Segurança da Informação é garantir a segurança de grande parte, se não a maior, de ativos de todas as empresas. Planos de Ação pautados em ambientes seguros trazem consigo a consolidação de mecanismos que ao mesmo tempo visam à proteção da integridade, disponibilidade e confidencialidade das informações.
Para estabelecer estas garantias, no entanto, é necessário que as empresas conheçam os maiores e mais altos fatores de riscos e de vulnerabilidades aos quais estão sujeitas e, diante desta análise, deve-se estabelecer mecanismos de segurança que possam coibir e mitigar todas as possíveis ocorrências e incidentes. A intenção deverá ser a de gerar um equilíbrio eficiente e de ampliar as probabilidades de ganho e de lucro. Esta análise de riscos e de providências, quanto ao surgimento de eventuais incidentes, devido a situações de risco, deve ocorrer rotineiramente. A periodicidade garante a boa governança e gera inúmeras melhorias sob o aspecto organizacional.
Isso significa que não basta apenas a afirmação de que se está aderente sem que haja efetivamente um sistema próprio de segurança interno que esteja alinhado àqueles propósitos. Por isso é tão importante que os próprios colaboradores estejam alertas e conscientes sobre a criação e a conservação de um ambiente seguro, e que também sejam disponibilizadas a eles regras claras sobre as atividades e comportamentos que geram boas práticas. Uma das formas de garantir isso é a instituição de normas internas que possuam o perfil organizacional alinhados aos principais valores, missão e visão da empresa.
Por isso, independentemente do porte da empresa, a instituição de uma Política de Segurança da Informação é fundamental. Nela, as aplicações sobre os principais critérios de segurança de acordo com as atividades da organização devem ser consideradas e cumpridas. O colaborador, parceiro ou fornecedor, ao assumir o compromisso de cumprir esta política, estará diante de uma ferramenta de boas práticas, viva, que garantirá, para si e para a empresa, as principais diretrizes de segurança que não só direcionada aos dados pessoais, mas a todos os dados, sejam físicos ou digitais.
A Política de Segurança da Informação é como uma coluna que estabelece um direcionamento sob a ótica de gerenciamento de segurança de uma empresa, mesmo de pequeno porte, deve ter e cujas ramificações são os seus normativos, diretrizes e procedimentos, de maneira a garantir o cumprimento efetivo dos artigos 46 a 49 da LGPD e de outros frameworks de privacidade e segurança.
Sendo ou não uma Política simplificada, alguns itens necessitam ser levados em consideração, como: relação de padrões de comportamento relacionados à Segurança da Informação na empresa, delimitação dos princípios que guarnecem a segurança física e digital dos ambientes, a utilização dos serviços prestados da maneira correta e ética, restrições de acesso a determinadas informações e/ou a sites que não estejam relacionados ao desempenho na execução dos serviços, adoção de uma política de mesa limpa e medidas relacionadas a dispositivos móveis e de armazenamento externo, serviços em nuvem ou banco de dados físicos, backup, gerenciamento de senhas individuais, cópias de segurança, segurança nas comunicações e, uma medida muito importante: o estabelecimento de um programa de gerenciamento de vulnerabilidades.
Estas diretrizes precisam ser claras e direcionadas não só aos colaboradores, mas também aos fornecedores e parceiros.
Nos casos dos agentes de pequeno porte, a necessidade deve estar relacionada aos critérios mínimos de segurança, não possuindo a capacidade de onerar substancialmente um negócio, não conseguindo garantir um mínimo de conformidade técnica e jurídica. Nesse meio, o mais importante ainda é o de garantir a estrita conformidade com a Lei, evitando sanções que podem ser desde uma simples advertência até o bloqueio ou a eliminação dos dados pessoais pela empresa, o que inviabilizaria por completo o seu negócio.