Incidente e Resposta | LGPD, Anonimização, Seguranca, Sdwan

LGPD. Suporte a Incidentes.

As empresas tem uma grande e notória preocupação que com os investimentos a realizarem para o compliance da LGPD, que não sejam suficientes para garantia a correta interpretação, adequação a ela.

Esses investimentos tem que ir no encontro de atender da forma mais rápida possível ao que a LEI diz:

CAPÍTULO VII
DA SEGURANÇA E DAS BOAS PRÁTICAS

Seção I
Da Segurança e do Sigilo de Dados

Art. 47. Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista nesta Lei em relação aos dados pessoais, mesmo após o seu término.

Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

Nosso conceito para uma abordagem completa se estende pelo tema de que nada pode ser perfeito, e os processos / sistemas / serviços mais avançados, podem ter falha e acontecer algum vazamento.

Ao encontro dessa possibilidade, desenvolvemos serviços para situações de PostMortem, ou situação de Vazamento, fornecendo ferramentas, soluções que auxiliam a figura do Data Protection Officer (DPO) no cliente, para em caso de incidentes desse tipo, ele possa apresentar para ANPD, todas as métricas, relatórios e tarefas desenvolvidas para contenção e mitigação de qualquer tipo de incidentes.

Nosso processo para desenvolver uma Solução de Prevenção de Vazamentos e Incidentes

(SPVI), se baseia em pilares fundamentais que atendem ao padrão NIST, assim como artigos da LGPD:

Identificação. Identificar os problemas antes que aconteçam, efetuando analises para detecção de anomalias ou alterações de comportamento na rede, sistemas e usuários.
Detecção. Para identificar a localização da origem de uma anomalia ou alteração.
Proteção. Blindar a empresa e o negócio de forma eficiente, prática e com credibilidade perante agencias reguladoras. (Liability).
Resposta. Definir plano de ação, a ser ativado, em caso de ataque ou vazamento, depois de por e-mail, sms.
Recuperação. Definir plano de ação até recuperação e controle do ambiente

As diferentes etapas que devem ser consideradas, envolvem desde proteção a estações de trabalho, incluindo o monitoramento de snapshots de fotografias ou vídeos,

Análise de Vulnerabilidades.
Análise do negócio , assim como impactos.
Análise e classificação dos tipos de origem de dados.
Análise de Riscos na TI.
Análise de Riscos na Vigilância Patrimonial.
Detecção de Riscos na Infra-Estrutura de dados.
Hardening de ativos.

Arquitetura de solução, fornece relatórios de forma, diária, semanal, mensal, ou online, de forma que o DPO e os administradores da empresa estejam sempre informados em tempo, sobre o que acontece com os dados próprios ou de terceiros nas estruturas internas.

Para ter informações sobre esse tema na LEI, pode se referenciar abaixo:

Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

§ 1º Ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular.

§ 2º Na aplicação dos princípios indicados nos incisos VII e VIII do caput do art. 6º desta Lei, o controlador, observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados, poderá:

I - implementar programa de governança em privacidade que, no mínimo:

g) conte com planos de resposta a incidentes e remediação; e

h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;

Legal & Governança.

D.P.O.

Anonimizar.

TI. & Cibersegurança.

Suporte Incidentes.

Voltar.

Serviços & Soluções Corporativas.

Fornecimento de um conjunto completo de soluções de TI