#bomdialgpd
Na sexta passada falamos sobre a estatística dos incidentes comunicados ao ICO, o regulador do Reino Unido (link no comentário), que mostra o perfil dos incidentes registrados nos últimos cinco anos e é um ótimo conteúdo para ser lido pelas equipes de conformidade com a LGPD.
Entendo que esta estatística é uma boa visão da realidade em um país com alta maturidade em proteção, de dados, como um regulador que atua há ** anos, e pode mostrar uma situação diferente da esperada.
Os números são apresentados por diferentes atributos, um bom gráfico é a estatística dos tipos de incidentes que destacam em primeiro lugar o envio de dados pessoais por email para destinatários errados (17%) que poderia ser adicionado ao o erro no uso de BCC (3%), em segundo lugar (13%) estão outros incidentes "não cibernéticos" (o ICO categoriza os incidentes como cibernéticos ou não cibernéticos), e em terceiro o conhecido phishing (12%).
Estes incidentes do topo da lista podem ser prevenidos por meio de ferramentas como filtro ou DLP, mas a principal providência é a educação, conscientização e engajamento. Tenho visto implementações de gestão de incidentes que são focadas exclusivamente em incidentes cibernéticos, mas é importante entender a natureza dos incidentes com dados pessoais, a classificação do ICO é uma boa maneira.
A LGPD trata de dados de pessoas, estes dados são tratados por pessoas, por isso as ações educacionais são de alta relevância. Para fortalecer este argumento, vale notar que o tipo de dados pessoais mais comum em incidentes (31%) é de colaboradores (employers), ou seja, as mesmas pessoas que são o alvo da educação e que devem cumprir as políticas.
Boa semana,
Aquele abraço,
FNery
