#bomdialgpd

A primeira linguagem de programação que usei foi o MBasic em um sistema operacional CP/M de 8 bits em 1982, utilizando disquetes. (off topic: quem estiver interessado vou colocar no comentário o link com o pdf de nosso primeiro livro de linguagem C em 1986)

Bom, a introdução foi para dizer que o MBasic foi o primeiro produto de sucesso da Microsoft e hoje vamos falar sobre a conformidade com a LGPD com o ambiente Microsoft 365, que oferece recursos de adequação do mais simples ao mais avançado. Para estar em conformidade com a LGPD na infraestrutura de TI é necessário ter um planejamento, será que faz sentido investir em sistemas avançado se os seus usuários ainda usam senhas com 8 caracteres e não tem pelo menos dois fatores de autenticação?

Em termos de ambientes corporativos, me parece que o Microsoft 365 apresenta o melhor conjunto de recursos para atender a segurança cibernética. A Microsoft não tem um software para gestão da LGPD, mas seus recursos para administrar a infraestrutura e segurança são excelentes.

Além de admirar a companhia - não ganho nada promovendo Microsoft - pretendo aqui expandir algumas conversas que tenho tido sobre o tema e falar um pouco sobre os recursos do Microsoft 365 que usamos para aumentar a nossa segurança cibernética e estar em conformidade com a LGPD.

• Nosso ambiente é 100% nuvem, no final de 2019 concluímos a transferência de mais de 200 servidores para o Azure (o que nos ajudou muito quando veio a pandemia) e desativamos o datacenter;
• Adotamos o AD em nuvem, o tamanho mínimo de nossa senha são 14 caracteres e todos adotam dois fatores de autenticação, estamos estudando o conceito de 'passwordless';
• Estamos trabalhando para que os software de terceiros que utilizamos se integrem com o Azure AD, por exemplo: nosso CRM não é integrado, por isso temos que ter logins e senhas redundantes, além de adotar mais uma política de segurança diferente. Nos sistemas integrados ao AD, não é preciso nem logar; uma vez autenticados, o acesso é direto;
• O ambiente está configurado para classificar a informação em todos os arquivos e emails, qualquer usuário mandar um email precisa antes definir a sua classificação, achei que ia ser chato, mas todos se acostumaram;
• Todos os dispositivos (computadores e smartphones) são gerenciados de forma centralizada em termos de segurança, configuração e gestão de ativos;
• Os equipamentos de propriedade dos usuários e que usam principalmente o Outlook e Teams adotam containers e somente são acessados se integrados à identificação biométrica do equipamento;
• Os emails e arquivos são avaliados pelo sistema de DLP (data loss prevention) e o encarregado (DPO) recebe os alertas de movimentos de dados pessoais;
• O MS Teams tem configuração rígida de segurança em termos de gravação de videoconferências, segurança de arquivos, organização de equipes e manipulação de arquivos. Hoje os times internos só usam o chat do Teams, não é possível controle 100% mas acho que são bem poucos os grupos internos de Whatsapp;
• Quanto ao Whatsapp, no início da pandemia procuramos substitui-lo pelo Teams mas não conseguimos: não funcionava. Acho que o Teams é um dos software que mais melhorou e teve incremento de performance. No caso do Whatsapp me parece que um problema aumentou: quem retira das listas as pessoas que saem da organização ou mudam de departamento?
• Criamos um modelo sem papel com o MS Forms, começando pelo RH toda a coleta de dados passou a circular de forma segura no Forms, o Forms nem sempre é uma solução definitiva, afinal é um formulário, mas foi ótimo para organizar os processos e criamos um sistema RH Manager a partir de nossas plataforma, um spoiler: fizemos até um bot para o Teams que está entrando no mercado em breve;
• Indexamos as bases de dados e arquivos com o eDiscovery e fazemos as buscas por ele, como está tudo no mesmo ambiente (onedrive, teams, outlook, sharepoint, bancos de dados, ...) parece ser mais natural e seguro;
• Adotamos a auditoria e os alertas do Azure;
• Em nossa apresentação interna de segurança me surpreendi com a facilidade da interface dos recursos de segurança do Azure;
• O Azure mantém recomendações de configurações e indicadores de segurança e compliance, utilizamos eles na gestão de nossa certificação ISO 27001 e 27701, sabemos nossas notas (indicadores?) em termos de segurança, GDPR, LGPD, ISO 27001/27701, CIS e NIST. Também podemos comparar nossas notas com diversos tipos de organização;
• As mensagens e emails são criptografadas.