Bom Dia LGPD

LGPD: Reduza a Superfície de Ataque

#bomdialgpd


Em defesa cibernética chamamos de superfície de ataque ao conjunto de ativos que podem ser explorados por ataques bem sucedidos, com isso, uma forma de defesa é selecionar os ativos ao mínimo necessário e configurá-los de forma protegida, chamamos isso de 'reduzir a superfície de ataque'. Com menos ativos, ou ativos mais enxutos, é possível aumentar o controle e distribuir melhor os recursos de proteção.


O termo superfície de ataque pode ser bem utilizado na proteção de dados pessoais associado aos conceitos de minimização e inventário (só é possível saber o que se pode minimizar a partir de um inventário).


as organizações caminharam para o sentido contrário da minimização


Nos últimos anos, em especial a partir do desenvolvimento da tecnologia de nuvem, as organizações caminharam para o sentido contrário da minimização pois:


  • Os recursos tecnológicos ficaram mais acessíveis pelo barateamento do armazenamento de dados, os bancos de dados ficaram mais rápidos e ficou mais fácil utilizar serviços cognitivos, tudo isso levou ao conceito de bigdata, tema que nem é mais tão falado;
  • As áreas de TI e marketing sempre buscaram coletar o máximo possível de dados pessoais para alimentar seus sistemas analíticos e de 'know your customer' (uma vez o gerente do banco me ligou para perguntar qual meu prato favorito para atualizar seu cadastro, e ainda me julgou pela minha resposta :) );
  • A transformação digital criou um furor por utilizar cada vez mais e mais dados e dispositivos (lembram do 'dado é o novo petróleo'?);
  • As mudanças tecnológicas e legais levaram a processos os quais, em alguns casos, foram se acumulando, por exemplo: a coleta de ponto no trabalho pode ser feita em folha de ponto pessoal ou centralizada, catracas, relógios analógicos, reconhecimento biométrico, crachás, beacon, apps e outras, em alguns casos (não são poucos) acumulam.


A minimização corresponde a racionalizar o uso de dados por meio de: desenvolver formulários e telas com menos atributos, unificar canais de comunicação, eliminar suportes redundantes, reduzir papel, e economizar processos e sistemas.


Se você por exemplo identifica uma operação de tratamento de atestados médicos para justificar faltas que podem ser encaminhados por whatsapp, papel, email, sistemas, malotes, folders e sistemas, e reduz para um sistema, além de diminuir o risco de sanções com a LGPD e de ações judiciais, também tornará o processo mais ágil e barato.


Minimização é uma das formas que o DPO mais pode colaborar com o negócio


Minimização é agenda positiva, demanda observação e decisão, e é uma das formas que o DPO mais pode colaborar com o negócio de sua organização.

No livro essencialismo (título em minúscula na capa) o autor Greg McKeown indica 21 passos para tratar o essencial, minimizar é essencial para a saúde da organização.


"O essencialista não faz mais coisas ao mesmo tempo - ele faz apenas as coisas certas" Greg McKeown


Há muita oportunidade para minimizar na organização.


Boa semana!


Obrigado,


Abraço,


FNery.



(Art 46 .. 49) Segurança da Informação (Art 50) Boas Práticas e Governança
Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato