GUIA DE SEGURANÇA DA INFORMAÇÃO PARA PEQUENAS EMPRESAS

O Brasil está entre os 4 países que mais sofrem ataques hackers no mundo. Mais especificamente o ataque de ransomware, que é aquele em que um hacker criptografa os dados da empresa e exige pagamento de resgate para restabelecer o acesso, ou seja, é basicamente um sequestro dos dados.

A Lei Geral de Proteção de Dados (LGPD) exige que os controladores (responsáveis pelos dados) coletem a menor quantidade de dados pessoais possível dos titulares, mas não adianta aplicar esse Princípio da Minimização se esses dados não estão devidamente protegidos, configurando também uma ilegalidade. É preciso levar em conta que a lei exige o cumprimento de outro princípio: o da Segurança.

Este determina a utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, conforme art. 6º, inciso VII da LGPD.

Para estar de acordo com esse princípio é preciso olhar para a Segurança da Informação (SI), que visa preservar 3 pilares: confidencialidade, integridade e disponibilidade.

Para manter a confidencialidade é preciso estabelecer controles de acesso aos dados, eles não podem ser acessíveis a todos, nem ser acessados de forma simplória. É pela negligência com esse pilar que muitas vezes o ataque de ransomware consegue ser efetivado.

Já a integridade diz respeito à exatidão dos dados, sua fidelidade com a realidade, ou seja, se o dado estiver errado, for alterado ou falsificado, não terá integridade.

Por fim, a disponibilidade significa ter os dados acessíveis a quem tem o direito de acessá-los, quando for preciso. O ataque de ransomware fere principalmente este pilar, ao impedir que a empresa tenha acesso aos dados.

A ausência de qualquer um desses itens é sinal de ausência de segurança e descumprimento da LGPD.

Mesmo que a empresa sofra um incidente de segurança, a demonstração de que houve o cuidado com a proteção dos dados é de suma importância perante possível sanção da ANPD, provando que houve o cumprimento do Princípio da Prevenção.

O investimento em SI pode ser custoso para pequenas empresas, mas existem ações simples que podem gerar um impacto muito positivo.

A primeira medida relevante é a elaboração de uma Política de Segurança da Informação. Melhor do que implementar medidas, é tê-las concentradas em um documento que guie toda a empresa e que sirva como um controle, possibilitando sua perpetuação, mesmo que os funcionários mudem. Além disso, ela será uma demonstração para a ANPD de que a empresa tem se comprometido com o tema.

Outras medidas que vale levar em consideração:

  • Recolher apenas os dados que de fato têm uma finalidade essencial ao negócio;
  • Restringir o acesso aos dados pessoais somente aos funcionários que usem eles;
  • Não compartilhar as mesmas senhas;
  • Ter senhas fortes ou usar um gerenciador de senhas;
  • Usar fator duplo de autenticação;
  • Manter os documentos físicos em gavetas com trancas;
  • Fazer termos de confidencialidade;
  • Fazer backup dos dados e mantê-lo em local diferente dos originais;
  • Fazer as atualizações dos sistemas de segurança;
  • Não clicar em links ou arquivos cuja origem seja desconhecida ou pareça duvidosa.

Texto por: Mariana Lopes

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Rolar para cima