Incidentes de segurança estão cada vez mais comuns na era digital. Ataques de ransomware, vazamentos causados por colaboradores, entre outros, são causadores de danos reputacionais irreparáveis para as empresas. Neste artigo, vamos falar sobre algumas medidas que podem ajudar a sua startup a diminuir o risco de incidentes de segurança.
Segurança da Informação pode ser entendida como a capacidade de prevenir, detectar, responder e de se recuperar rapidamente de uma ameaça cibernética, a fim de proteger a confidencialidade, integridade e disponibilidade dos ativos tecnológicos e informações. Fortalecendo o sistema de segurança da informação e adequando sua empresa de forma eficaz a LPGD, sua startup passará por uma série de processos que servirão para mitigar riscos operacionais. Dessa forma, são algumas medidas que sua empresa deve tomar:
1. Tenha um programa de compliance e governança em proteção de dados pessoais
Um programa bem estruturado de compliance em proteção de dados é essencial para diminuir os riscos, para as empresas, de sofrerem danos financeiros (ex: multas e indenizações) em decorrência de violações à legislação. O apoio da alta administração da empresa (ex: conselho, diretores, sócios, etc), é o primeiro pilar de um sólido programa de compliance de proteção de dados. O primeiro passo é conscientizar os heads da empresa sobre a legislação e os riscos, principalmente financeiros, de deixar que a empresa continue alheia a alteração legislativa.
Outro pilar importante é designar pessoas, dentro da startup, para gerirem e trabalharem no programa de compliance, encabeçadas pelo encarregado, caso necessário. Eles serão os responsáveis por implantar e fazer acontecer o programa dentro da empresa.
2. Faça uma análise de riscos de Segurança da Informação
Juntamente com o setor de Segurança da informação, a empresa irá traçar os riscos, ameaças e vulnerabilidades relacionadas à proteção dos dados os quais faz o tratamento, tomando medidas para sua minimização e fazendo registro de eventuais riscos inerentes.
Para isso deverá verificar: ameaças, que são causas de um incidente gerador de danos, em potencial e que podem ser intencionais ou não Intencionais, não humanas ou humanas; vulnerabilidades, que são pontos de fraqueza de um ativo; risco, que é a probabilidade de vulnerabilidades serem exploradas por agentes causadores de ameaças; e o próprio incidente que se refere a quando uma ameaça se concretiza.
Durante a Análise de Riscos poderão ser mapeados os seguintes tipos de risco:
- Risco Inerente – Risco ao qual a organização está exposta, desconsiderando qualquer medida mitigatória adotada, capaz de alterar a sua probabilidade e impacto.
- Risco Residual – Risco remanescente, após a adoção de medidas e controles mitigatórios, que alteraram a probabilidade e impactos dos Riscos.
3. Tenha Polícias de Segurança da Informação
De acordo com a Autoridade Nacional de Proteção de Dados em seu Guia de Segurança da Informação Para Agentes de Tratamento de Pequeno Porte:
A política de segurança da informação - PSI, consiste em um conjunto de diretrizes e regras que tem por objetivo possibilitar o planejamento, a implementação e o controle de ações relacionadas à segurança da informação em uma organização. Essa política pode ser endereçada por organizações de qualquer porte e compreende uma boa prática para a gestão da segurança. Muito embora não seja obrigatória, a elaboração dessa política e sua implementação são incentivadas pela ANPD aos agentes de tratamento de pequeno porte porque evidenciam boa-fé e diligência na segurança dos dados pessoais sob sua custódia e fornecem as diretrizes para a gestão da segurança da informação.
A Política deve ser condizente com:
I – o porte, o perfil de risco e o modelo de negócio da startup.
II – a natureza das suas atividades e a complexidade dos serviços e produtos por ela fornecidos.
III – a sensibilidade dos dados e das informações sob responsabilidade da empresa.
Dessa forma, é muito importante que sua startup tenha o apoio de um time especializado para que este consiga ajudá-lo a encontrar soluções jurídicas para Gaps, na adequação a sua empresa a LGPD e consequentemente se prevenir de incidentes de segurança.
Por Lais Arduini Dias