(11) 5521-2021 [email protected]

Dando continuidade ao artigo anterior, vamos apresentar de forma bem prática e direta, não só o que fazer, mas o que fazer primeiro.

Vamos colocando para rodar um componente por vez, e logo ali, teremos um Sistema de Gestão de Segurança, ajustado para a necessidade de atender à LGPD.

Para dar uma base prática, um exemplo da solução da E-TRUST, projetada para ser o suporte tecnológico para o atendimento as normas e legislações, como SOX e LGPD.

Escopo

O princípio de tudo é definir qual o escopo. Assim listamos os principais ativos e informações que compõe o ambiente utilizado pela organização para executar as atividades.

Para registrar as informações dos ativos, bem como seus responsáveis, utilizamos o módulo de Ativos do Sistema HORACIUS LGPD. Com esta primeira ação, já é possível gerar relatórios listando os ativos de informação, os responsáveis, níveis de risco entre outras informações importantes.

Análise dos Riscos e Apresentação dos Resultados

Existem várias metodologias de Análise de risco e Impacto, com diferentes níveis de profundidade. A melhor de todas é aquela que você executa, documenta e apresenta para os donos do ativo.

Para apoiar a execução da análise, utilizamos o módulo de Análise de Risco do HORACIUS LGPD, que já vem com uma listra cadastrada com vulnerabilidades e ameaças, originadas de normas e boas práticas.

Feita a análise e registrados dos resultados no sistema, utilizamos o módulo de Mapa de Risco para apresentar de forma gráfica e com uma linguagem de negócio, ou seja, o mapa apresenta os riscos, o impacto, a probabilidade e risco residual.

Ao final deste processo, o responsável pelo sistema ou informação, é convidado a aprovar o mapa de risco.

Documentação e Divulgação das Politicas, Procedimentos e Atividades

Feita a análise, e aprovado o mapa com o responsável, é chegado o momento de gerar os documentos que descrevem como será efetivamente a implantação e execução dos controles.

Desta vez utilizamos o módulo de Documentos do HORACIUS LGPD, publicando os documentos e configurando um fluxo de aprovação e revisão.

O mínimo necessário são os documentos de política e alguns procedimentos descrevendo os controles e definindo os responsáveis. Para cada um destes documentos, utilizamos o módulo de Atividades do HORACIUS LGPD, configurando os executores e indicando se deve ser gerado um incidente de segurança, em caso de não execução.

Gestão de Incidentes e Melhoria Constante

Veja como já evoluímos, já identificamos os riscos, apresentamos para os responsáveis, coletamos as ações de mitigação e distribuímos as tarefas.

Entra agora o processo de gestão propriamente dito, que é monitorar os incidentes de segurança e preencher os indicadores que usaremos para medir os resultados de nossas ações. De acordo com a nossa performance, que podemos acompanhar através dos indicadores, e levando em conta os incidentes de segurança, podemos planejar e ajustar os controles.

Não esgotamos o assunto, e nem este é o objetivo destes artigos, mas acreditamos firmemente que as ações práticas, suportadas pelo sistema HORACIUS LGPD, é um excelente ponto de partida.

Gostou? Quer saber mais? Então assine nossa newsletter e recebe em primeira mão conteúdos e eventos da E-TRUST: