Em fevereiro de 2023, a Autoridade Nacional de Proteção de Dados (ANPD) começou a aplicar multas por infrações à LGPD (Lei Geral de Proteção de Dados Pessoais), lei que entrou em vigor em setembro de 2020. A ANPD é o órgão responsável por garantir o cumprimento da LGPD, podendo aplicar sanções em casos de não conformidade e, até então, havia adotado uma postura educativa, focada em esclarecer e regulamentar a lei.
Com o advento das multas, é importante que as empresas aperfeiçoem a gestão dos riscos de acesso a dados pessoais, pois quando olhamos para as multas aplicadas na União Europeia por descumprimento ao Regulamento Geral de Proteção de Dados Pessoais (RGPD ou GDPR) vemos que uma parte significativa das multas foi aplicada por falta de controle no acesso aos dados pessoais, resultando em acessos em violação à finalidade do tratamento e, até mesmo, em vazamento em grandes volumes de dados.
Uma das melhores formas de gerenciar os riscos dos dados pessoais tratados pela empresa é ter uma visão centralizada e em tempo real de quem acessa esses dados. Continue lendo o artigo e veja como isso é possível por meio de um dashboard.
Por onde começar o dashboard?
De maneira resumida, um dashboard oferece uma visualização completa dos acessos aos dados pessoais e pode identificar de forma ágil quais áreas da empresa estão mais vulneráveis a ataques e violações. Sabendo disso, vamos começar o nosso exemplo levando em conta o seguinte cenário:
- A empresa trata dados pessoais de funcionários, clientes e prospects (potenciais clientes).
- O tratamento desses dados, incluindo o armazenamento, é feito pelos seguintes sistemas:
- Sistema de Folha de Pagamento
- Sistema de CRM
- Sistema de Saúde e Segurança Ocupacional
- A empresa utiliza o HORACIUS IAM para gerenciar as identidades e os acessos, mas os conceitos aqui apresentados se aplicam a qualquer sistema.
Consideramos, neste exemplo, que os seguintes perfis de acesso são concedidos para os usuários dos sistemas acima:
| Sistema | Perfis |
| Sistema de Folha de Pagamento |
|
| Sistema de CRM |
|
| Sistema de Segurança e Saúde Ocupacional |
|
Com base no inventário de dados da empresa em nosso cenário, sabemos que a empresa trata dados pessoais de funcionários, incluindo dados pessoais sensíveis, e dados pessoais de clientes e potenciais clientes (prospects). Os dados pessoais de funcionários estão armazenados nos sistemas de Folha de Pagamento e de Segurança e Saúde Ocupacional, enquanto que os dados pessoais de clientes e potenciais clientes estão no sistema de CRM.
Assim, vamos criar atributos dentro do HORACIUS IAM para indicar o acesso a esses diferentes tipos de dados pessoais. Vamos criar atributos “Tipo” conforme a tabela a seguir:
| Título do Atributo | Identificador do Tipo | Descrição |
| Acessa Dados Pessoais de Funcionários | DADOS_PESSOAIS_FUNCIONARIOS | Atributo que indica que o perfil permite acesso a dados pessoais de funcionários. |
| Acesso a Dados Pessoais de Clientes/Prospects | DADOS_PESSOAIS_CLIENTES | Indica que o perfil permite acesso a dados pessoais de clientes e potenciais clientes (prospects). |
| Acesso a Dados Pessoais Sensíveis | DADOS_PESSOAIS_SENSIVEIS | Indica que o perfil tem acesso a dados pessoais sensíveis. |
E isso completa a nossa organização dos dados e perfis no HORACIUS IAM, pois usando um identificador para cada atributo, poderemos no dashboard de riscos, consultar os perfis de acesso com base nesse identificador do atributo “Tipo”. Observe que fizemos uma simplificação, indicando tratamento de dados pessoais de clientes e potenciais clientes no mesmo atributo, mas no seu caso real, pode ser necessário usar dois atributos diferentes.
A tela abaixo ilustra a tela de criação de um dos atributos acima:
Agora, vamos criar gráficos e outros itens do dashboard de riscos de acessos a dados pessoais, respondendo a cada uma das perguntas dos títulos a seguir.
Quem acessa Dados Pessoais?
Neste caso, estamos focando apenas em dados pessoais não sensíveis, ou seja, dados pessoais de funcionários, clientes e potenciais clientes, indicados pelos atributos DADOS_PESSOAIS_FUNCIONARIOS e DADOS_PESSOAIS_CLIENTES.
Para isso, vamos criar dois gráficos, com as seguintes informações:
- Nomes das pessoas com acesso a dados pessoais não sensíveis
- Cargos das pessoas com acesso a dados pessoais não sensíveis
Para o primeiro gráfico, vamos usar uma representação denominada “tree map”, exibindo os nomes das pessoas, os títulos dos atributos e quantidade de perfis que as pessoas possuem em cada um dos atributos. Nosso gráfico fica assim:
No segundo gráfico, vamos exibir um gráfico de pizza, com os cargos dessas pessoas e as quantidades de acessos por cargo, com o objetivo de identificar quais cargos possuem mais acessos e também identificar cargos que não deveriam ter esse tipo de acesso.
Quem acessa Dados Pessoais Sensíveis?
Dados pessoais sensíveis, que incluem origem racial ou étnica, convicções religiosas, opiniões políticas, saúde ou vida sexual, são especialmente protegidos pela LGPD. A violação da confidencialidade desses dados pode trazer prejuízos relevantes para a empresa, tanto do ponto de vista de imagem pública quanto multas por descumprimento da lei.
Aqui, vamos criar dois gráficos, usando as mesmas representações da seção anterior, iniciando pelos nomes das pessoas e as quantidades de acessos.
E, agora, os acessos a dados pessoais sensíveis, organizados por cargo e quantidade de acessos de cada cargo.
Como ter uma Visão Geral de Todos os Acessos?
Para ter um visão geral de todos os acessos a dados pessoais, tanto sensíveis quanto não sensíveis, vamos usar um gráfico com uma visualização “sunburst”, que permite explorar a hierarquia dos acessos, do sistema ao perfil de acesso até a pessoa que possui o perfil, simplesmente passando o mouse por cima do gráfico.
O gráfico abaixo exemplifica essa visualização no cenário deste artigo:
Como investigar mais detalhes sobre os Acessos aos Dados Pessoais?
Para finalizar, vamos atender a necessidade de investigar os acessos, usando uma exibição em formato tabela, com campo para pequisa.
Assim, digitando nome da pessoa, cargo, título do perfil de acesso ou outro texto desejado, podemos filtrar apenas os dados desejados para uma investigação. Por exemplo, para ver uma lista das pessoas que possuem acesso a dados pessoais de clientes, basta digitar o título do atributo desse tipo: Acesso a Dados Pessoais de Clientes/Prospects. Ou, simplificando, bastaria digitar a palavra “clientes”.
Aperfeiçoamentos do dashboard
Além do que vimos neste artigo, a LGPD demanda outros controles. Por exemplo, ela exige controles sobre transferência internacional de dados, armazenamento em outros países e compartilhamento com outras partes.
Tudo isso pode ser visualizado via dashboards de riscos, utilizando atributos, níveis de risco e outras formas de organização oferecidas pelo HORACIUS IAM. A figura abaixo exibe o dashboard completo, com todos os gráficos criados neste artigo.
Todos os gráficos deste artigo foram criados com o módulo de identity intelligence do HORACIUS IAM, o HORACIUS Intell.
Assista ao nosso vídeo e veja na prática como funciona um dashboard de rsicos.
Fale com um de nossos especialistas e veja como o HORACIUS IAM é fundamental para sua empresa garantir a conformidade com a LGPD ao mesmo tempo que reduz riscos e aumenta a produtividade por meio da automação da concessão de identidades e acessos.
Aproveite e leia também:
- IAM & PAM Gerenciamento de Identidades e Acessos Privilegiados
- Acessos indevidos: quais os impactos para a segurança da empresa
- Reconciliação e Atestação de Acessos. Aprenda a diferença e como implantá-los de maneira eficaz!
