Dando continuidade ao artigo anterior, vamos apresentar de forma bem prática e direta, não só o que fazer, mas o que fazer primeiro.
Vamos colocando para rodar um componente por vez, e logo ali, teremos um Sistema de Gestão de Segurança, ajustado para a necessidade de atender à LGPD.
Para dar uma base prática, um exemplo da solução da E-TRUST, projetada para ser o suporte tecnológico para o atendimento as normas e legislações, como SOX e LGPD.
Escopo
O princípio de tudo é definir qual o escopo. Assim listamos os principais ativos e informações que compõe o ambiente utilizado pela organização para executar as atividades.
Para registrar as informações dos ativos, bem como seus responsáveis, utilizamos o módulo de Ativos do Sistema HORACIUS LGPD. Com esta primeira ação, já é possível gerar relatórios listando os ativos de informação, os responsáveis, níveis de risco entre outras informações importantes.
Análise dos Riscos e Apresentação dos Resultados
Existem várias metodologias de Análise de risco e Impacto, com diferentes níveis de profundidade. A melhor de todas é aquela que você executa, documenta e apresenta para os donos do ativo.
Para apoiar a execução da análise, utilizamos o módulo de Análise de Risco do HORACIUS LGPD, que já vem com uma listra cadastrada com vulnerabilidades e ameaças, originadas de normas e boas práticas.
Feita a análise e registrados dos resultados no sistema, utilizamos o módulo de Mapa de Risco para apresentar de forma gráfica e com uma linguagem de negócio, ou seja, o mapa apresenta os riscos, o impacto, a probabilidade e risco residual.
Ao final deste processo, o responsável pelo sistema ou informação, é convidado a aprovar o mapa de risco.
Documentação e Divulgação das Politicas, Procedimentos e Atividades
Feita a análise, e aprovado o mapa com o responsável, é chegado o momento de gerar os documentos que descrevem como será efetivamente a implantação e execução dos controles.
Desta vez utilizamos o módulo de Documentos do HORACIUS LGPD, publicando os documentos e configurando um fluxo de aprovação e revisão.
O mínimo necessário são os documentos de política e alguns procedimentos descrevendo os controles e definindo os responsáveis. Para cada um destes documentos, utilizamos o módulo de Atividades do HORACIUS LGPD, configurando os executores e indicando se deve ser gerado um incidente de segurança, em caso de não execução.
Gestão de Incidentes e Melhoria Constante
Veja como já evoluímos, já identificamos os riscos, apresentamos para os responsáveis, coletamos as ações de mitigação e distribuímos as tarefas.
Entra agora o processo de gestão propriamente dito, que é monitorar os incidentes de segurança e preencher os indicadores que usaremos para medir os resultados de nossas ações. De acordo com a nossa performance, que podemos acompanhar através dos indicadores, e levando em conta os incidentes de segurança, podemos planejar e ajustar os controles.
Não esgotamos o assunto, e nem este é o objetivo destes artigos, mas acreditamos firmemente que as ações práticas, suportadas pelo sistema HORACIUS LGPD, é um excelente ponto de partida.
Gostou? Quer saber mais? Então assine nossa newsletter e recebe em primeira mão conteúdos e eventos da E-TRUST:
