Comunidade

  • Termo

  • Categoria

  • Período

8 Passos que os Arquitetos Corporativos podem dar para lidar com a LGPD

Postado em 22 de fev. de 2017 por Antonio Plais

Originalmente postado por Marc Lankhorst*, no blog da BiZZdesign – Tradução e adaptação autorizada

Em uma postagem anterior, descrevemos a nova Lei Geral de Proteção de Dados (LGPD), e destacamos seus profundos efeitos sobre as organizações ao redor do mundo. Esta regulação força as organizações a repensar como elas lidam com dados pessoais e privados. Nesta postagem, abordaremos os passos que você, como um arquiteto corporativo, pode dar para ajudar a sua organização a se conformar com estas exigências.

Por que a Arquitetura é Importante?

Para garantir que a sua organização está conforme, você precisa de uma visão ampla de como os dados pessoais são usados e porque eles são coletados, como eles são processados, quem tem acesso a eles, onde eles são armazenados, quais terceiros estão envolvidos, que ameaças internas e externas existem, e muito mais. Arquitetos corporativos possuem uma visão abrangente e integrada única de suas organizações, e possuem os modelos e ferramentas à sua disposição para avaliar, melhorar e garantir a proteção dos dados.

Mais ainda, a LGPD não apenas exige a conformidade, mas também requer que você demonstre a conformidade. A arquitetura e os modelos da arquitetura são a maior fonte desta informação, em particular quando você precisa de uma visão conectada e coerente de tudo o que está relacionado com dados pessoais.

Passos a Dar

1. Na maioria das organizações, os arquitetos corporativos não têm a responsabilidade final por garantir a conformidade regulatória. Esta responsabilidade pode estar nas mãos de seu Departamento Jurídico, Diretor de Riscos, Diretor de Conformidade, Diretor de Segurança da Informação, ou com o novo Encarregado de Proteção de Dados, requerido pela LGPD. Se aproximar destes executivos, e fazer com que eles se conscientizem da contribuição valiosa que a arquitetura pode trazer, é o primeiro passo.

2. Qualquer trabalho destinado a garantir a conformidade se apoiará em uma boa visão geral dos dados pessoais envolvidos. Criar um ‘inventário de privacidade’ é um ponto crucial:

  1. Identifique todos os dados considerados ‘pessoais’ de acordo com a LGPD
  2. Classifique estes dados em relação à sua sensibilidade à privacidade. Torne isso parte do seu processo normal de segurança, onde você atribui outros atributos de segurança da informação como confidencialidade, integridade e disponibilidade
  3. Descreva o propósito para o qual este dado foi coletado, e garanta que você tem (ou obtenha) o consenso dos sujeitos de dados (as pessoas!) para usá-los desta forma
  4. Preste atenção adicional às categorias especiais de dados pessoais, tais como dados relacionados à saúde, biométricos, políticos, religiosos, étnicos, ou associação sindical. O Uso destes dados é explicitamente proibido pela LGPD, a não ser que circunstâncias especiais muito específicas se apliquem

blog LGPD 001

Figura 1. Exemplo de classificação de dados, com as cores baseadas na sensibilidade da privacidade

3. Analise o uso dos dados pessoais e, se possível, alavanque seus modelos de arquitetura existentes para fornecer a estrutura para suas análises:

  1. Comece com as áreas de alto risco e com os tipos de dados mais sensíveis. Onde eles são armazenados e usados?
  2. Modele os fluxos de dados: quais aplicativos, processos, pessoas e terceiros usam estes dados, em que locais, para que propósito?

blog LGPD 002

Figura 2. Panorama de aplicativos com cores baseadas na classificação de privacidade dos dados usados

4. Avalie os riscos dos dados sensíveis, em particular em relação aos direitos e liberdades dos sujeitos de dados:

  1. Onde você vê vulnerabilidades no seu panorama de TI e de negócios?
  2. Quais são as ameaças comuns que podem explorar estas vulnerabilidades?
  3. Quais são as potenciais consequências?

Você pode usar a funcionalidade de Gerenciamento de Segurança, Risco e Conformidade do Bizzdesign Enterprise Studio para fazer análises avançadas dos riscos, com base nos padrões ArchiMate e Open FAIR do The Open Group. Os mapas de calor abaixo são um exemplo do tipo de saída que pode ser criado. A Bizzdesign fornece para seus clientes conteúdo pré-populado contendo ameaças de segurança de informações e continuidade dos negócios comuns, e os controles prescritos pelo padrão ISO/IEC 27001. Isto dá a você um poderoso e útil ponto de partida, de maneira que você não tenha que reinventar a roda.

blog LGPD 003

Figura 3. Mapas de calor de avaliação de riscos

5. Defina controles e medidas mitigadoras. Use padrões comuns como o ISO/IEC 27001 como a base para identificar controles úteis. Mais importante, você deve fazer isto o mais cedo possível durante o processo de desenho ou mudança de seus aplicativos, para promover uma abordagem de proteção-de-dados-por-desenho (o que é explicitamente mencionado no GDPR) e evitar a criação de medidas em um estágio posterior, com todo o retrabalho, custo e risco associado.

6. Priorize os riscos, aloque os orçamentos e planeje os requisitos para as mudanças e melhorias:

  • a. Avalie os custos das medidas contra os riscos (a perda esperada) para focar seu orçamento naquilo que realmente conta
  • b. Integre sua tomada de decisões com o seu gerenciamento de portfólios e roteiros de programas e projetos geral. Por exemplo, você deve evitar gastar muito em manter um aplicativo que será desativado em pouco tempo, e você deve combinar melhorias relacionadas com a segurança com outras mudanças

A funcionalidade de gerenciamento de portfólios do Enterprise Studio é muito útil neste estágio. Painéis de controle claros ajudam a direção a decidir sobre as prioridades e investimentos, levando todos os ângulos de avaliação em consideração, permitindo que você filtre e foque naquilo que é essencial (veja abaixo):

blog LGPD 004

Figura 4. Gráfico do ciclo de vida dos aplicativos, filtrado por aplicativos de alto risco e alto custo

7. Implemente os controles e medidas que você definiu para a sua organização, processos e sistemas, e teste sua segurança. Afinal, isto é o que conta!

8. Demonstre a conformidade para as autoridades reguladoras, mostrando como você processa os dados pessoais, como você lida com os riscos, e quais medidas mitigadoras você implementou.

Naturalmente, esta não é uma abordagem a ser realizada uma única vez; você deve revisitar os passos acima para garantir que você continua conforme e integrar isto no seu framework de governança. Estes passos são também particularmente relevantes quando você realiza sua Avaliação de Impacto da Proteção de Dados (DPIA-Data Protection Impact Assessment), que é requerida pelo GDPR para qualquer implementação de um novo sistema que use dados pessoais.

As soluções da Bizzdesign ajudam você a alavancar a arquitetura e os modelos existentes de portfólios e dados, para dar a você um início rápido para melhorar sua segurança de dados e garantir a conformidade regulatória. Nossa abordagem integrada ajuda você a investir em segurança onde ela conta, e evitar as penalidades e os riscos de reputação da não conformidade, ou pior, de um vazamento de informações.

* Mark Lankhorst é Gerente de Consultoria & Evangelista-Chefe de Tecnologia da Bizzdesign, empresa líder em ferramentas para modelagem da arquitetura corporativa, representada no Brasil pela Centus Consultoria.

Voltar para a página inicial