Embora esteja em vigor desde agosto passado, as empresas ainda têm até o mês de agosto desse ano para finalizar a adequação do seu ambiente à Lei Geral de Proteção de Dados (LGPD). Neste cenário, em que qualquer simples etapa ignorada pode levar a ineficiências ou impasses piores, independente das tecnologias escolhidas, é fundamental contar com tecnologias que podem, de fato, proteger os dados que você mantém – como vimos nos últimos ataques ocorridos recentemente, empresas e poder público ainda estão longe dessa realidade.
Porém, ainda é possível para trabalhar de forma proativa, a partir de uma jornada operacional dividida em três fases principais, que vai da identificação dos dados sensíveis e dos comportamentos suspeitos até a manutenção de uma estratégia de segurança eficiente, que inclui a revisão constante de políticas de acesso.
Conheça abaixo as três fases de um plano ideal para levar os negócios à adequação à LGPD:
Descobrir os dados relativos à LGPD é o primeiro passo para atender às regras. Ao compreender a sensibilidade dos dados, é possível mapear “alvos de valor elevado” e priorizar os esforços de proteção.
É claro que é possível fazer a classificação do que é dado pessoal de forma manual, porém, contar com uma solução capaz de realizar a classificação de forma automatizada pode dar mais agilidade a esse processo.
Essa fase inclui ainda a implementação de controles para a detecção de comportamentos suspeitos envolvendo os dados pessoais, como acesso anormal a arquivos sensíveis ou caixas de e-mail executivas e utilização anormal de ferramentas de reconhecimento e exploração.
O próximo passo é reestruturar permissões, bloquear dados excessivamente expostos e identificar a propriedade dos dados para garantir a implementação de controles preventivos. Com isso, é possível eliminar riscos e reduzir a superfície de ataques, simplificando o ambiente.
Essa etapa inclui a reestruturação da política de permissionamento para uma que siga o modelo de privilégios mínimos, um pré-requisito para resolver o problema dos grupos de acesso globais, que aumentam os riscos de perda, roubo ou utilização incorreta. Essa medida é fundamental para minimizar riscos.
Depois disso, ainda na fase de prevenção, é preciso identificar os proprietários dos dados e revisar todo o permissionamento para identificar usuários que têm acesso aos dados de que não precisam – seja porque ganharam acesso equivocadamente ou porque suas funções mudaram.
Depois de identificar quem é responsável pelos dados e garantir que todos os usuários tenham acesso apenas às informações necessárias, é preciso investir na execução de revisões periódicas e automatizadas de acesso aos dados.
Para isso, é importante contar com tecnologias capazes de fazer a análise do comportamento do usuário, incluindo o monitoramento de suas atividades nos arquivos e controles de acesso para aprovar ou negar permissões.
Neste estágio, é possível automatizar uma série de tarefas, como a revogação de acessos com base em critérios específicos (usuários que vão precisar de acesso a informações específicas apenas enquanto estiverem trabalhando em determinados projetos, por exemplo), bloqueios automáticos com base no comportamento do usuário (quando uma credencial estiver sendo usada para realizar atividades anormais, como cópias e envios de arquivos, por exemplo), e as políticas de retenção e eliminação para garantir que os dados obsoletos sejam arquivados ou eliminados quando necessário.
Vale a pena lembrar que é importante rever regularmente os riscos, os alertas e os processos para garantir a melhoria contínua, por meio do monitoramento de KPIs.
Quer saber como a Varonis pode auxiliar a sua empresa na jornada segura de adoção à LGPD? Entre em contato conosco e agende uma demonstração das nossas ferramentas.