LGPD e a Governança de Identidades e Acessos

por

Neste artigo de nossa parceira AccessOne, saiba mais como os sistemas de Gestão e Governança de Identidades e Acessos podem aumentar sua conformidade com a LGPD.

Não há dúvidas: A chegada da LGPD muda completamente a forma como a maioria das empresas faz negócios. Os diversos artigos da lei não apenas formalizam direitos de titulares, mas também estabelecem requisitos para otratamento de dados pessoais cuja adoção é um significativo desafio.

Easy Way - Hard Way

Privacidade não é um tema exatamente novo, especialmente em certos segmentos como, por exemplo, o mercado financeiro e hospitais, que usualmente lidam com dados sensíveis de inúmeras pessoas, e consequentemente já adotam diversas medidas para garantir a segurança e privacidade da informação. Entretanto, mesmo empresas mais maduras terão que fazer ajustes na forma como coletam, tratam, armazenam ou compartilham dados pessoais para se adequar a LGPD.

Um ponto essencial da LGPD é a transparência nas operações. De acordo com a nova lei, titulares tem o direito de saber como seus dados foram coletados, que tipo de tratamento é realizado e qual a base legal para esse tratamento, e até mesmo quem possui acesso aos seus dados pessoais. Na verdade a identidade do titular é algo intimamente ligado a maioria dos artigos da LGPD, fortalecendo a necessidade de um programa efetivo de gestão de identidades e acesso, que garanta a proteção dos dados pessoais contra acessos não autorizados e de situações (acidentais ou ilícitas) de destruição, perda, alteração, comunicação ou mesmo qualquer forma de tratamento inadequado ou ilícito.

O processo de Gestão e Governança de Identidades e Acessos e a LGPD:

Em seus artigos 46 e 49 a LGPD é bastante clara sobre a necessidade de controles técnicos e administrativos para proteção dos dados pessoais. Um ponto importante rumo a conformidade, é entender que muitas das medidas necessárias são facilmente adotadas quando se tem uma Governança de Identidades e Acessos:

  • Segregação de funções: Controlar perfis de acesso, garantindo que permissões conflitantes ou mesmo excessivas não sejam concedidas é essencial para evitar acessos não autorizados, ou mesmo situações ilícitas onde os colaboradores da empresa fazem uso não autorizado de dados pessoais.
  • Privilégio Mínimo: Adotar o princípio do privilégio mínimo é um passo vital na proteção de dados pessoais. Dessa forma é possível garantir que usuários terão contato com dados pessoais exclusivamente quando isso for necessário para realização de suas atividades laborais. É importante lembrar que acessos excessivos são uma das causas mais comuns de violações de dados, e mitigar esse tipo de vulnerabilidade deve ser uma prioridade em qualquer programa de adequação a LGPD.
  • Revisão de acessos: Claro, se você já criou perfis de usuários adotando medidas como o privilégio mínimo e segregação de funções, a possibilidade de erros relacionados a gestão de acessos já é bem menor. Entretanto, é importante lembrar que dificilmente um usuário permanece com o mesmo acesso por muito tempo. O dinamismo do ambiente de negócios implica em mudanças constantes de responsabilidades, e não é incomum que, em meras semanas, aquele um novo colaborador que acabou de chegar na sua empresa demonstrando potencial de crescimento, receba cada vez mais atividades para desempenhar e, consequentemente, novos acessos. No longo prazo isso significa que veteranos podem acumular funções e responsabilidades que se não forem analisadas podem gerar situações conflitantes. Além disso, claro, sempre vai existir a necessidade de se revogar acessos, como no caso de férias, licenças e desligamento. Revisar periodicamente a validade dos acessos concedidos é fundamental para evitar erros ou mesmo situações de uso ilícito de dados pessoais.
  • Gestão de acesso privilegiado: Administradores e demais usuários com acessos avançados ou privilegiados são uma consideração vital na proteção de dados pessoais. Enquanto é natural que existam usuários com acesso administrativo ou root a funções dos sistemas e, consequentemente, dados pessoais, é importante manter um controle restrito das atividades realizadas com essas contas. Por exemplo, todo acesso privilegiado deve ser facilmente identificado, bem como quem são os indivíduos que possuem esse tipo de acesso. Infelizmente casos de uso de contas genéricas como ‘administrator, ‘root, ‘admin, ‘sa ainda são razoavelmente comuns. Ter a possibilidade de individualizar o acesso administrativo, bem como de rastrear as atividades executadas ajuda a mitigar riscos como o uso indevido acidental ou deliberado de acesso a dados pessoais.
  • Registrar atividades de usuários: Mesmo usuários com acessos não-privilegiados podem fazer uso regular de dados pessoais ou mesmo dados pessoais sensíveis. Ter registros das atividades de usuários ajuda na prevenção ou mesmo tratamento de eventuais incidentes. Enquanto muitas aplicações corporativas já possuem suas próprias ferramentas de auditoria, uma boa solução de Gestão de Acesso e Identidade deve ser capaz de manter registros como informações sobre os últimos acessos (e.g. data, hora, IP de origem), ou mesmo alertar quando existe um comportamento anômalo por parte do usuário como, por exemplo, o uso simultâneo de uma mesma conta de acesso, que pode indicar um possível compartilhamento de credenciais.
  • Gestão do ciclo de vida do usuário: Colocando de forma simples, o ciclo de vida do usuário é iniciado quando um acesso é concedido, e se encerra quando este é removido. Normalmente gerenciar usuários consome muito tempo da equipe de TI, especialmente em organizações maiores, que utilizam múltiplos sistemas, em ambientes diferentes. Em muitos casos realizar manualmente atividades como criar, modificar, revisar ou mesmo remover acessos não apenas ocupam profissionais valiosos da organização, mas também facilitam a ocorrência de erros e ações ilícitas que implicam diretamente em violações de dados. No ponto de vista da LGPD a gestão do ciclo de vida do usuário é um requisito essencial, uma vez que sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender tanto aos requisitos de segurança, quanto aos padrões de boas práticas e de governança.

Erros de Gestão e Governança de Identidades e Acessos e violações de dados pessoais

Na prática, um processo de Governança de Identidades e Acessos é uma das mais importantes ferramentas de governança corporativa, especialmente quando falamos de proteção de dados pessoais e conformidade com a LGPD.

Inúmeros casos recentes de violações de dados podem ser facilmente ligados a falhas na gestão do acesso de usuários, e isso vai muito além dos empregados e terceiros que compõem a sua empresa. Especialmente em casos onde a organização prove serviços ao público em geral, sistemas que não são implantados e/ou gerenciados considerando as devidas permissões de acesso aos dados pessoais, fatalmente tornam-se protagonistas em incidentes severos.

Usando a Gestão e Governança de Identidades e Acessos para simplificar a conformidade para a LGPD

Parte dos requisitos da LGPD inclui a criação de um programa de governança em privacidade que demonstre claramente o comprometimento da organização em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais.

Como todo controle de segurança da informação, a efetividade da sua Gestão e Governança de Identidades e Acessos depende de três fatores básicos: pessoas, processos e tecnologias. Enquanto não se pode minimizar a importância de se ter um processo maduro, além de pessoas devidamente qualificadas e conscientes de suas responsabilidades, um dos grandes desafios nesta jornada é a complexidade dos aspectos tecnológicos, que incluem o uso de múltiplas soluções, com diferentes características para gestão de acessos, que na maioria das vezes requer ação manual de especialistas para atividades básicas como, por exemplo, a criação ou modificação de usuários, ou revisão dos acessos.

Sem uma solução específica para uma Gestão e Governança de Identidades e Acessos, muitas organizações simplesmente deixam de executar passos essenciais para a conformidade com a LGPD, e aumentam significativamente seu nível de exposição a violações de dados pessoais.

Organizações que adotaram a plataforma da AccessOne conseguiram implementar um processo completo e maduro em um curto prazo, empregando boas práticas baseadas em padrões internacionais, reduzindo a complexidade dos ambientes de TI, e gerenciando acessos de forma dinâmica, com atividades operacionais automatizadas, permitindo a organização demonstrar seu compromisso com a proteção de dados e conformidade com a lei.

Categoria : AccessOne, LGPD
Tags : ,