Vazamento de informações: falha na proteção ou nos acessos?
Vazamento de informações: falha na proteção dos dados ou falta de gestão dos acessos internos? 
Compartilhe:
Assine nossa newsletter

Fique por dentro das melhores notícias, eventos e lançamentos do mercado




    Vazamento de informações: falha na proteção dos dados ou falta de gestão dos acessos internos? 

    Publicado em: 8 de novembro de 2023

    O vazamento de informações é uma das principais pautas entre gestores de TI e um dos maiores riscos que as empresas podem enfrentar

    O vazamento de informações é uma das principais pautas entre gestores de TI e um dos maiores riscos que as empresas podem enfrentar e precisam tratar. Dados estratégicos, de clientes e de funcionários são exemplos de informações que, se vazadas, podem gerar prejuízos materiais, reputacionais e legais para organizações de qualquer porte. 

    Sabendo que a mais significante das ameaças tecnológicas é a violação cibernética, que pode causar a exposição dos conteúdos, é muito comum ouvir falar de vazamentos de dados que ocorreram devido a algum ataque cibernético, viabilizado por meio da permissão de acesso externo às informações. Porém, a grande parte destes casos ocorrem internamente nas empresas e são protagonizados por pessoas mal-intencionadas que visam obter alguma vantagem com essa informação.  

    Os dados pessoais têm se tornado cada vez mais valiosos porque, ao coletar informações, uma empresa ganha mais assertividade para oferecer os produtos certos ao cliente que tem mais afinidade em adquiri-los. E esse valor, que é de conhecimento interno, incentiva os mal-intencionados a vazarem os dados, prejudicando a organização.  

    Como consequência desse cenário, medidas foram tomadas, como a criação, na Europa, da GDPR (General Data Protection Regulation), e, no Brasil, da Lei Geral de Proteção de Dados (LGPD), que entrou em vigor em setembro de 2020, que protege, por meio de regulamentos, os dados pessoais, e aplica sanções como advertências, multas simples ou diárias e até a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. 

    Isso fez com que os processos se tornaram mais rigorosos dentro das empresas e medidas foram tomadas para aumentar o controle de acessos, a fim de evitar vazamento de informações, que são relacionados à ‘Segurança da Informação’.  

    E para que estas práticas sejam bem aplicadas, algumas etapas podem ser executadas, tal como criar processos de atualizações para softwares e sistemas, definir políticas de segurança, não permitir a utilização de programas pirateados ou não confiáveis, monitorar a infraestrutura; treinar os profissionais com boas práticas de segurança da informação e monitorar frequentemente e-mails, documentos, nuvem e demais informações.  

    Entretanto, é importante destacar que quando o acesso a essas informações é permitido, a responsabilidade pela prevenção ao vazamento passa a ter mais um dono: a ‘Gestão de Acessos’.  A prática acontece quando empresas concedem os acessos sem mapear as funções dos profissionais, espelhando perfis de outros usuários, ou ainda sem examinar se o exercício concedido pode gerar algum risco para o negócio. Como resultado dessa ação, colaboradores podem ter permissões incompatíveis com as funções que desempenham e, eventualmente, tirarem vantagem disso. 

    Dessa forma, a aderência à LGPD envolve muito mais do que apenas ter políticas de privacidade e consentimento apropriados. É essencial que as empresas também foquem na implementação de controles internos, incluindo a gestão de acessos e  a segregação de funções (SoD), a fim de minimizar ações indevidas e, consequentemente, aumentar a proteção e conformidade destas informações. 

    Em suma,  a SoD e a LGPD estão intrinsecamente relacionadas quando se trata da proteção dos dados sensíveis, uma vez que essa integração eficaz traz diversos benefícios para as empresas. Além de contribuir com a conformidade legal, essa abordagem fortalece a segurança dos dados, aumenta a confiança dos clientes e parceiros, evita danos à reputação e demonstra compromisso em proteger a privacidade das informações, oferecendo uma vantagem competitiva no mercado regulamentado. 

    Eduardo Maia - Protivti

    *Eduardo Maia gerente sênior de IT Risk Internal Audit & Financial Advisory da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados. 

    Compartilhe:

    Publicações relacionadas

    A auditoria interna e ESG na era do ‘Cisne Verde’ 

    8 de janeiro de 2024

    A importância do ESG é indiscutível entre executivos do mundo todo. Nesse contexto, a relação entre auditoria interna e ESG ganha espaço.

    Leia mais

    Auditoria interna para a adesão do Brasil à OCDE: caminho para a redução da corrupção e das fraudes

    28 de junho de 2023

    As nações que adotam boas práticas de governança corporativa têm a necessidade de ter um sistema de auditoria interna desenvolvido e independente.

    Leia mais

    Next-Gen IA 2023: o futuro da Auditoria Interna

    15 de maio de 2023

    Pesquisa Next-Gen IA 2023: os desafios que a Auditoria Interna enfrenta são claros para os executivos do setor: diante da escassez de novos talentos e de uma demanda cada vez maior para apoiar a transformação digital das empresas, o cenário exige da área um posicionamento cada vez mais estratégico. A pesquisa foi realizada pela Protiviti […]

    Leia mais

    Auditor interno com competência em tecnologia está entre os perfis profissionais mais procurados do Brasil, aponta Protiviti

    Executivos do setor relatam falta de acesso a talentos com capacidades em tecnologias como aprendizado de máquina, automação e análise de dados, além de habilidades em riscos

    Leia mais