LGPD: Como avaliar os riscos.

Agora que falamos de dados pessoais e confidenciais, assim como da classificação das mesmas, vamos ver um ponto fundamental: a avaliação dos riscos sobre os dados.



A avaliação de riscos é fundamental para saber qual atitude tomar e definir as prioridades de tratamentos dos riscos. Uma priorização adequada dos riscos é a chave para otimizar o investimento de tempo e dinheiro em segurança. O objetivo é chegar ao “20 / 80”: 20% do esforço total em segurança deve diminuir 80% dos riscos. A avaliação de riscos permite justamente definir o que vai ser incluso nesses 20% do esforço.


Os riscos e os tipos de avaliação

Existem diferentes tipos de riscos para o seu negócio quando pensamos nos dados confidenciais e sensíveis, entre eles:

  • Tecnológicos = processamento errado que adultera os dados, perda parcial ou completa dos dados digitais, quantidades e/ou fluxos de dados não condizentes com os níveis de confidencialidade pré-definidos , não detecção dos incidentes de dados e falta de resposta rápida, criptografia de dados e pedido de resgate

  • Humanos = vazamento de dados acidental ou malicioso, acessos indevidos e espionagem, armazenamento físico inseguro ou roubo, uso ou distorção voluntária de dados para atingir a reputação do seu negócio, perda de clientes por falta de uma comunicação adequada, ausência de investigação para conhecer e resolver as brechas

  • Jurídicos = processos judiciais de clientes, funcionários ou fornecedores com base no não respeito da LGPD, publicização dos incidentes de dados e perda de reputação, sanções da Agência Nacional de Proteção de Dados ou de outros órgãos governamentais (Procon, etc.)

Métodos de avaliação de riscos

Cada um dos diferentes riscos deve ser avaliado do ponto de vista do negócio, com uma medição de dois fatores essenciais:

  • Probabilidade do risco = qual é a chance do evento acontecer?

  • Impacto do risco = se o evento acontecer, qual é o nível de impacto sobre o meu negócio? A minha empresa corre o risco de falir?

______________

A avaliação de riscos é fundamental para saber qual atitude tomar e definir as prioridades de tratamentos dos riscos

______________



Como bom exemplo de uma avaliação de risco que todo o mundo conhece, posso citar o caso do atentado no World Trade Center em 2001: a probabilidade de ver as duas torres gêmeas sendo derrubas no mesmo dia era nula, porém o impacto foi gigantesco.


Por isso é importante combinar (multiplicar) as duas medições acima e colocá-las numa matriz como por exemplo aquela abaixo:



Tabela de classificação de riscos


Quanto mais próximo do vermelho o risco, mais prioritário o seu tratamento deve ser.


Se quiser se aprofundar, existem metodologias de avaliação de riscos bem sofisticadas: NIST, ISO 27005, PMBOK.


Modos de tratamento de um risco

Existem três maneiras principais de tratar um risco. Para cada risco, é preciso escolher uma delas:

  • Assumir = nenhuma medida preventiva é tomada sobre o risco, e se o evento acontecer a sua empresa simplesmente pagará os custos envolvidos. Isso é bom para riscos cujo impacto é muito pequeno a moderado.

  • Diminuir o risco = aqui a sua empresa vai tomar ações preventivas para reduzir a probabilidade e o impacto do risco. Um ponto essencial é valorizar a perda possível para nunca investir mais na prevenção do risco do que o valor do ativo que está sendo protegido. Esta alternativa é adaptada à grande parte dos riscos, quando existirem maneiras efetivas de reduzir o risco de maneira significativa (impacto e/ou probabilidade), o que nem sempre é o caso.

  • Terceirizar = é a tática da apólice de seguro. Apesar de serem recentes, existem seguros digitais oferecidos por grandes seguradoras no Brasil. Eles cobrem até um certo montante os custos de um incidente grave de dados: especialistas técnicos, ações de recuperação e investigação, danos jurídicos e negociais, etc. Há uma avaliação prévia do nível de segurança da sua empresa na hora da contratação da apólice. A terceirização deve ser reservada apenas aos riscos que não têm nenhuma solução para ser reduzidos de maneira significativa.


Após a diminuição de um risco, é importante fazer uma nova avaliação do risco residual, para saber se ele é aceitável ou não.


Ficou interessado em saber mais? Fale conosco!



Jean Boudoy

CEO da CyberGO & Parceiro Cymeon para Divisão LGPD/Processos



Posts Em Destaque
Posts Recentes