Diagnóstico para LGPD: é necessário contratar esse serviço?

Diagnóstico para LGPD
Tempo de Leitura: 2 minutos. 

Neste artigo, abordamos um pouco mais sobre os controles para uma Gestão de Segurança da Informação e, chamamos atenção para alguns pontos observados ao longo de diversos de diagnósticos realizados por nossa empresa nos últimos cinco anos, em instituições de diversos segmentos e tamanho, ainda que a grande maioria sejam empresas com menos de 100 usuários. Por isso trazemos a pergunta: Diagnóstico para LGPD: é necessário contratar esse serviço?

 

Políticas de controle de segurança da informação

O primeiro item de controle diz respeito a Políticas de Segurança da Informação. A grande maioria das empresas não possuem algo com este fim e, dentre outros motivos, por acreditar que se trata de uma atividade complexa que necessita de um alto grau de conhecimento técnico e jurídico. De um certo modo, faz muito sentido submeter as políticas de segurança da informação à crítica da área Jurídica e de Informática, mas as empresas podem começar de uma maneira mais simples. Políticas são descritivos nos quais os gestores estabelecem o que pode ser feito, quem pode fazer, quem autoriza, quem audita, etc. Existem vários exemplos de Políticas na Internet e você pode adaptar algum deles às características do seu negócio.
 

Sua empresa possui regras estabelecidas?

Uma outra pergunta, relativamente simples, é: Quanto tempo sua empresa suporta sem a estrutura de TI – e por estrutura, estamos nos referido a hardware, software, pessoas e processos de TI. A grande maioria dos gestores de pequenas empresas não pensam nisso, mas ao mesmo tempo afirmam que a ausência dessa estrutura por mais de um dia poderá causar danos irreversíveis ao seu negócio. A partir disso o que oferecer a esse empresário? A resposta é: Diagnóstico.

É preciso coletar informações que permitam identificar objetivamente qual o período necessário para o restabelecimento de um mínimo de operação aceitável e o prazo para o restabelecimento normal das operações. Quando compararmos com o período aceitável de indisponibilidade definidos pelos gestores, poderemos estabelecer um planejamento que possibilite a implementação das melhorias de maneira a atender os requisitos do negócio.

 


 

Quando a pergunta é a respeito de backup, normalmente a resposta é:

– Sim, claro, temos backup diário.

No entanto, quando são questionados se existe alguma rotina de testes de validação do backup, qual o último período do backup, onde estão fisicamente, em caso de falhas na realização do backup, qual o procedimento, dentre outros, é possível observar a transformação de uma pessoa confiante em uma outra com fisionomia de espanto.

Na maioria das entrevistas que já realizamos, o cenário é semelhante: a surpresa aliada ao questionamento: Por que não pensamos nisso antes? Imaginando que em uma empresa não exista políticas internas de segurança da informação, backups e alternativas de contingência, os gestores nesse caso estão assumindo riscos por desconhecimento.

A intenção do Diagnóstico para LGPD é que, em caso extremo de não ser possível implementar qualquer uma das medidas para redução ou eliminação dos riscos, os gestores tenham conhecimento da real situação que a empresa estará. A Zemus oferece aos seus clientes, independente do porte e segmento, Diagnóstico de Segurança da Informação, que permite a correta identificação desses pontos e o estabelecimento de um planejamento adequado de melhorias. Entre em contato conosco.

 
:: Veja também:
É possível se adequar a LGPD sem um diagnóstico?
O que você deve comprar para se adequar a lgpd?
Empresas não estão preparadas para LGPD