Em 2020, a Lei Geral de Proteção de Dados (LGPD) entra efetivamente em vigor, após 2 anos concedidos pelo governo brasileiro para ajustes e adequações.
Com o prazo acabando, muitas organizações estão aumentando seu foco no processamento de dados e nos aspectos de segurança que o regulamento determina. Porém, como ficam os processos que dizem respeito a LGPD e a recuperação de desastres?
De uma maneira geral, a LGPD não diz nada sobre recuperação de desastres. Porém, se algum tipo de desastre afetar a capacidade operacional de uma organização de cumprir os requisitos definidos pela lei, multas pesadas podem ser aplicadas.
Isso nos leva a pensar quais tipos de desastres uma organização deve ter cuidado e que tenha relação com a Lei Geral de Proteção de Dados.
Ataques de Ransomware
Se uma organização sofre um ataque de ransomware, basicamente ela não tem capacidade de lidar com os principais requisitos cobrados pela LGPD e muito menos garantir que as devidas proteções à privacidade dos dados estejam cobertas.
Ataques externos
Uma das táticas mais utilizadas pelos invasores é estabelecer a persistência do ataque por meio de tarefas como a criação de várias contas e a concessão de acesso elevado a elas. Como a Lei Geral de Proteção de Dados exige que as organizações implementem e mantenham efetivas proteções, a capacidade de recuperar o ambiente de volta a um estado seguro é necessária e obrigatória.
Falha de serviço
A LGPD não trata especificamente sobre a obrigatoriedade das empresas em ter a plena capacidade de restaurar a disponibilidade e o acesso a dados pessoais em tempo hábil no caso de um incidente. Entretanto, por se tratar de algo estratégico para os negócios, é fundamental que qualquer organização tenha seu plano de recuperação de desastres adequado aos requisitos da legislação, principalmente quando se trata de backup e restauração de dados.
Planejando sua estratégia de LGPD e a recuperação de desastres
Lembra de nossa pergunta inicial sobre como adequar a LGPD com a recuperação de desastres? Pois é, a resposta consiste basicamente em estratégia e planejamento. Definimos pelo menos 3 etapas básicas você deve executar para garantir que sua estratégia de recuperação de desastres e LGPD sejam efetivas.
- Identifique sistemas e aplicativos que contenham ou processem dados protegidos pela Lei Geral de Proteção de Dados.
- Revise os objetivos atuais do ponto de recuperação e os objetivos de tempo de resposta para esses sistemas e aplicativos, examinando se o resultado de recuperação definido pelos objetivos do seu plano atende razoavelmente aos requisitos previstos pela LGPD em relação a proteção e privacidade de dados.
- Repense sua estratégia de backup para atender às necessidades de recuperação do negócio e também na adequação da LGPD quanto aos requisitos de armazenamento, eliminação e compartilhamento de dados. Determinados sistemas podem precisar alternar de backups regulares para usar a replicação virtual e facilitar a disponibilidade do serviço em tempo quase real.
Após a execução destas 3 etapas iniciais, defina um plano de recuperação que restaure a disponibilidade do serviço, focando na restauração das definições essenciais a sua operação e na correção dos problemas responsáveis pelo incidente existente.
Como a maioria dos regulamentos, a LGPD não é específico em sua execução. Isso pode ocorrer de muitas maneiras, ajudando seu time de TI a trabalhar com a Lei Geral de Proteção de Dados associado ao plano de recuperação de desastres.
Em vez de ter que passar por obstáculos técnicos para atender a uma exigência prevista por lei, você pode tomar medidas sensatas para criar seu plano de recuperação de desastres de forma assertiva, garantindo a continuidade do negócio e preservando a proteção e privacidade dos dados.
Como o seu plano de recuperação de desastres leva em conta a Lei Geral de Proteção de Dados?
Se responder a essa pergunta ainda é um desafio para você, entre em contato com os nossos especialistas. Estamos prontos para esclarecer suas dúvidas e ajudar sua empresa atender aos requisitos previstos pela LGPD, garantindo o pleno funcionamento de suas operações e a satisfação dos seus clientes.
A Informo é uma empresa de TI com mais de 13 anos no mercado e que conta com diversos cases de sucesso em projetos de consultoria executados. Trabalhamos como uma equipe única, unida com empresas líderes do mercado em todo o mundo para dar aos nossos clientes o melhor serviço de qualidade possível.