Ponto ISP

ANPD publica guia orientativo para agentes de pequeno porte

Foto divulgação
Foto divulgação

A Autoridade Nacional de Proteção de Dados (ANPD) publicou, no seu site, o guia de Segurança da Informação para Agentes de Tratamento de Pequeno Porte. Trata-se de um documento orientativo com base nas melhores práticas e traz ainda uma checklist para facilitar a visualização das sugestões de medidas administrativas e técnicas de segurança da informação. 

Entre as sugestões está a adoção de uma política de segurança da informação (PSI) que, mesmo não sendo obrigatória e ainda que simplificada, facilitará o controle de danos. Segundo o órgão, essa política deve ter previsão de revisão periódica e que contemple controles relacionados ao tratamento de dados pessoais, como por exemplo, cópias de segurança; uso de senhas; acesso à informação; compartilhamento de dados; atualização de softwares; uso de correio eletrônico; uso de antivírus, entre outros. 

PUBLICIDADE

Outra sugestão é de que os agentes de tratamento de pequeno porte conscientizem os seus funcionários por meio de treinamentos e campanhas de conscientização sobre suas obrigações e responsabilidades relacionadas ao tratamento de dados pessoais. Para a ANPD, essa conscientização implica informar e sensibilizar todos os funcionários da organização, especialmente aqueles diretamente envolvidos na atividade de tratamento de dados, sobre as obrigações legais existentes na Lei Geral de Proteção de Dados (LGPD) e em normas e orientações editadas pelo órgão. 

Em relação a medidas técnicas, a ANPD sugere que, caso o agente de tratamento de pequeno porte possua rede interna de computadores, seja implementado um sistema de controle de acesso aplicável a todos os usuários, com níveis de permissão na proporção da necessidade de trabalhar com o sistema e de acessar dados pessoais. Esse sistema de controle de acesso pode, por exemplo, permitir a criação, aprovação, revisão e exclusão de contas dos usuários. 

A autoridade sustenta que é importante, ainda, na implementação de sistemas de segurança, utilizar um adequado gerenciamento de senhas, evitando o uso de senhas padrão disponibilizadas pelos fornecedores de software ou hardware adquiridos, tendo em vista que geralmente os atacantes utilizam estas senhas padronizadas (default) para tentativas de conexão e realizar os seus ataques. “As senhas precisam ser alteradas por outras com requisitos mais seguros”, diz.  

Outra medida sugerida é que os agentes de tratamento de pequeno porte não permitam o compartilhamento de contas ou de senhas entre funcionários, visto que isso é um vetor crítico de vulnerabilidade de segurança da informação. 

Para o advogado Marcelo Cárgano, especialista em proteção de dados, as medidas sugeridas são em sua maioria simples e desfazem o mito de que a adequação à LGPD seja algo inatingível ou exclusivo a grandes empresas. “Por exemplo, a ANPD sugere a adoção de treinamento de funcionários de modo a evitar ataques de phishing (quando a pessoa clica em links desconhecidos) e a adoção de práticas simples, como manter documentos físicos trancados, e não compartilhar logins e senhas”, disse.  

Sair da versão mobile