A Importância do Inventário de Sistemas para a Proteção de Dados

Começo esse breve artigo fazendo uma pergunta: você realmente sabe quantos e quais sistemas sua empresa usa para sustentar a operação de negócio? 

O processo de inventário de sistemas é de extrema importância para garantir a efetividade de qualquer Programa de Privacidade e Proteção de Dados. Muitas vezes, o mapeamento das operações de tratamento recebe a devida atenção, porém o inventário de sistemas é bastante negligenciado, resultando em gaps na gestão e controle dos dados. Neste artigo, abordaremos a relevância desse processo para as empresas e os principais pontos que devem ser mapeados. 

A negligência no mapeamento de sistemas 

É comum que, ao perguntarmos sobre os sistemas utilizados pelas empresas, as respostas mencionem apenas os mais comuns, como o ERP, o CRM, e-mail, BI, intranet, entre outros. Porém, muitas vezes são esquecidos os sistemas consumidos pelas áreas de negócio, fora do controle da TI, como ferramentas de marketing (ex: Rd Station, Trello, etc.) e jurídicas ( ex: Docsign, etc.). A crescente adoção de aplicações SaaS (que ficam hospedadas em Cloud e são adquiridas como serviço) ampliou muito a quantidade de sistemas não gerenciados pela TI. Um gestor de área toma decisão por conta própria e adquire uma plataforma no mercado e passa a usar, sem qualquer avaliação ou homologação técnica. Outro aspecto importante é não incorporar esses sistemas no mapeamento de operações de tratamento de dados pessoais. 

Observa-se que as áreas de TI nem sempre possuem o conhecimento de quantos e quais sistemas são usados pela empresa e, mais importante ainda, quais dados exatamente estão em cada sistema. 

Essa lacuna pode resultar em falhas na proteção de dados, na aplicação de medidas de segurança adequadas e no correto tratamento de informações sensíveis e de crianças e adolescentes. 

Riscos de não se ter controle de todos os sistemas que sustentam a operação do negócio 

A ausência de um inventário de sistemas corporativo pode acarretar diversos riscos para as empresas. Sem um conhecimento abrangente sobre quais sistemas estão em uso e quais processos de negócios eles suportam, a empresa pode estar vulnerável a diversos aspectos, como: 

Vazamento de dados sensíveis: Sistemas não mapeados podem conter informações sensíveis e críticas, e a falta de controle sobre eles aumenta as chances de vazamento e exposição indevida desses dados. 

Não conformidade com a LGPD e outras leis de privacidade: A falta de visibilidade dos sistemas e o tratamento inadequado de dados pessoais podem levar a violações da LGPD e outras leis de privacidade, resultando em multas significativas e danos à reputação da empresa. 

Violação de privacidade: Sem o controle adequado dos sistemas, a empresa pode não ser capaz de cumprir com a transparência e com solicitações de privacidade dos titulares dos dados, prejudicando sua imagem e confiança junto aos clientes. 

Uso indevido de dados: Sistemas fora do conhecimento da TI podem ser mal utilizados, resultando em ações inadequadas, como o compartilhamento de informações sem critério de segurança, desvio de finalidade, falta de sustentação legal para o tratamento, entre outras. 

Falhas de segurança: Sistemas não gerenciados podem não receber atualizações e correções de segurança, tornando-os vulneráveis a ataques cibernéticos. O uso inadequado de tecnologias ou mesmo a ausência de controles com uso de duplo fator de autenticação podem também contribuir para o aumento de vulnerabilidades. 

Pontos importantes a serem mapeados de cada sistema 

No processo de inventário de sistemas, é fundamental mapear os pontos importantes de cada sistema utilizado pela empresa. Por exemplo, alguns: 

Nome do sistema: Identificar o nome e a descrição do sistema, permitindo uma melhor compreensão de sua função e utilização na organização. A padronização do nome do sistema é importante. É comum um mesmo sistema ser chamado por nomes diferentes em áreas diferentes. 

Área responsável: Determinar qual área é responsável pela gestão garantindo uma definição clara de responsabilidades. 

Local de hospedagem: Conhecer o local onde o sistema está hospedado, seja internamente nos servidores da empresa ou externamente em provedores de serviços. A hospedagem em outros países já caracteriza transferência internacional de dados e envolvendo dados pessoais requer tratamento adequado. 

Tipo de armazenamento: Identificar o tipo de armazenamento utilizado pelo sistema, seja em servidores locais, nuvem pública ou privada, para avaliar os riscos associados. 

Tipo do sistema: Classificar o sistema de acordo com sua finalidade e natureza, permitindo identificar aqueles que tratam dados pessoais e requerem maior atenção quanto à privacidade e proteção de dados. 

Tratamento de dados pessoais sensíveis: Verificar se o sistema trata dados pessoais sensíveis, como informações de saúde ou dados biométricos, entre outros, e aplicar medidas adicionais de segurança quando necessário. 

Tratamento de dados pessoais de crianças e adolescentes: Avaliar se o sistema trata dados de crianças e adolescentes e garantir o cumprimento das regras específicas para esse tipo de tratamento. Se possível, identificar também o tratamento de dados pessoais de outros tipos de vulneráveis, como: idosos. 

Contingência: Verificar se o sistema possui planos de contingência para situações de falhas ou desastres, assegurando a disponibilidade e continuidade das operações. 

País de hospedagem da contingência: Identificar em qual país o sistema está hospedado na contingência, considerando as implicações legais e de privacidade e proteção de dados associadas. 

Processos de negócio suportados: Entender quais processos de negócio são suportados pelo sistema, permitindo uma melhor análise de sua relevância e importância para a operação da empresa. 

Diversos outros pontos ainda podem ser acrescentados, como se o sistema tem alguma decisão automatizada no tratamento de dados pessoais, ou a categoria dos dados tratados pelo mesmo. 

Fazer essa gestão em planilha do Excel é algo inviável, pelo volume de horas gastas, dificuldade de manutenção e falta de possibilidade de auditoria e rastreabilidade. O caminho mais simples e prático adotado pelo mercado é usar alguma plataforma de governança de proteção de dados como o SimpleWay. 

Importância desse processo 

O inventário de sistemas é uma etapa indispensável para a construção e manutenção de um Programa de Proteção de Dados eficiente e em conformidade com a LGPD, e outras leis de Privacidade. Através desse processo, é possível mapear todos os sistemas utilizados pela empresa e identificar as medidas de segurança adotadas em cada um. A negligência no mapeamento de sistemas pode trazer sérias consequências, comprometendo a reputação e a sustentabilidade do negócio. Portanto, investir em um inventário de sistemas abrangente é essencial para o sucesso e conformidade com as regulamentações de proteção de dados. Ao mapear os pontos importantes de cada sistema, a empresa terá uma visão completa de sua infraestrutura tecnológica e estará preparada para avaliar e enfrentar os desafios da privacidade e proteção de dados na era digital. Esse desafio pode se tornar algo simples e prático, com o uso da Plataforma de Governança de Proteção de Dados - SimpleWay.