Casos de Uso

>

LGPD

AccessOne

Casos de Uso

acesse

lgpd

Não é só gerar a evidência, é guardar e achá-la.
Dentro da LGPD, você pode ser solicitado a apresentar evidências de cumprimento das suas regras. Você vai estar preparado?

O que é

A LGPD (Lei Geral de Proteção de Dados Pessoais, de nº 13.709/2018) trata-se da legislação nacional de proteção de dados. Não importa o tamanho da empresa, todas estão sujeitas a essa nova legislação. Com o advento da prática de divulgação massiva de dados pessoais de usuários na internet, a lei surge como uma forma de proporcionar respostas aos cidadãos de quais formas as informações destes estão sendo utilizadas.

Atualmente, o órgão responsável pela fiscalização e regulação do uso correto destas informações é a Agência Nacional de Proteção de Dados (ANPD), com apoio de órgãos como o Ministério Público e demais órgãos. Com o descumprimento das normas estabelecidas — de forma intencional ou não — há previsão de multas em até 2% de todo o faturamento da empresa — que, se for alto, pode significar a perda de milhões de reais.

O caminho mais responsável e seguro para garantir requisitos para boas práticas de segurança e sigilo dos dados, evitando grandes prejuízos, é a adesão de um sistema automatizado que garanta a revisão adequada e instantânea destas informações.

Como a gestão de acesso facilita a conformidade com a LGPD e protege seu negócio.

A AccessOne baseia suas ações por meio da Governança e Administração de Identidades (IGA – Identity Governance Administration), responsável por garantir que as pessoas corretas, possuam acessos necessários aos recursos corporativos devidos, no momento adequado e com legítima necessidade. A utilização do recurso de Gestão de Identidades e Acessos (IAM) possibilita que você configure, por perfis solicitáveis, níveis de risco e/ou se um determinado perfil dá acesso à dados pessoais (vinculados à LGPD).

AccessOne

Revisão célere

A AccessOne baseia suas ações por meio da Governança e Administração de Identidades (IGA – Identity Governance Administration), responsável por garantir que as pessoas corretas, possuam acessos necessários aos recursos corporativos devidos, no momento adequado e com legítima necessidade. A utilização do recurso de Gestão de Identidades e Acessos (IAM) possibilita que você configure, por perfis solicitáveis, níveis de risco e/ou se um determinado perfil dá acesso à dados pessoais (vinculados à LGPD).

Perguntas e Respostas

Como o sistema impacta a eficiência operacional?

exclamação

A AccessOne traz uma imediata redução de trabalho manual e possibilita a criação automática de credenciais para novos colaboradores nos diversos sistemas corporativos o que libera sua equipe para realização de outras tarefas.

Eu preciso ter um funcionário contratado só para lidar com o sistema?

exclamação

A sua equipe atual será treinada e acompanhada pela equipe da AccessOne para gerenciar o sistema. Nós continuamos acompanhando nossos clientes mesmo após a época de instalação

O quão automático meu sistema pode ser?

exclamação

Você pode criar políticas para acesso automatizado conforme empresa, unidade, departamento, cargo. Acessos a sistemas e e-mails são gerados ao mesmo tempo e há ainda autosserviço de reset de senha de forma segurança e centralizada para todos os sistemas corporativos. O setor de RH também sofre impacto de eficiência pois há atualização automática de dados pessoais vindos do RH (empresa, sede, setor, cargo, telefone, e-mail etc.) em todos os sistemas integrados.

Como a instalação do sistema torna meus dados mais seguros?

exclamação

A AccessOne permite identificação de credenciais e acessos indevidos, excesso de permissões, inadequação entre acesso possuído versus função dentro da empresa. Colaboradores desligados e terceiros que encerram prestação de serviços podem ser removidos com agilidade. É possível também identificar compartilhamento de senhas.

Com esse sistema, meus dados estão 100% seguros?

exclamação

Qualquer sistema que tenha acesso humano pode ser violado, mas detectar riscos relacionados a acessos concedidos e adotar mecanismos de controle é primordial para a segurança de dados de uma empresa. A AccessOne gera visibilidade de identidades e acessos para que seja possível identificar rapidamente acessos não conformes, concedidos sem autorização, contas órfãs (cujo dono é desconhecido), dormentes, etc. com rápida adoção de medidas de controle de forma facilitada.

Como eu posso usar esse sistema para me auxiliar em auditorias?

exclamação

Ele provê mecanismos ágeis de identificação e revisão de acessos não conformes, permitindo que revisões de acesso (em massa ou micro revisões) sejam criadas para certificar-se e comprovar adequadamente (para fins de auditoria) a efetiva necessidade de acessos existentes;

Eu atendo aos pedidos da LGPD com esse sistema?

exclamação

Ele possui diversos mecanismos relevantes quanto a legislação de privacidade (LGPD – Lei Geral de Proteção de Dados), normas e boas práticas.

Easy Way Hard Way

Como os sistemas de Gestão e Governança de Identidades e Acessos podem aumentar sua conformidade com a LGPD?

Não há dúvidas: A chegada da LGPD muda completamente a forma como a maioria das empresas faz negócios. Os diversos artigos da lei não apenas formalizam direitos de titulares, mas também estabelecem requisitos para otratamento de dados pessoais cuja adoção é um significativo desafio.

Privacidade não é um tema exatamente novo, especialmente em certos segmentos como, por exemplo, o mercado financeiro e hospitais, que usualmente lidam com dados sensíveis de inúmeras pessoas, e consequentemente já adotam diversas medidas para garantir a segurança e privacidade da informação. Entretanto, mesmo empresas mais maduras terão que fazer ajustes na forma como coletam, tratam, armazenam ou compartilham dados pessoais para se adequar a LGPD.

Um ponto essencial da LGPD é a transparência nas operações. De acordo com a nova lei, titulares tem o direito de saber como seus dados foram coletados, que tipo de tratamento é realizado e qual a base legal para esse tratamento, e até mesmo quem possui acesso aos seus dados pessoais. Na verdade a identidade do titular é algo intimamente ligado a maioria dos artigos da LGPD, fortalecendo a necessidade de um programa efetivo de gestão de identidades e acesso, que garanta a proteção dos dados pessoais contra acessos não autorizados e de situações (acidentais ou ilícitas) de destruição, perda, alteração, comunicação ou mesmo qualquer forma de tratamento inadequado ou ilícito.

O processo de Gestão e Governança de Identidades e Acessos e a LGPD:



Em seus artigos 46 e 49 a LGPD é bastante clara sobre a necessidade de controles técnicos e administrativos para proteção dos dados pessoais. Um ponto importante rumo a conformidade, é entender que muitas das medidas necessárias são facilmente adotadas quando se tem uma Governança de Identidades e Acessos:

Segregação de funções:

Controlar perfis de acesso, garantindo que permissões conflitantes ou mesmo excessivas não sejam concedidas é essencial para evitar acessos não autorizados, ou mesmo situações ilícitas onde os colaboradores da empresa fazem uso não autorizado de dados pessoais.

Privilégio Mínimo:

Adotar o princípio do privilégio mínimo é um passo vital na proteção de dados pessoais. Dessa forma é possível garantir que usuários terão contato com dados pessoais exclusivamente quando isso for necessário para realização de suas atividades laborais. É importante lembrar que acessos excessivos são uma das causas mais comuns de violações de dados, e mitigar esse tipo de vulnerabilidade deve ser uma prioridade em qualquer programa de adequação a LGPD.

Revisão de acessos:

Claro, se você já criou perfis de usuários adotando medidas como o privilégio mínimo e segregação de funções, a possibilidade de erros relacionados a gestão de acessos já é bem menor. Entretanto, é importante lembrar que dificilmente um usuário permanece com o mesmo acesso por muito tempo. O dinamismo do ambiente de negócios implica em mudanças constantes de responsabilidades, e não é incomum que, em meras semanas, aquele um novo colaborador que acabou de chegar na sua empresa demonstrando potencial de crescimento, receba cada vez mais atividades para desempenhar e, consequentemente, novos acessos. No longo prazo isso significa que veteranos podem acumular funções e responsabilidades que se não forem analisadas podem gerar situações conflitantes. Além disso, claro, sempre vai existir a necessidade de se revogar acessos, como no caso de férias, licenças e desligamento. Revisar periodicamente a validade dos acessos concedidos é fundamental para evitar erros ou mesmo situações de uso ilícito de dados pessoais.

Gestão de acesso privilegiado:

Administradores e demais usuários com acessos avançados ou privilegiados são uma consideração vital na proteção de dados pessoais. Enquanto é natural que existam usuários com acesso administrativo ou root a funções dos sistemas e, consequentemente, dados pessoais, é importante manter um controle restrito das atividades realizadas com essas contas. Por exemplo, todo acesso privilegiado deve ser facilmente identificado, bem como quem são os indivíduos que possuem esse tipo de acesso. Infelizmente casos de uso de contas genéricas como 'administrator, 'root, 'admin, 'sa ainda são razoavelmente comuns. Ter a possibilidade de individualizar o acesso administrativo, bem como de rastrear as atividades executadas ajuda a mitigar riscos como o uso indevido acidental ou deliberado de acesso a dados pessoais.

Registrar atividades de usuários:

Mesmo usuários com acessos não-privilegiados podem fazer uso regular de dados pessoais ou mesmo dados pessoais sensíveis. Ter registros das atividades de usuários ajuda na prevenção ou mesmo tratamento de eventuais incidentes. Enquanto muitas aplicações corporativas já possuem suas próprias ferramentas de auditoria, uma boa solução de Gestão de Acesso e Identidade deve ser capaz de manter registros como informações sobre os últimos acessos (e.g. data, hora, IP de origem), ou mesmo alertar quando existe um comportamento anômalo por parte do usuário como, por exemplo, o uso simultâneo de uma mesma conta de acesso, que pode indicar um possível compartilhamento de credenciais.

Gestão do ciclo de vida do usuário:

Colocando de forma simples, o ciclo de vida do usuário é iniciado quando um acesso é concedido, e se encerra quando este é removido. Normalmente gerenciar usuários consome muito tempo da equipe de TI, especialmente em organizações maiores, que utilizam múltiplos sistemas, em ambientes diferentes. Em muitos casos realizar manualmente atividades como criar, modificar, revisar ou mesmo remover acessos não apenas ocupam profissionais valiosos da organização, mas também facilitam a ocorrência de erros e ações ilícitas que implicam diretamente em violações de dados. No ponto de vista da LGPD a gestão do ciclo de vida do usuário é um requisito essencial, uma vez que sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender tanto aos requisitos de segurança, quanto aos padrões de boas práticas e de governança.

Erros de Gestão e Governança de Identidades e Acessos e violações de dados pessoais

Na prática, um processo de Governança de Identidades e Acessos é uma das mais importantes ferramentas de governança corporativa, especialmente quando falamos de proteção de dados pessoais e conformidade com a LGPD.

Inúmeros casos recentes de violações de dados podem ser facilmente ligados a falhas na gestão do acesso de usuários, e isso vai muito além dos empregados e terceiros que compõem a sua empresa. Especialmente em casos onde a organização prove serviços ao público em geral, sistemas que não são implantados e/ou gerenciados considerando as devidas permissões de acesso aos dados pessoais, fatalmente tornam-se protagonistas em incidentes severos.

Usando a Gestão e Governança de Identidades e Acessos para simplificar a conformidade para a LGPD

Parte dos requisitos da LGPD inclui a criação de um programa de governança em privacidade que demonstre claramente o comprometimento da organização em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais. Como todo controle de segurança da informação, a efetividade da sua Gestão e Governança de Identidades e Acessos depende de três fatores básicos: pessoas, processos e tecnologias. Enquanto não se pode minimizar a importância de se ter um processo maduro, além de pessoas devidamente qualificadas e conscientes de suas responsabilidades, um dos grandes desafios nesta jornada é a complexidade dos aspectos tecnológicos, que incluem o uso de múltiplas soluções, com diferentes características para gestão de acessos, que na maioria das vezes requer ação manual de especialistas para atividades básicas como, por exemplo, a criação ou modificação de usuários, ou revisão dos acessos. Sem uma solução específica para uma Gestão e Governança de Identidades e Acessos, muitas organizações simplesmente deixam de executar passos essenciais para a conformidade com a LGPD, e aumentam significativamente seu nível de exposição a violações de dados pessoais. Organizações que adotaram a plataforma da AccessOne conseguiram implementar um processo completo e maduro em um curto prazo, empregando boas práticas baseadas em padrões internacionais, reduzindo a complexidade dos ambientes de TI, e gerenciando acessos de forma dinâmica, com atividades operacionais automatizadas, permitindo a organização demonstrar seu compromisso com a proteção de dados e conformidade com a lei.


Perguntas e Respostas

exclamação

Como o sistema impacta a eficiência operacional?

A AccessOne traz uma imediata redução de trabalho manual e possibilita a criação automática de credenciais para novos colaboradores nos diversos sistemas corporativos o que libera sua equipe para realização de outras tarefas.


exclamação

Eu preciso ter um funcionário contratado só para lidar com o sistema?

A sua equipe atual será treinada e acompanhada pela equipe da AccessOne para gerenciar o sistema. Nós continuamos acompanhando nossos clientes mesmo após a época de instalação


exclamação

O quão automático meu sistema pode ser?

Você pode criar políticas para acesso automatizado conforme empresa, unidade, departamento, cargo. Acessos a sistemas e e-mails são gerados ao mesmo tempo e há ainda autosserviço de reset de senha de forma segurança e centralizada para todos os sistemas corporativos. O setor de RH também sofre impacto de eficiência pois há atualização automática de dados pessoais vindos do RH (empresa, sede, setor, cargo, telefone, e-mail etc.) em todos os sistemas integrados.


exclamação

Como a instalação do sistema torna meus dados mais seguros?

A AccessOne permite identificação de credenciais e acessos indevidos, excesso de permissões, inadequação entre acesso possuído versus função dentro da empresa. Colaboradores desligados e terceiros que encerram prestação de serviços podem ser removidos com agilidade. É possível também identificar compartilhamento de senhas.


exclamação

Com esse sistema, meus dados estão 100% seguros?

Qualquer sistema que tenha acesso humano pode ser violado, mas detectar riscos relacionados a acessos concedidos e adotar mecanismos de controle é primordial para a segurança de dados de uma empresa. A AccessOne gera visibilidade de identidades e acessos para que seja possível identificar rapidamente acessos não conformes, concedidos sem autorização, contas órfãs (cujo dono é desconhecido), dormentes, etc. com rápida adoção de medidas de controle de forma facilitada.


exclamação

Como eu posso usar esse sistema para me auxiliar em auditorias?

Ele provê mecanismos ágeis de identificação e revisão de acessos não conformes, permitindo que revisões de acesso (em massa ou micro revisões) sejam criadas para certificar-se e comprovar adequadamente (para fins de auditoria) a efetiva necessidade de acessos existentes;


exclamação

Eu atendo aos pedidos da LGPD com esse sistema?

Ele possui diversos mecanismos relevantes quanto a legislação de privacidade (LGPD – Lei Geral de Proteção de Dados), normas e boas práticas.

Easy Way Hard Way

Como os sistemas de Gestão e Governança de Identidades e Acessos podem aumentar sua conformidade com a LGPD?

Não há dúvidas: A chegada da LGPD muda completamente a forma como a maioria das empresas faz negócios. Os diversos artigos da lei não apenas formalizam direitos de titulares, mas também estabelecem requisitos para otratamento de dados pessoais cuja adoção é um significativo desafio.

Privacidade não é um tema exatamente novo, especialmente em certos segmentos como, por exemplo, o mercado financeiro e hospitais, que usualmente lidam com dados sensíveis de inúmeras pessoas, e consequentemente já adotam diversas medidas para garantir a segurança e privacidade da informação. Entretanto, mesmo empresas mais maduras terão que fazer ajustes na forma como coletam, tratam, armazenam ou compartilham dados pessoais para se adequar a LGPD.

Um ponto essencial da LGPD é a transparência nas operações. De acordo com a nova lei, titulares tem o direito de saber como seus dados foram coletados, que tipo de tratamento é realizado e qual a base legal para esse tratamento, e até mesmo quem possui acesso aos seus dados pessoais. Na verdade a identidade do titular é algo intimamente ligado a maioria dos artigos da LGPD, fortalecendo a necessidade de um programa efetivo de gestão de identidades e acesso, que garanta a proteção dos dados pessoais contra acessos não autorizados e de situações (acidentais ou ilícitas) de destruição, perda, alteração, comunicação ou mesmo qualquer forma de tratamento inadequado ou ilícito.

O processo de Gestão e Governança de Identidades e Acessos e a LGPD:

Em seus artigos 46 e 49 a LGPD é bastante clara sobre a necessidade de controles técnicos e administrativos para proteção dos dados pessoais. Um ponto importante rumo a conformidade, é entender que muitas das medidas necessárias são facilmente adotadas quando se tem uma Governança de Identidades e Acessos

Segregação de funções:

Controlar perfis de acesso, garantindo que permissões conflitantes ou mesmo excessivas não sejam concedidas é essencial para evitar acessos não autorizados, ou mesmo situações ilícitas onde os colaboradores da empresa fazem uso não autorizado de dados pessoais.

Privilégio Mínimo:

Adotar o princípio do privilégio mínimo é um passo vital na proteção de dados pessoais. Dessa forma é possível garantir que usuários terão contato com dados pessoais exclusivamente quando isso for necessário para realização de suas atividades laborais. É importante lembrar que acessos excessivos são uma das causas mais comuns de violações de dados, e mitigar esse tipo de vulnerabilidade deve ser uma prioridade em qualquer programa de adequação a LGPD.

Revisão de acessos:

Claro, se você já criou perfis de usuários adotando medidas como o privilégio mínimo e segregação de funções, a possibilidade de erros relacionados a gestão de acessos já é bem menor. Entretanto, é importante lembrar que dificilmente um usuário permanece com o mesmo acesso por muito tempo. O dinamismo do ambiente de negócios implica em mudanças constantes de responsabilidades, e não é incomum que, em meras semanas, aquele um novo colaborador que acabou de chegar na sua empresa demonstrando potencial de crescimento, receba cada vez mais atividades para desempenhar e, consequentemente, novos acessos. No longo prazo isso significa que veteranos podem acumular funções e responsabilidades que se não forem analisadas podem gerar situações conflitantes. Além disso, claro, sempre vai existir a necessidade de se revogar acessos, como no caso de férias, licenças e desligamento. Revisar periodicamente a validade dos acessos concedidos é fundamental para evitar erros ou mesmo situações de uso ilícito de dados pessoais.

Gestão de acesso privilegiado:

Administradores e demais usuários com acessos avançados ou privilegiados são uma consideração vital na proteção de dados pessoais. Enquanto é natural que existam usuários com acesso administrativo ou root a funções dos sistemas e, consequentemente, dados pessoais, é importante manter um controle restrito das atividades realizadas com essas contas. Por exemplo, todo acesso privilegiado deve ser facilmente identificado, bem como quem são os indivíduos que possuem esse tipo de acesso. Infelizmente casos de uso de contas genéricas como 'administrator, 'root, 'admin, 'sa ainda são razoavelmente comuns. Ter a possibilidade de individualizar o acesso administrativo, bem como de rastrear as atividades executadas ajuda a mitigar riscos como o uso indevido acidental ou deliberado de acesso a dados pessoais.

Registrar atividades de usuários:

Mesmo usuários com acessos não-privilegiados podem fazer uso regular de dados pessoais ou mesmo dados pessoais sensíveis. Ter registros das atividades de usuários ajuda na prevenção ou mesmo tratamento de eventuais incidentes. Enquanto muitas aplicações corporativas já possuem suas próprias ferramentas de auditoria, uma boa solução de Gestão de Acesso e Identidade deve ser capaz de manter registros como informações sobre os últimos acessos (e.g. data, hora, IP de origem), ou mesmo alertar quando existe um comportamento anômalo por parte do usuário como, por exemplo, o uso simultâneo de uma mesma conta de acesso, que pode indicar um possível compartilhamento de credenciais.

Gestão do ciclo de vida do usuário:

Colocando de forma simples, o ciclo de vida do usuário é iniciado quando um acesso é concedido, e se encerra quando este é removido. Normalmente gerenciar usuários consome muito tempo da equipe de TI, especialmente em organizações maiores, que utilizam múltiplos sistemas, em ambientes diferentes. Em muitos casos realizar manualmente atividades como criar, modificar, revisar ou mesmo remover acessos não apenas ocupam profissionais valiosos da organização, mas também facilitam a ocorrência de erros e ações ilícitas que implicam diretamente em violações de dados. No ponto de vista da LGPD a gestão do ciclo de vida do usuário é um requisito essencial, uma vez que sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender tanto aos requisitos de segurança, quanto aos padrões de boas práticas e de governança.

Erros de Gestão e Governança de Identidades e Acessos e violações de dados pessoais

Na prática, um processo de Governança de Identidades e Acessos é uma das mais importantes ferramentas de governança corporativa, especialmente quando falamos de proteção de dados pessoais e conformidade com a LGPD.

Inúmeros casos recentes de violações de dados podem ser facilmente ligados a falhas na gestão do acesso de usuários, e isso vai muito além dos empregados e terceiros que compõem a sua empresa. Especialmente em casos onde a organização prove serviços ao público em geral, sistemas que não são implantados e/ou gerenciados considerando as devidas permissões de acesso aos dados pessoais, fatalmente tornam-se protagonistas em incidentes severos.

Usando a Gestão e Governança de Identidades e Acessos para simplificar a conformidade para a LGPD

Parte dos requisitos da LGPD inclui a criação de um programa de governança em privacidade que demonstre claramente o comprometimento da organização em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais. Como todo controle de segurança da informação, a efetividade da sua Gestão e Governança de Identidades e Acessos depende de três fatores básicos: pessoas, processos e tecnologias. Enquanto não se pode minimizar a importância de se ter um processo maduro, além de pessoas devidamente qualificadas e conscientes de suas responsabilidades, um dos grandes desafios nesta jornada é a complexidade dos aspectos tecnológicos, que incluem o uso de múltiplas soluções, com diferentes características para gestão de acessos, que na maioria das vezes requer ação manual de especialistas para atividades básicas como, por exemplo, a criação ou modificação de usuários, ou revisão dos acessos. Sem uma solução específica para uma Gestão e Governança de Identidades e Acessos, muitas organizações simplesmente deixam de executar passos essenciais para a conformidade com a LGPD, e aumentam significativamente seu nível de exposição a violações de dados pessoais. Organizações que adotaram a plataforma da AccessOne conseguiram implementar um processo completo e maduro em um curto prazo, empregando boas práticas baseadas em padrões internacionais, reduzindo a complexidade dos ambientes de TI, e gerenciando acessos de forma dinâmica, com atividades operacionais automatizadas, permitindo a organização demonstrar seu compromisso com a proteção de dados e conformidade com a lei.