Governança, LGPD e IAM  

Onde Governança, LGPD e Gestão de Identidade se encontram.

As exigências para gerir o acesso aos sistemas nas empresas aumentam com a chegada da Lei Geral de Proteção de Proteção de Dados (LGPD). A LGPD determina, dentre uma série de outras exigências, a adoção de mecanismos e procedimentos para mitigar o vazamento de informação. No nível estratégico, as empresas precisam garantir que a segurança seja central para sua estratégia de dados e provar que podem controlar e proteger o acesso aos sistemas que mantêm dados pessoais. Se não houver preparação adequada, a governança será negativamente afetada, o que aumentará os custos em investimento e adequações, podendo, no limite incorrer na penalização por multas e suspensão ou proibição das atividades relacionadas aos dados utilizados.

O guia DAMA-DMBOK V2®, lançada em julho de 2017 nos EUA, pela DAMA-Data Management Association, explica que a governança de dados é definida como o exercício de autoridade e controle (planejamento, monitoramento e execução) sobre a gestão de ativos de dados. O que vemos na prática é um papel da governança para definir e acompanhar o cumprimento de estratégias para gerir os dados dentro da empresa, inclusive a definição de políticas, papéis, responsabilidades e processos de gestão de dados.

O cenário tecnológico atual combina infraestruturas híbridas, virtualização e computação em nuvem, o que aumenta de forma significativa o volume de usuários que têm acesso a sistemas críticos e dados confidenciais. No entanto, nos cenários mais tradicionais ou de empresas que ainda estão iniciando o processo de tratamento e segurança de dados, a falta de organização e estrutura tem implicações drásticas em como a organização irá lidar com a privacidade, e garantir a confidencialidade e a integridade dos dados, que é tão importante quanto a tecnologia implantada para protegê-los. Por exemplo, contas duplicadas, registros incompletos ou registros de usuários que não podem ser correspondidos ou correlacionados, dificultam a capacidade de estabelecer uma percepção completa da identidade de um usuário em toda a empresa. Se uma identidade não pode ser corretamente identificada e gerenciada, será difícil no nível tático da gestão do dia a dia garantir que os controles mínimos de segurança estão sendo seguidos. Este é por si só um grande desafio, exógeno à LGPD. Por sua vez, uma estratégia totalmente integrada de governança de acesso a dados e Identity and Access Management (IAM), com a combinação certa de serviços e tecnologia, ajudará as organizações a responder as perguntas como: Onde os dados são armazenados? Qual é o seu valor para a organização? Quais são os controles de proteção? Quem tem acesso? Como eles estão usando esse acesso? No âmbito da Lei, estas perguntas serão direcionadas para os dados pessoais de funcionários, parceiros, fornecedores e clientes.

A governança de dados e IAM tem juntos o potencial de longo alcance de transformar a capacidade das organizações em se adequar à LGPD, atendendo às demandas de auditorias por meio de relatórios centralizados e atualizados, além de aumentar a eficiência operacional e reduzir custos, trazendo, com isto, minimização do risco de violações relacionadas a credenciais comprometidas, ameaças internas e excessos de privilégios. Para atingir estes resultados, as empresas precisam compreender completamente seus dados e o ciclo de vida do usuário nos principais sistemas, com isto, torna-se possível identificar a sensibilidade dos repositórios de dados e as vulnerabilidades em processos e tecnologia.

O NetAdmin IAM endereça as características de um sistema de IAM maduro para suportar um projeto de conformidade bem-sucedido, ao garantir que identidades e seus acessos, sejam de funcionários, terceiros ou clientes podem ser criadas e gerenciadas em todo seu o ciclo de vida, de forma compatível com a LGPD.