Apresentação
O artigo 50 da LGPD, preconiza que os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
A crescente migração para meios eletrônicos de conteúdos informacionais, que antes residiam em formatos e suportes tradicionais, impõe que a Administração esteja atenta aos riscos inerentes ao meio digital.
Toda informação gerada, armazenada, processada, transmitida e descartada por qualquer agente do Tribunal de Contas do Estado de Rondônia é considerada ativo valioso. A informação – dados pessoais ou não – pode ser gerada e manipulada de diversas formas: mensagens e arquivos eletrônicos, internet, meio impresso, verbal, entre outros, mas, independente da forma de manipulação, três aspectos norteiam a segurança da informação:
• Confidencialidade: a informação só deve ser acessível a quem tem a devida autorização;
• Integridade: a informação deve manter-se inalterada desde sua geração ou alteração autorizada;
• Disponibilidade: a informação deve estar sempre disponível às pessoas autorizadas.
Os sistemas, as informações, as comunicações e as pessoas – o elo mais fraco da Segurança da Informação -, que integram o contexto das organizações como um todo, demandam cuidados frente às ameaças a que estão expostos.
Desta forma, é importante buscar a aplicação de boas práticas e governança para proteção contra “eventos de segurança da informação”, que podem ser conceituados como “a ocorrência identificada de um estado de um sistema, serviço ou rede que indique uma possível violação da política de segurança da informação ou falha de proteção, ou uma situação previamente desconhecida que possa ser relevante em termos de segurança”.
A Administração deve considerar como de alta criticidade a Gestão da Segurança da Informação e Privacidade de Dados, de modo a salvaguardar dados, informações e serviços sob sua responsabilidade, visando a continuidade do negócio, preservando a segurança da informação e os interesses da sociedade e do Estado.
Por fim, é sabido que no desenvolvimento e aplicação de boas práticas de governança estão envolvidos fatores gerenciais, humanos, materiais e financeiros.
A seguir, elencamos alguns fatores de sucesso que devem ser considerados pela organização para o desenvolvimento de ações desta natureza:
- Engajamento da Alta Administração;
- Seleção de equipes a partir de conhecimentos técnicos e fatores humanos;
- Disponibilizar recursos humanos capacitados e em quantidade suficiente para atuar nos projetos;
- Engajamento das equipes;
- Proporcionar às equipes as condições necessárias para o desenvolvimento das atividades;
- Gerenciamento das equipes;
- Gestão de relacionamentos interpessoais e organizacionais;
- Intermediação entre direção e equipes de projetos;
- Análise sistemática das melhores alternativas para alcançar os objetivos;
- Aquisição de insumos necessários para o desenvolvimento das atividades propostas;
- Disponibilização recursos tecnológicos para controle e gerenciamento;
- Priorização do tempo das equipes com foco na realização das atividades descritas nos projetos; e
- Monitoramento e acompanhamento do cumprimento das diretrizes estabelecidas.