O artigo 46 da LGPD trata de medidas de proteção contra acessos e ações inadequadas aos aos dados pessoais
Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Algumas das formas de atender o artigo 46 da LGPD, como medidas de segurança são:
Controle de acesso
Certifique-se de que as permissões do usuário estejam em conformidade com suas políticas de controle de acesso.
- Revise as permissões de acesso para ativos de informações confidenciais regularmente para identificar e retificar o seguinte:
- Permissões excessivas
- Permissões atribuídas diretamente, em vez de por meio de funções e grupos
- Herança de permissão quebrada
- Auditar e alertar sobre mudanças nas permissões para detectar imediatamente quaisquer modificações autorizadas ou impróprias.
Menor Privilégio
Mantenha as permissões de acesso do usuário com base no princípio do menor privilégio.
- Revise regularmente os direitos de acesso concedidos aos usuários e funções para garantir que os usuários tenham apenas as permissões de que precisam para realizar seus trabalhos.
- Certifique-se de que as contas privilegiadas sejam restritas a usuários e funções específicos que precisam de acesso às funções relacionadas à segurança nos sistemas de informação.
- Certifique-se de que as contas administrativas privilegiadas sejam usadas exclusivamente para executar tarefas relacionadas à segurança.
Geração de registros de auditoria
Tenha registros de auditoria contendo informações:
- que estabelece que tipo de evento ocorreu, quando e onde ocorreu, a origem do evento, o resultado do evento e a identidade de quaisquer indivíduos associados ao evento.
- Colete registros detalhados (incluindo detalhes de Quem, O quê, Quando e Onde) de eventos em seus sistemas de informação e aplicativos.
- Ajuste as configurações de coleta de dados para garantir que a trilha de auditoria contenha todos os detalhes necessários
Revisão de trilha de auditoria
Revise regularmente os registros de auditoria em busca de indicações de atividades inadequadas ou incomuns e relate as descobertas ao pessoal apropriado, como sua equipe de resposta a incidentes ou grupo InfoSec.
- Reveja regularmente uma trilha de auditoria consolidada em seus sistemas de informação críticos.
- Exporte relatórios para evidências ao relatar atividades inadequadas ou incomuns para a equipe de segurança responsável.
- Configure alertas para acionar incidentes automaticamente em sua solução de gerenciamento de suporte de serviço de TI (ITSSM).
- Adicione registros de auditoria de outros sistemas e aplicativos importantes à trilha de auditoria correlacionada ao tempo de todo o sistema.
- Garanta a integridade do processo de auditoria monitorando as mudanças no escopo da auditoria.
Geração de relatórios e redução de auditoria
Fornece relatórios resumidos para apoiar a revisão de auditoria sob demanda, requisitos de análise e relatórios e investigações de incidentes sem alterar os registros de auditoria originais
- Agregue registros de auditoria de vários sistemas de informação.
- Gere relatórios personalizados sobre eventos de interesse em todos os sistemas monitorados.
Gestão e retenção de informações
Gerenciar e reter informações pessoais confidenciais de acordo com as leis, regulamentos e requisitos operacionais aplicáveis.
- Certifique-se de que as informações de identificação pessoal e outras informações confidenciais nos repositórios de dados da organização estejam devidamente protegidas, incluindo proteção contra divulgação não autorizada ou perda acidental.
- Monitore as informações de identificação pessoal e outras informações confidenciais nos repositórios de dados da organização, que excedem seu tempo de retenção legítimo.
- Estabelecer processos e procedimentos para apoiar os clientes que desejam exercer seus direitos de titular dos dados:
- Direito de acesso
- Direito à retificação
- Direito de apagar (direito de ser esquecido)
- Direito à portabilidade
O Netwrix Auditor possui relatórios que atendem todos esses tópicos. Conheça a plataforma em um teste gratuito direto no seu ambiente.
Relacionado:
Atendendo artigos da LGPD – Artigo 43
Atendendo artigos da LGPD – Artigo 48