O gerenciamento de riscos e o seu papel na proteção de dados

Abstract

Com o desenvolvimento e disseminação das tecnologias de informação e comunicação, o uso de dados tornou-se essencial para apoio a tomada de decisão das organizações. Para proteger as pessoas do uso abusivo e não informado dos seus dados, o uso de dados pessoais passou regulado com a implantação recente de leis de proteção de dados. A Lei Geral de Proteção de Dados (LGPD) existe no Brasil desde 2018, e as organizações ainda estão passando pelo período de adequação. O gerenciamento de riscos é utilizado nas organizações para evitar que eventos disruptivos façam com que riscos se materializem, expondo a organização. Por esta razão, a aplicação do gerenciamento de riscos à adequação de processos para a proteção de dados nas organizações deve ser considerada. O objetivo do trabalho é analisar como as ferramentas de gerenciamento de riscos podem beneficiar o processo de proteção de dados em uma empresa de tecnologia especializada em meios de pagamento do Rio Grande do Sul. Na metodologia utilizou-se a revisão sistemática da literatura e uma pesquisa descritiva qualitativa com análise da aplicação das ferramentas de gerenciamento de riscos a proteção de dados em uma organização que já implementou o seu uso. A análise da empresa foi feita por meio de 4 entrevistas, a primeira com o gestor que fez a implantação e com colaboradores de três áreas, que tiveram seus processos impactados pela adoção das ferramentas de gerenciamento de riscos corporativos para proteção de dados. Como resultado da revisão sistemática foram selecionados 10 artigos, a respeito da aplicação do gerenciamento de risco a proteção de dados, principalmente, através de ferramentas de gerenciamento de riscos, que se destacaram no âmbito da proteção de dados. Três ferramentas destacaram-se como eficientes na revisão sistemática, o ROPA/DPIA, Matriz de Riscos e Controles e Análise de Vulnerabilidades. Em concordância, através das entrevistas foi possível verificar que a empresa analisada aplica as três ferramentas em seus processos. Assim, conclui-se que a utilização de sistemas de automatização torna as ferramentas de gerenciamento de riscos ainda mais eficientes no âmbito de proteção de dados.

With the development and spread of information and communication technologies, the use of data has become essential to support organizations' decision-making. To protect individuals from abusive and uninformed use of their data, the use of personal data has become regulated with the recent implementation of data protection laws. The General Data Protection Law (LGPD) has existed in Brazil since 2018, and organizations are still going through the compliance period. Risk management is used in organizations to prevent disruptive events from causing risks to materialize, exposing the organization. For this reason, the application of risk management to the adequacy of processes for data protection in organizations should be considered. The objective of this paper is to analyze how risk management tools can benefit the data protection process in a technology company specialized in means of payment in Rio Grande do Sul. The methodology used a systematic literature review and a qualitative descriptive research with analysis of the application of risk management tools to data protection in an organization that has already implemented its use. The analysis of the company was done through 4 interviews, the first with the manager who did the implementation and with employees from three areas, who had their processes impacted by the adoption of enterprise risk management tools for data protection. As a result of the systematic review, 10 articles were selected regarding the application of risk management to data protection, mainly through risk management tools, which stood out in the scope of data protection. Three tools stood out as efficient in the systematic review, ROPA/DPIA, Risk and Control Matrix and Vulnerability Analysis. In agreement, through the interviews it was possible to verify that the analyzed company applies the three tools in its processes. Thus, it is concluded that the use of automation systems makes the risk management tools even more efficient in the field of data protection.