官方数据显示,2021年至2022年间,向国家数据保护局(ANPD)提交的安全事件报告数量增长了54%。这一增长对各种规模的企业而言都构成令人担忧的局面,并凸显了制定有效的数据保护和事件响应政策的必要性。
律师兼数据隐私专家、高管培训项目客座讲师埃德加·多拉塔强调,数字安全漏洞并非大型企业独有。“巴西《通用数据保护法》(LGPD)为企业管理带来了新的范式。安全并非一个有截止日期的项目,而是一个持续的过程。”他说道。
专家指出,大多数已报告的事件源于人为错误和缺乏完善的内部流程。“许多小型企业普遍认为,只要安装杀毒软件就足以提供保护。但实际上,问题根源在于缺乏明确的政策、访问控制和员工培训。”多拉塔解释道。
为了避免受到处罚和声誉损害,他建议采取三大支柱:政策、培训和响应。首先,要制定客观的指南,指导如何收集、存储和共享信息,包括与供应商共享信息。其次,要定期开展安全浏览实践和识别网络诈骗的培训。第三,要制定事件响应计划,明确责任人,并设定与巴西国家数据保护局 (ANPD) 和受影响的数据主体沟通的截止日期。
Serasa Experian 最近的一项调查显示,60% 的巴西中大型企业仍然没有绘制出其处理数据的完整生命周期图,从接收到删除。“数据映射是治理的基础。如果不知道数据在哪里,就无法保护数据,也无法应对数据泄露,”一位律师指出。
多拉塔强调,中小企业可以从一些简单、低成本的措施入手,例如双因素身份验证、审查权限以及实施内部电子邮件和密码使用策略。“信息安全是对业务连续性的投资。预防远比补救成本低,”她指出。
他还指出,遵守巴西《通用数据保护法》(LGPD)也是一项竞争优势。“在数据处理方面展现出责任感的公司能够赢得更多信任,并在公共和私人采购过程中脱颖而出。数据保护已不再仅仅是一项法律要求,而成为一种战略优势。”他总结道。
