官方數據顯示,2021年至2022年間,向國家資料保護局(ANPD)提交的安全事件報告數量增加了54%。這一成長對各種規模的企業而言都構成令人擔憂的局面,並凸顯了製定有效的資料保護和事件回應政策的必要性。
律師兼資料隱私專家、高階主管培訓計畫客座講師愛德加·多拉塔強調,數位安全漏洞並非大型企業獨有。 「巴西《通用資料保護法》(LGPD)為企業管理帶來了新的範式。安全並非一個有截止日期的項目,而是一個持續的過程。」他說。
專家指出,大多數已報告的事件源於人為錯誤和缺乏完善的內部流程。 「許多小型企業普遍認為,只要安裝防毒軟體就足以提供保護。但實際上,問題根源在於缺乏明確的政策、存取控制和員工培訓。」多拉塔解釋道。
為了避免受到處罰和聲譽損害,他建議採取三大支柱:政策、培訓和回應。首先,要製定客觀的指南,指導如何收集、儲存和分享訊息,包括與供應商分享資訊。其次,要定期進行安全瀏覽實務和識別網路詐騙的培訓。第三,要製定事件回應計劃,明確責任人,並設定與巴西國家資料保護局 (ANPD) 和受影響的資料主體溝通的截止日期。
Serasa Experian 最近的一項調查顯示,60% 的巴西中大型企業仍然沒有繪製出其處理資料的完整生命週期圖,從接收到刪除。 「數據映射是治理的基礎。如果不知道數據在哪裡,就無法保護數據,也無法應對數據洩露,」一位律師指出。
多拉塔強調,中小企業可以從一些簡單、低成本的措施入手,例如雙重認證、審查權限以及實施內部電子郵件和密碼使用策略。 「資訊安全是對業務連續性的投資。預防遠比補救成本低,」她指出。
他也指出,遵守巴西《通用資料保護法》(LGPD)也是一項競爭優勢。 「在資料處理方面展現出責任感的公司能夠贏得更多信任,並在公共和私人採購過程中脫穎而出。資料保護已不再僅僅是一項法律要求,而成為一種戰略優勢。」他總結道。
