Como fica o backup em tempos de LGPD?

Nesse webinar, falamos sobre procedimentos e políticas que podem ser adotados para que seu backup respeite o que prevê a LGPD e mais.

Se você participou do nosso webinar, mandou dúvidas, mas ela não foi respondida ao vivo, então confere nosso FAQ abaixo (clique na pergunta para visualizar as respostas).

Ah! E se você não assistiu o webinar, pode conferir aqui.

Eu faço backup com HD Externo e inclusive retiro da empresa, para evitar justamente, roubos, incêndios. Ação aprovada pelo meu diretor. Quais os cuidados que devo tomar?

Se a informação é retirada da empresa por alguém, esse alguém pode ser roubado. Esse backup, por exemplo, está criptografado? Porque, caso não esteja, essa informação pode ser extraviada, pode ser vazada. Sendo assim, é necessário ter cuidado. Se o dado está saindo da empresa através de um HD externo, é preciso que se tome os devidos cuidados para que, em caso de perda ou roubo, essa informação não vaze. Eu reforço a criptografia como recurso importante para esse tipo de situação.

O que faz com que eu fique tranquilo em relação ao meu backup? Como sei se está tudo "OK"?

O primeiro passo é avaliar os riscos, entender quais as ameaças que podem colocar os meus dados em situação de perigo. Ok, eu tenho um ambiente que ele é seguro, tem sistema anti-incêncio, tem segurança no prédio, mas isso não vai garantir total segurança. A recomendação para você ficar tranquilo é: aplique a regra 321, monitore seus backups, faça auditoria, revise as documentações. Não posso garantir que dessa forma você estará totalmente seguro porque em segurança da informação não há esse 100%. Mas garanto que dessa forma você estará bem mais seguro e tranquilo que a grande maioria das empresas.

Como posso fazer para gastar menos com Backup?

É uma pergunta interessante. Backup é como seguro de automóvel, você paga, existe um custo, mas não quer usar. Não é adequado economizar em backup, mas você pode ter um backup razoavelmente seguro sem gastar fortunas. Então você precisa avaliar o seu ambiente, o que você precisa proteger, e faça o que for necessário. Mas lembre-se sempre de manter uma cópia fora da empresa. "Ah, eu tenho uma unidade de fita, mas eu acho a nuvem muito cara". Ok, você pode ter a unidade de fita, mas é importante você avaliar os riscos porque, conforme os dados mostrados, a possibilidade da fita apresentar problema é muito maior do que a nuvem. Então, backup barato não é aderente, o que é aderente é backup adequado, por isso é importante avaliar com atenção.

É correto fazer Backup em ferramentas como OneDrive, Google Drive e ou Dropbox?

Eu não recomendo. Essas ferramentas são para salvaguarda de arquivos do usuário. O que pode acontecer? Esse ambiente fica normalmente sincronizado com o servidor ou ambiente local, e se você tiver algum tipo de ameaça, como o ransonware, a ameaça vai criptografar os dados que estão aqui embaixo e se houver sincronização provavelmente ele vai atingir esses dados do Onedrive, por exemplo. Então eu não acho seguro você fazer backup nesse tipo de ambiente, pra isso eu recomendo um storage mais apropriado.

Poderia falar mais sobre a auditoria?

A auditoria deve ser realizada periodicamente (esse período é determinado pela sua política de segurança). Recomendo que seja feita por um analista e que essa pessoa não esteja envolvida diretamente na atividade de monitoramento. Devem ser recuperados os dados críticos (bancos e/ou documentos) escolhidos aleatoriamente. Logo após a recuperação, esses dados devem ter sua integridade verificada. Todo o processo deve ser documentado, informando o que foi recuperado, onde, como e se houve algum tipo de inconsistência.

Periodicidade do backup?

A periodicidade é a frequência com que o backup é realizado. Dependendo da política de segurança adotada, na maioria das empresas é realizada a cada 24 horas e após o expediente

Qual a mídia de backup externo que você recomenda?

A que recomendo, sem sombra de dúvidas, é a nuvem, que não é mídia, mas é um meio de backup externo.

Direito ao esquecimento: entendi, mas não compreendi. Tipo a pessoa pode mentir dizendo q não apagou um dado?

Todo o processo de remoção deve ser formalizado documentalmente, desde a solicitação por escrito por parte do TITULAR como do CONTROLADOR que realiza a ação de exclusão.

Como é o serviço ofertado pela HSBS?

Entre os serviços que a HSBS realiza na área de backup está a consultoria (avaliação de riscos, sugestões de melhorias e adequações); Ofertas de soluções completas de backup (incluindo Software + Armazenamento Cloud + Gestão ); Projeto e implantação de soluções de backup nos mais diversos níveis de proteção. Após o contato, buscamos a solução que melhor se adequa a cada cliente.

Para atender à LGPD, é necessário separar os dados de cada usuário no backup? Se os logs de acesso são enviados para uma mesma área, é necessário separar os registros de cada um?

Não necessariamente, mas seu backup e seu sistema que contem os dados dos usuários devem estar bem alinhados. Para isso você precisa saber exatamente onde estão esses dados sensíveis e como deverá trata-los. Questões como retenção, exclusão de dados e recuperação devem estar bem claras e definidas para que atenda aos requisitos de conformidade da LGPD.

Qual o tempo de restauração do meu Backup na Nuvem? se eu perder um dado, com quanto tempo posso recuperar?

Esse é bem relativo, vai depender do volume que você precisa recuperar, da sua banda larga, de onde estão esses dados. Porque estamos falando de backup em nuvem, mas o datacenter pode estar no Brasil, EUA, na Ásia... dependendo de onde esteja esse datacenter, teremos um tempo de recuperação diferente, mas, na maioria dos casos, vai depender basicamente do seu download.

Como garantir que o provedor da nuvem garanta que o dado pessoal não seja vazado? E se o datacenter não tiver uma legislação tipo a GDPR ou LGPD?

Em Segurança da Informação, não usaria a palavra garantir, mas para aumentar o nível de segurança, habilite a criptografia em seus backups, isso fará com que os dados fiquem inacessíveis onde quer que estejam. Para tal, é necessário que sua solução de backup tenha esse recurso disponível.Verifique as certificações que seu provedor possui.

Ainda tem dúvidas? Entra em contato conosco: marketing@hsbs.com.br. Sua dúvida será enviada a um de nossos especialistas.

Aprenda mais:

Diagnóstico do seu ambiente de TI, elaborado e gerenciado pela HSBS
Introdução à LGPD
M365 e LGPD

Guias de boas práticas elaborado pelo Governo Federal
Ferramenta para relatório de impacto
Template de programa de segurança desenvolvido pela ANPPD