AIPD – identificação, análise e medidas de mitigação dos riscos

A Avaliação de impacto sobre a proteção de dados, o AIPD, como está sendo popularizado após a entrada em vigor do RGPD, é um documento que deve, entre outras informações, conter um mapeamento e análise de riscos completa em relação ao processamento e tratamento dos dados, bem como uma descrição detalhada das medidas para prevenção e mitigação desses riscos.

A lógica segue na maioria dos aspetos qualquer estudo de mapeamento de riscos, mas possui foco nos dados e na forma com que são tratados. A inglesa ICO possui um modelo bastante objetivo para formulação do AIPD e, nele, encontra-se um resumo prático de como devem figurar os dados e informações referentes à analise dos riscos.

O mapeamento dos riscos

A classificação dos riscos pode variar de empresa a empresa, porém o modelo da ICO estipula alguns graus de análise que servem a praticamente qualquer propósito. Em um quadro, relacionamos os riscos associados aos dados e seus processamento e, para cada um deles, apontamos classificações em três outras colunas:

  1. Probabilidade do risco. Uma noção da possibilidade de que a ameaça venha a se concretizar. A ICO oferece a classificação entre REMOTA, POSSÍVEL e PROVÁVEL.
  2. Extensão dos danos. Uma vez deflagrada a ameaça, quais os danos potenciais? A ICO, desta vez, oferece a classificação entre MÍNIMOS, SIGNIFICATIVOS e SEVEROS.
  3. Potencial médio do risco. Uma leitura geral do quão representativo e preocupante é o risco relacionado. A ICO aqui sugere a classificação entre BAIXO, MÉDIO e ALTO.

Além dos riscos obviamente relacionados à informática e ao tratamento dos dados, como perda dos mesmos, roubo de identidades, corrupção de bases de dados e afins, recomenda-se pensar nos riscos como consequências diretas e não diretas de falhas e problemas relacionados ao processamento de dados. Por exemplo, a perda ou corrupção dos dados contábeis de uma empresa podem levar a atrasos na recolha de impostos ou pagamento de fornecedores, incorrendo em coimas e juros.

O tratamento dos riscos

Após relacionar todos os riscos possíveis, é preciso relacionar, descrever e categorizar as medidas para tratamento desses riscos. Em segurança da informação, diz “controlo” a medida para mitigação ou eliminação de um risco. A ICO oferece novamente uma tabela na qual relacionamos riscos em uma coluna, com classificações em três outras colunas para cada um deles.

  1. Efeito sobre o risco. Diz respeito ao resultado da medida sobre o risco, quando a mesma é levada a cabo com eficiência. Classifica-se entre ELIMINAÇÃO, REDUÇÃO ou ACEITAÇÃO.
  2. Risco residual. Mesmo após o tratamento, alguns riscos ainda permanecem em determinado grau. Quando isso ocorre, é preciso determinar se tal grau é PEQUENO, MÉDIO ou GRANDE.
  3. Medida aprovada. Finalmente, é preciso informar se a medida de controlo relacionada foi ou não aprovada pela direção, o que indica até que ponto pode ou não ser executada ou se necessita de autorizações ou aprovações antes que o seja.

Tomando como base as boas práticas em segurança da informação, é preciso prever nas medidas de tratamento dos riscos uma lógica que cumpra com toda uma sequência. Quando uma situação de risco se torna uma ameaça, procedimentos bem desenhados de segurança precisam ser postos em prática. Geralmente essas medidas de contenção possuem uma gradação, que começa com a prevenção, etapa na qual a ameaça ainda é evitada, terminando na avaliação e passando por diversas outras etapas.

  1. AMEAÇA >> Prevenção;
  2. INCIDENTE >> Detecção >> Contenção;
  3. DANO >> Correção;
  4. RECUPERAÇÃO >> Avaliação.

A primeira etapa de uma medida de contenção exige a identificação de possíveis ameaças, o que reflete o risco que essas ameaças geram caso se materializem. A ameaça é qualquer coisa que interrompa o funcionamento de um negócio baseado em informações, ou cause a ele prejuízos em termos de resultados. Dentro do ciclo anterior, isso significa necessariamente que, após a deflagração de uma ameaça e entrada em cena de uma medida de controlo prevista no AIPD, modificar-se-á, possivelmente, o próprio documento. Os resultados da medida de controlo e as consequências da ameaça deflagrada geram necessidades de atualização, tanto na descrição dos riscos quanto nas medidas adotadas para o seu tratamento.

Quer mais detalhes sobre como conduzir uma análise de riscos? É bom dar uma olhada então na ISO/IEC 27005, que trata mais profundamente do tema. As ISO/IEC 27001, ISO/IEC 27002 e ISO/IEC 27003, por outro lado, falam mais sobre o planeamento, implementação e operação de controlos.