Um Instrumento de Inspeção da Aderência de Soluções Iot à LGPD
LGPD; IoT; Checklist de inspeção.
Introdução: Com os atuais avanços digitais, a sociedade torna-se mais
dependente da tecnologia. Para acompanhar estes avanços, o investimento na
segurança das informações passa a ser cada vez mais necessário. Isto não é
diferente para no contexto da IoT (do inglês, Internet of things), pois
ela traz diversos benefícios para o cotidiano tanto de pessoas como
empresas, pois diversos projetos na IoT tratam diversos dados pessoais.
Diante disso, se faz necessária certa proteção de informações relacionadas.
Atualmente no Brasil, a gestão de segurança de informação é regida pela
LGPD (Lei Geral de Proteção dos Dados).
Objetivo: Visando verificar a adequação de projetos com a LGPD,
pesquisadores da UFMA propuseram um mecanismo de auxílio à averiguação de
adequação à LGPD. Desta forma, este trabalho visa propor uma extensão a
esse mecanismo para auxiliar à averiguação de adequação à LGPD
considerando as características específicas de IoT.
Metodologia: O mecanismo foi avaliado em uma instituição privada ligada à
inovação industrial. Consideramos que esse é o perfil do público-alvo do
mecanismo proposto. A avaliação foi conduzida como um estudo de caso onde,
após inspeção de possíveis falhas de segurança no sistema da empresa, foi
aplicado um questionário de pós-inspeção com o mecanismo proposto. Este
questionário avaliou a facilidade em usá-lo e a intenção dos participantes
em utilizá-lo em outros sistemas. Por fim, ocorreu um focus group, onde
foram discutidos benefícios, pontos críticos e melhorias aplicáveis ao
checklist.
Resultados: Foram apresentadas opiniões positivas sobre o uso do mecanismo
proposto, os participantes conseguiram utilizá-lo sem grandes problemas.
Além disso, foi possível encontrar defeitos de segurança nos sistemas. Os
participantes consideraram o mecanismo como de grande utilidade para guiar
os profissionais nas soluções dos defeitos encontrados.
Conclusões: Conclui-se que o mecanismo proposto é capaz de auxiliar
profissionais na averiguação de adequação à LGPD em projetos que envolvem
IoT à LGPD. O estudo foi realizado em uma instituição específica,
identificando defeitos reais de uma empresa, porém, os resultados não podem
ser generalizados. É necessário replicações do estudo para identificar se
esses resultados se aplicam a outras empresas.