Segurança da Informação: Devo me Preocupar?
Com a maior inserção das pessoas no mundo digital, surgem também novos golpes diariamente. Esses golpes tendem a ser mais especializados e organizados, portanto mais difíceis de identificar como uma fraude, surgindo mais vítimas.
Não é necessário ser especialista em segurança para se proteger desse tipo de ataque, contudo é importante conhecer um pouco para conseguir identificar este tipo de tentativa.
Conceitos
A Segurança da Informação é a área da “tecnologia” responsável pela proteção contra ameaças, detecção e tratamento de vulnerabilidades. Mas é interessante frisar que a Segurança da Informação nos dias atuais não pertence exclusivamente à TI (Tecnologia da Informação), pois não se limita apenas ao provedor dos serviços, além do mais, a informação pode estar em qualquer lugar, seja em meios digitais ou não, como exemplo, podemos citar um holerite (contra-cheques) sobre uma mesa em um local com grande movimentação de pessoas.
Princípios da Segurança da Informação
A Segurança possui vários princípios, também conhecidos como pilares, que são:
Confidencialidade : Garantir que a informação será visualizada apenas por quem é de direito.
Integridade: Garantir que a informação chegue ao legítimo destinatário da mesma forma que foi enviada, ou seja, sem ruídos/alterações na mesma.
Disponibilidade : Garantir que a informação esteja disponível a quem é de direito.
Os três pilares acima são conhecidos como CID, entretanto existem outros que prefiro descrever como extensões dos mesmos. São eles: Autenticidade, Irretratabilidade (Não repúdio), Legalidade, Privacidade e Auditoria.
Classificação da Informação
É preciso tratar as informações, sejam elas pessoais ou empresariais, entretanto não podemos sair por aí, protegendo todas ao nosso redor, nos pertencendo ou não, para isso existe a classificação que nos ajuda a selecionar para o tratamento. Desta forma podemos classificar como:
Pública : Informações que não são vitais, que o conhecimento público da mesma não causa dano, como exemplo, o logotipo de uma empresa.
Interna : Informação não vital, que o acesso não autorizado não tem impactos sérios, mas mesmo assim deve ser evitado. Geralmente são informações de uso interno de uma instituição, como circulares, políticas, etc.
Restrita : Informação que deve ficar dentro dos muros da empresa e deve ser preservada, pois seu acesso é restrito à uma área ou setor. Como exemplo, podemos citar uma documentação de um ativo.
Secreta/Confidencial : Nesse caso a integridade da mesma é fundamental para a empresa, pois geralmente são informações estratégicas e pode conter elementos para a tomada de decisão.
Devo me preocupar?
Em linhas gerais DEVE! A informação é o ativo mais importante de uma pessoa ou organização, sendo assim ela deve ser classificada e de acordo com essa classificação deve ser protegida.
Informações caindo em mãos erradas podem causar danos irreparáveis para o dono da mesma, como exposição, perdas financeiras e etc.
Imagine você com cadastrado num site que deveria proteger suas informações e ocorre um vazamento que expõe seus dados, a empresa pode ser responsabilizada por isso. Agora imagine que você instalou no seu smartphone um aplicativo que não passou pela validação de segurança da loja, baixado da internet. Este mesmo aplicativo possui uma ferramenta oculta que coleta suas informações mais importantes, como dados de geolocalização, senhas, dados pessoais, contatos, mensagens e tudo que deveria ser apenas restrito à você. Nesse caso existe apenas um culpado. Você!
Com esse argumento defendo que segurança da informação deve ser conteúdo de campanhas recorrentes nas empresas e o descumprimento das normas criadas para este fim podem acarretar em punições administrativas e legais.
O que fazer?
No caso das empresas, existem uma série de recomendações que podem ser executadas para mitigar ao máximo as possibilidades de vazamentos.
Implantar uma PSI (Política de Segurança da Informação) adequada às necessidades da empresa com diretrizes e normas bem definidas e em compliance com o código de ética da instituição.
Mas, de nada adianta ter uma PSI se a empresa não divulgar e capacitar seus colaboradores, tornando-os menos vulneráveis à ataques de engenharia social e fazendo-os aceitar e vestir a camisa da empresa em apoio às novas políticas definidas.
A governança da informação serve como ponto de apoio para as implementações da segurança, como a criação de protocolos baseado na norma de classificação da informação e nos processos maturados da empresa.
Deve existir uma equipe que faça análise de vulnerabilidades e uma equipe de resposta a este tipo de incidentes.
No caso dos colaboradores, basta seguir as recomendações da empresa e aplicar no seu dia-a-dia, em casa, no trabalho o em qualquer lugar que esteja.
Legislação
LGPD é a sigla adotada para designar a Lei Geral de Proteção de Dados criada em 14 de agosto de 2018 e que entrou em vigor 18 de setembro de 2020 e com aplicações de multas partir de agosto de 2021.
Ela foi baseada na GDPR (General Data Protection Regulation), que é a regulamentação europeia pra o tratamento de dados. Vigente desde 2016.
Seu principal objetivo é garantir transparência no uso dos dados das pessoas físicas em quaisquer meios. A multa pode chegar à 2% do faturamento bruto limitado à R$ 50 Milhões.
No Processo de proteção de dados estão envolvidos:
- Titular: É o proprietário dos dados. No artigo 5º, inciso V, temos que o titular será a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
- Operador: O inciso VII do artigo 5º, determina que “operador” é a pessoa física ou jurídica “que realiza o tratamento de dados pessoais em nome do controlador”.
- Controlador: O artigo 5º, inciso VI, da LGPD estabelece que “controlador” é a pessoa física ou jurídica “a quem competem as decisões referentes ao tratamento de dados pessoais”.
- Encarregado (DPO): O Encarregado é a pessoa física ou jurídica indicada pelo Controlador e deverá realizar as tarefas de interface com o público em geral, com a Autoridade Nacional de Proteção de Dados (ANPD) e com funcionários e fornecedores de sua empresa. As funções do Encarregado estão descritas no art. 41 da LGPD.
Conclusão
Então seguindo as recomendações deste artigo posso me assegurar que não terei vazamentos na minha empresa ou de meus dados pessoais? A resposta é: Não!
Não existe ambiente cem por cento seguro, mas seguir as recomendações já ajudam a mitigar e proteger alguns pontos de falhas.
Se estiver interessado em saber mais sobre esse mundo, indico a leitura das ISOs 27001 e 27005 que são voltadas para segurança da informação e análise de riscos respectivamente.
Referências
ABNT. Associação Brasileira de Normas Técnicas. Tecnologia da Informação — Sistemas de Gestão de Segurança da Informação. NBR ISO/IEC 27001, de 30/04/2010.
ADVOCATTA. Proteção de Dados para Startups. Disponível em: <https://www.advocatta.org/post-ch2sf/protecao-de-dados-para-startups?gclid=CjwKCAjwh7H7BRBBEiwAPXjadpCNnfCI1uE4EijnNMT3dFg5QS0vUdlNPSF3xIA4QHWguM-wsBogBBoCa9EQAvD_BwE>. Acesso em: <24 de setembro de 2020>.
AVAST. Os últimos 10 maiores vazamentos de dados. Disponível em: <https://blog.avast.com/pt-br/os-ultimos-10-maiores-vazamentos-de-dados>. Acesso em: <23 de setembro de 2020>.
NSWORLD. Os Pilares da Segurança da Informação. Disponível em: <https://nsworld.com.br/os-pilares-da-seguranca-da-informacao/>. Acesso em: <23 de setembro de 2020>.
PLUGAR. LGPD: veja os deveres dos encarregados pelo tratamento de dados. Disponível em: <https://www.plugar.com.br/lgpd-veja-os-deveres-dos-encarregados-pelo-tratamento-de-dados/>. Acesso em: <24 de setembro de 2020>.
SENIOR. LGPD: O que é, como vai funcionar e o que muda para sua empresa. Disponível em: <https://www.senior.com.br/blog/lgpd-o-que-e-como-vai-funcionar-e-o-que-muda-para-sua-empresa#:~:text=LGPD é a sigla adotada,pessoas físicas em quaisquer meios>. Acesso em: <23 de setembro de 2020>.
SÊMOLA, Marcos. Gestão da Segurança da Informação. Rio de Janeiro: Campus, 2003.
TECMUNDO. Ataque Hacker. Disponível em: <https://www.tecmundo.com.br/ataque-hacker>. Acesso em: <23 de setembro de 2020>.
