O Papel da TI na Proteção de Dados

O Papel da TI na Proteção de Dados

Em 2022, foi promulgada a Emenda Constitucional 115, que torna a proteção de dados um direito fundamental do cidadão brasileiro, estabelecida no artigo 5º da Constituição Federal.

Portanto, os processos das empresas e instituições devem, na prática, trabalhar para proteger os dados de seus clientes e parceiros. 

Por que a proteção de dados é tão importante?

Você sabia que o Dia Internacional da Proteção de Dados é celebrado no dia 28 de janeiro? A data foi escolhida em razão da abertura à assinatura da Convenção nº 108, do Conselho da Europa para a Proteção de Pessoas, em 2006.

Esta data serve para relembrar a importância da proteção de dados e reforçar ações de segurança. 

Os dados dos usuários fazem parte de suas identidades, e o vazamento e exposição de informações podem deixá-los à mercê de crimes online e offline, como golpes em redes sociais, fraudes financeiras, chantagens e até mesmo roubos e sequestros. 

Por isso, é fundamental que empresas, usuários e autoridades trabalhem em conjunto para estabelecer estratégias de segurança.

Tipos de dados pessoais

Os dados pessoais de um usuário são classificados de diversas formas, desde a senha de quatro dígitos até o reconhecimento facial. Todos devem ser protegidos e mantidos em sigilo para preservar sua identidade e o patrimônio.

  • Dados de identificação: nome, sobrenome, estado civil, assinatura, lugar e data de nascimento, nacionalidade, idade, entre outros;
  • Dados de contato: endereço, e-mail, telefone, entre outros;
  • Dados profissionais: cargo, local de trabalho, meios de contato corporativos, data de admissão e demissão, valor de salário, entre outros;
  • Dados de características físicas: cor da pele, cor dos olhos, cicatrizes, estatura, peso, tipo sanguíneo, entre outros; 
  • Dados acadêmicos: trajetória acadêmica, diplomas, certificados, reconhecimentos, méritos, entre outros;
  • Dados patrimoniais: propriedades, bens móveis e imóveis, contas bancárias, seguros, cartões de crédito, entre outros;
  • Dados biométricos: forma da íris, impressões digitais, forma da palma da mão, padrões de voz e outras características únicas.  

Ainda existem dados ideológicos, de saúde, vida sexual e origem étnica. Nem todas essas informações são completamente sigilosas, mas a exposição delas em lugar algum dá o direito às empresas de se apossar e tratá-las como bem entenderem. Isso faz parte do direito à privacidade dos dados

A Lei Geral de Proteção de Dados (LGPD)

Após algumas empresas utilizarem os dados de seus clientes de forma indiscriminada, surgiram movimentos pela proteção da privacidade das informações. Assim, foram promulgadas leis específicas - como a LGPD, a Lei Geral de Proteção de Dados.

Ela entrou em vigor em 2020 e se aplica a todas as empresas públicas ou privadas que coletam dados de pessoas físicas para tratamento. A lei interpreta como tratamento de dados toda operação realizada com os dados pessoais, como o que se refere à coleta, produção, recepção, classificação, utilização, entre outros.

A LGPD conta com alguns princípios para garantir o bom uso das informações:

Finalidade

A empresa deve ter finalidades claras para o uso dos dados, com propósitos legítimos, explícitos e informados ao titular. 

Adequação

Os fins de uso dos dados devem ser adequados ao que foi informado aos titulares, de acordo com o contexto do tratamento.

Necessidade

O tratamento dos dados deve ser o mínimo necessário, sempre proporcional e não excessivo às finalidades.

Livre acesso

Os titulares devem ter acesso facilitado e gratuito aos seus dados, além de poderem alterar a qualquer momento a forma e a duração do tratamento.

Qualidade dos dados

Por qualidade, entende-se que os dados devem ser verdadeiros e estejam atualizados com exatidão, clareza e relevância.

Transparência

As empresas devem ser honestas aos titulares sobre o tratamento dos dados e seus respectivos agentes, que são outras empresas envolvidas no processo de tratamento dos dados.

Segurança

A LGPD exige que existam procedimentos, tecnologias e soluções para garantir a proteção dos dados que estão sob o domínio da empresa para evitar “situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”.

Prevenção

A empresa deve estar preparada para lidar com problemas que possam surgir, para evitar danos aos titulares.

Não discriminação

O objetivo de tratamento de dados jamais deve ser incitar discriminação e preconceito contra grupos de pessoas, seja em razão de sua raça, etnia, origem, entre outros.

Responsabilidade/prestação de contas

A empresa deve mostrar que está cumprindo a lei com provas e evidências que as devidas medidas são tomadas. 

Para que seja seguida à risca, a Lei exige que, obrigatoriamente, um profissional seja o DPO da empresa, ou seja, o encarregado pela proteção dos dados pessoais. A sigla do cargo significa Data Protection Officer.

A área de TI e a segurança da informação

Os profissionais de TI são agentes importantíssimos na proteção de dados. São eles que desenvolvem sistemas e fiscalizam o cumprimento das normas de segurança.

O gestor da área deve ficar responsável pelas políticas internas da empresa e pela orientação dos colaboradores sobre o seguimento dos protocolos. Além disso, o time de TI deve zelar pelo armazenamento correto e seguro dos dados

Essa equipe também pode fazer testes de software e ter o cuidado na arquitetura da informação com criptografia de ponta a ponta em sites e aplicações.

Nós falamos um pouco mais sobre prevenção a ataques no tópico abaixo.

Tipos de segurança em TI

A equipe de TI atua em várias frentes para garantir a segurança das informações da instituição e dos dados de clientes e parceiros. A segurança em TI se divide nos seguintes tipos:

Rede

Como o nome sugere, a segurança de rede é fundamental para impedir invasões à rede, garantindo a usabilidade, confiabilidade e integridade das informações.

Internet

Todas as informações que são trocadas por meio de navegadores online devem ser protegidas pela segurança da internet. Em geral, é feita na forma de firewalls, antimalware e antispyware.

Endpoint

A segurança de endpoint protege os dispositivos, impedindo que eles acessem redes mal-intencionadas que possam facilitar invasões e ataques. 

Nuvem

A segurança da nuvem é feita por agentes de segurança de acesso (CASB), gateways de Internet seguros (SIG), e um gerenciamento unificado de ameaças baseado em nuvem (UTM). 

Aplicações

A codificação é uma forma efetiva de proteção de aplicações, já que torna possível analisar o código de uma aplicação e identificar possíveis vulnerabilidades que possam existir no software.

Como prevenir ataques e garantir a segurança das informações?

Existem algumas práticas a serem tomadas pelas empresas que podem ajudar a fortalecer a segurança de dados.

Acompanhe as atualizações

O mercado de tecnologia está em constante evolução. Por este motivo, novas tendências são muito comuns.

Novas soluções são apresentadas e as empresas precisam estar atentas às movimentações, como o surgimento de novas aplicações e softwares de segurança. 

Ao mesmo tempo, é importante saber filtrar as novidades, visto que a proteção de dados exige cautela e deve ser gerida por softwares e profissionais de confiança.

Mantenha os programas e licenças atualizados

Licenças expiradas e softwares desatualizados são um prato cheio para hackers.

Os fornecedores de mercado para as empresas de tecnologia estão sempre trabalhando em atualizações para corrigir falhas e tornar os sistemas cada vez mais seguros. 

Por isso, para dificultar ainda mais a ocorrência de ataques, a equipe deve se organizar para conferir se os programas estão configurados em suas atualizações mais recentes.

Em geral, os lembretes de atualização são enviados pelos canais de comunicação mais utilizados, como e-mail ou mensagem pop-up.

Altere as senhas com frequência

O uso de senhas diversas e fortes é uma ótima forma de proteger o acesso a dados importantes. Essa prática é válida até mesmo para arquivos pessoais, como e-mails e redes sociais.

É ideal que a equipe de TI estabeleça um tempo limite para fazer a alteração das senhas e evitar a invasão e o acesso de pessoas não autorizadas.

Dependendo da empresa, a orientação para os clientes deve ser a mesma: trocar as senhas periodicamente e utilizar letras, números e caracteres especiais para que ela seja forte e o mais indecifrável possível. Evitar usar nomes, datas de nascimento, números de documentos ou outras informações óbvias e conhecidas.

Controle de acesso

Quando uma pessoa acessa dados importantes que não são de sua responsabilidade ou área, ela pode não entender a importância daquelas informações.

E se acontecer o vazamento ou exclusão de uma informação ou arquivo importante, o prejuízo será refletido em toda a empresa. Infelizmente, por se tratar de uma falha humana, esses acontecimentos não são incomuns. 

Para evitar dores de cabeça, os times devem ficar cientes do controle e, quanto mais importante forem os dados, o ideal é que menos pessoas tenham acesso a eles - e que sejam profissionais altamente capacitados para tratá-los.

Ao mesmo tempo, controle de acesso não é sinônimo de falta de transparência. Tudo que for importante deve ser compartilhado. 

Existem diversas configurações que permitem que os arquivos sejam apenas visualizados, mas não editados. A equipe pode investir em um tempo para atualizar essas preferências, por exemplo.

Bloqueio de sistemas de saída 

A equipe de TI deve estar ciente sempre que informações forem vazadas ou acontecer alguma tentativa de vazamento. 

Para isso, é possível investir em bloqueio de sistemas de saída, sites que facilitem o recolhimento de arquivos e sistemas internos de comunicação.

Políticas de segurança

Coleta e utiliza os dados de forma diferente. Para garantir boas práticas desta utilização, é imprescindível estabelecer políticas de conduta e segurança a serem seguidas por todos os colaboradores. Assim, é possível evitar invasões e ataques. 

Uma dica de boa prática é estabelecer um fluxo de ação quando um funcionário identificar tentativa de vazamento de dados, por exemplo. A quem ele deve reportar? Por qual canal de comunicação isso será feito? Entre outros indicativos.

E para garantir que todos estão cientes das condutas, as equipes responsáveis podem oferecer treinamentos, que ajudam a uniformizar os procedimentos.

Ferramentas de monitoramento

A equipe de TI deve saber tudo o que acontece na rede de atividades. Para isso, as ferramentas de monitoramento são importantes para identificar vulnerabilidades, mudanças e movimentações suspeitas

Backup

Ninguém quer que aconteça, é claro, mas é possível excluir ou perder dados. O backup, nesse caso, é muito importante para recuperar os arquivos

Ele pode ser feito em servidores físicos, HDs externos ou em nuvem

Como lidar com o vazamento de dados?

A falta de segurança de informação e proteção de dados pode causar prejuízos inimagináveis para as empresas. Os serviços podem ser interrompidos por tempo indeterminado, os clientes e funcionários podem ser vítimas de fraudes financeiras, a instituição pode sofrer processos e multas por falhas de segurança e perder a credibilidade no mercado.

Se acontecer o vazamento de dados de uma empresa, ela deve comunicar imediatamente o Data Protection Officer (DPO), os titulares dos dados vazados e a Autoridade Nacional de Proteção de Dados (ANPD), completando o formulário de comunicação de incidentes.

Se o vazamento causar risco ou dano latente aos titulares, a empresa deverá descrever quais os dados, quem foi afetado e de que forma, além de oferecer o auxílio necessário às vítimas. 

A instituição também deve elaborar documentos com a avaliação do incidente, quais medidas foram tomadas e a análise de riscos, para servir como responsabilização e prestação de contas.

Tendências de proteção de dados

Como já comentamos, o mercado da tecnologia está em constante atualização e buscando formatos mais seguros e eficientes para o tratamento de dados. Algumas tendências estão em alta neste mercado e prometem fortalecer ainda mais a segurança da informação. 

Inteligência artificial

A inteligência artificial se mostra muito promissora para identificar comportamentos inadequados nas redes. Cruzar variáveis para encontrar divergências é uma das formas que a tecnologia encontrou para incluir a IA na segurança dos dados. 

Autenticação em dois fatores

Mesmo que já esteja sendo utilizada em várias aplicações, a autenticação em dois fatores é um excelente obstáculo contra invasões para diversas áreas. As instituições financeiras, por exemplo, já utilizam.

Gestão de dispositivos móveis

Muitos colaboradores utilizam seus próprios celulares e computadores para trabalhar, e isso pode ser um problema para a segurança. Por conta disso, o ideal é intensificar e investir na varredura de dispositivos, articulação de firewalls, sistemas de proteção contra vazamento de dados (DLP) e criptografia das comunicações.

Prevenção é o caminho

A proteção de dados é um caminho certeiro para a melhor utilização de serviços, uma vez que permite a relação entre empresas, clientes e fornecedores sem comprometer sua segurança e integridade. E a melhor forma de trilhar este caminho é trabalhando juntos, com atualização e orientação constantes.