LGPD e a necessidade das empresas de adquirirem novas soluções contra a onda de ciberataques previstos para esse ano
29 de janeiro de 2024Parece que as empresas que se dizem adeptas à LGPD não estão praticando o que há de mais elementar e moderno
Por Marcelo Buz
Em setembro de 2024, a Lei Geral de Proteção de Dados (LGPD) celebrará quatro anos de vigência, hoje, umas das principais diretrizes para as empresas que, além de investirem na proteção dos seus negócios contra invasões ou ataques digitais, precisam controlar a privacidade e o uso de dados pessoais de seus clientes e fornecedores.
Desde o ano de criação da Lei até os dias de hoje, os negócios e instituições amadureceram o entendimento de que a segurança digital é crucial para evitar vazamento de dados e assim não sofrerem as severas multas que poderiam ser aplicadas.
Aos 4 anos de idade, os grandes eventos ocasionadores de multas são os vazamentos de dados. Dados que por descuido, negligência ou desconhecimento deve ser visto como elementar como implementar soluções de Privacy By Default. Parece que as empresas que se dizem adeptas à LGPD não estão praticando o que há de mais elementar e moderno: a anonimização ou pseudoanonimização de dados.
A Autoridade Nacional de Proteção de Dados (ANDP) publicou, em março de 2023, os processos administrativos que envolvem negligência com a LGPD. A lista conta com o nome de órgãos públicos e empresas privadas, e entre os motivos estão a ausência de anonimização ou uso de criptografia no tratamento de dados.
O tratamento de dados que garantem a segurança
Há dois tipos de anonimizações: a irreversível e a pseudoanonimização. Na prática, para as empresas manipularem certos dados que as quais não são os titulares, precisam realizar a anonimização irreversível, a ponto de serem considerados verdadeiramente “anônimos”, ou seja, impossível de algum dia voltar a identificar o verdadeiro titular. No entanto, a “pseudoanonimização” que consiste em decodificar os dados do titular de maneira que, caso seja necessário, essas informações possam ser codificadas e utilizadas novamente. Nesta modalidade são usadas técnicas de criptografia que precisam preservar a chave criptográfica para futuro revertimento da informação.
Nos casos de adoção da pseudoanonimização, para um incidente de vazamento de dados oferecer riscos para os titulares é remota, pois, mesmo que todos os dados sejam vazados, a anonimização impossibilita que eles sejam vinculados a um titular, tornando o vazamento inócuo do ponto de vista da possibilidade de quebra do sigilo da informação. Porém, a pseudoanonimização requer cuidados e boas práticas criptográficas.
Na anonimização irreversível as chaves criptográficas podem ser jogadas fora, diferente da pseudanonimização, que justamente precisa da chave criptográfica para ser decriptografada.
A criptografia é ciência capaz de gerar, custodiar, gerenciar e permitir o uso de chaves criptográficas.
Guarda segura é a bola da vez em 2024
Falamos aqui nos processos de guarda segura das informações, mas não falamos o que está por trás de toda essa proteção: a criptografia, modelo matemático capaz de embaralhar as informações de modo que apenas a parte que tenha uma “chave” possa ser decifrada e/ou acessada. Mas, e essa “chave” que blinda as informações onde deve ser guardada?
É aí que entram as soluções de segurança digital que hoje têm mais do que um papel necessário, são essenciais. A tecnologia, como o Hardware Security Module (HSM) – certificada pelo governo americano – Federal Information Processing Standard (FIPS) e usado pelo Banco Central brasileiro – está entre as mais indicadas do mercado nacional, pois é capaz de prover a segurança, dupla custódia das chaves e garantir o desempenho e conformidade em relação à LGPD, com as normas de segurança em todos os segmentos da empresa ou corporação.
Mas por que tanta preocupação com a segurança ainda nos dias de hoje?
Quanto mais a conectividade e o mundo virtual se expandem, mais as empresas precisam estar preparadas para o cenário de possíveis novos ataques cibernéticos e que estão cada vez mais sofisticados. No Brasil, somente nos primeiros seis meses de 2023, o país sofreu 23 bilhões de ciberataques, segundo dados da empresa de segurança Fortinet.
A situação é crítica e a preocupação dos governos e órgão reguladores só aumenta, por isso, acredita-se que em 2024 promete ser um ano de maior fiscalização para que os impactos com os ciberataques sejam – de uma vez por todas – mitigados ao máximo. A Prova disso é a recente ampliação do quadro de funcionários da Autoridade Nacional de Proteção de dados (ANPD) – que de 50 foi para 121 profissionais, o que demonstra que terão mais “olhos” analisando as mais de 18 milhões de empresas ativas no Brasil, segundo os últimos dados do Ministério da Economia.
Em vista disso, vamos aproveitar os ensinamentos das experiências que já se tem ao longo destes 4 anos. Os investimentos previstos em Segurança da Informação visando adequação à LGPD contribui para prepararão as empresas estar em conformidade com a regulação além de adotar os métodos de anonimização e pseudoanonimização capazes
de anular qualquer possibilidade de que um vazamento de dados possa representar um dano grave aos Direitos dos Titulares.
É muito importante entender que o conceito de anonimizar é desvincular as informações de uma pessoa, sendo juridicamente uma solução capaz de isentar as empresas de multas que tem sido milionárias.
Sobre a DINAMO NETWORKS
DINAMO NETWORKS é especialista em segurança digital e criptografia. Possui a maior biblioteca de APIs de alto nível e tem participado dos principais projetos de segurança do País como: Piloto do DREX (Real Digital), Anonimização de Dados para conformidade a Lei Geral de Proteção de Dados (LGPD), assinatura e processamento do PIX, Sistema de Pagamento Brasileiro (SPB), Processamento de Cartões, Assinatura do Prontuário Eletrônico do Paciente (PEP), IR pela Internet, Nota Fiscal Eletrônica, entre vários outros. Fábrica diferentes modelos de appliances de segurança, ou Hardware Security Module (HSMs), todos com certificação internacional FIPS 140-2, nível 3, utilizados pelos principais bancos brasileiros, incluindo o Banco Central do Brasil (em especial para a criptografia do PIX) e pelas empresas dos mais diversos segmentos de forma On-Premise ou em nuvem (Cloud). Recentemente, lançou a primeira plataforma de soluções de criptografia com pagamento por uso disponível no mercado mundial, a DINAMO SuperCloud.
Leia outros artigos sobre a Dinamo aqui!
Para saber mais sobre a Dinamo Networks acesse: https://www.dinamonetworks.com/
DINAMO’s Security Day: Um evento imperdível para o mercado financeiro
DINAMO Networks participa do principal evento de blockchain do país