Chegou a LGPD e agora, o que fazer? Por Eder Souza
18 de dezembro de 2018Por Eder Souza
Após meses sem escrever um artigo eu não gostaria de terminar 2018 sem uma contribuição e assim decidi escolher um tema que andou aparecendo com mais frequência em fóruns, artigos, palestras e outros no último trimestre, mas que apesar de frequente ainda deixa muitas dúvidas sobre como agir para atender a essa nova regulação, que tem como objetivo proteger os dados pessoais do cidadão brasileiro.
A lei nº 13.709, também conhecida como LGPD, foi publicada em 15 de agosto de 2018 e de forma mais ampla trata a proteção de dados pessoais e é importante citar que já existiam dezenas de leis falando sobre o tema só que estavam atendendo questões mais setoriais.
O ponto aqui é como agir para proteger esses dados e não expor o negócio às sanções estipuladas, que iniciam em 2% do faturamento da empresa com limitação em 50 milhões de reais.
O primeiro passo é entender quais são os dados que se enquadram na lei e nesta são citadas duas classes de dados, o primeiro é o dado pessoal, que são as informações relacionadas às pessoas naturais identificadas ou identificáveis e o segundo são os dados pessoais sensíveis, que são os dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculado a uma pessoa natural.
Com o entendimento claro sobre quais dados estão cobertos pela lei, o próximo passo está relacionado ao entendimento sobre como o negócio consome esses dados em seus processos.
Entender como os dados são capturados e manipulados pela empresa é fundamental para as etapas próximas etapas e durante essa análise também é importante conhecer as práticas adotadas para a guarda desses dados.
Após entender os processos de negócio e como os dados são consumidos, iniciasse a etapa de descoberta e análise das entidades que precisam ter acesso às informações a serem protegidas e aqui normalmente são encontradas as primeiras dificuldades relativas ao tema proteção de dados, pois geralmente são descobertas entidades com acessos questionáveis ou até indevidos e as deficiências em controlar esses acessos.
A ação adequada neste ponto é investir em tecnologia e processos destinados a controlar de forma mais efetiva credenciais que possibilitem o acesso aos repositórios de dados, pois sem uma ferramenta para a gestão das credenciais de acesso bem estruturada e adequadamente implantada, além de processos para a governança destas credenciais bem definidos, o risco em permitir o acesso indevido é realmente muito grande.
Para exemplificar esse ponto vale citar que é muito comum encontrar empresas de diversos tamanhos que esquecem credenciais de ex-funcionários ou terceiros ativas mesmo depois de seu desligamento.
Outro ponto importante é a proteção desses dados quando estão repousados e para isso é necessário primeiro entender onde estão esses repositórios. O acesso indevido a esses repositórios pode resultar em vazamentos em grande escala e essa pode ser uma exposição desastrosa para a empresa.
Esses dados precisam ser protegidos enquanto estão armazenados e só podem ser acessíveis através do uso de credenciais que permitam o acesso e nesse ponto devemos fazer o uso da criptografia através de ferramentas destinadas a cifrar os dados e até os blocos de um disco e só permitir o acesso a esses dados após o processo de autenticação do solicitante.
Com a adoção desse tipo de tecnologia mesmo o descarte indevido de um disco ou mídia de backup poderia representar um risco menor, já que os dados são armazenados totalmente inacessíveis.
O terceiro ponto está relacionado aos dados em trânsito, pois a interceptação ou acesso não autorizado aos pacotes enviados e recebidos representa um grande risco para as empresas, além de ser um dos meios mais comum utilizado pelos invasores. Nesse ponto é preciso se utilizar da criptografia no transporte destes dados através de protocolos preparados para isso, como o TLS, SFTP e outros.
Nunca devemos transmitir os dados no formato aberto ou em texto claro e sim procurar protocolos e ferramentas que garantam a segurança no envio e recebimento desses dados.
Também precisamos autenticar os participantes nesse processo de comunicação e garantir que quem está do outro lado realmente esteja autorizado a receber ou enviar as informações.
Podemos ainda falar sobre o formato e a robustez das credenciais e dos processos de autenticação, fatores a serem utilizados, protocolos e algoritmos adequados, mas deixarei esses pontos para um novo artigo.
E vamos torcer para que em 2019 as empresas levem mais a sério as questões relacionadas a proteção de dados e façam seus investimentos, pois vivemos um ano de 2018 repleto de vazamentos.
Aproveito para desejar a todos um 2019 repleto de grandes conquistas e felicidades.
– Mestre em Engenharia de Software pelo IPT-SP, com MBA em Gestão Empresarial pela FGV e especialização em Segurança da Informação pelo IBTA e bacharel em Ciências da Computação pela FAC-FITO.
– Professor do curso de Segurança da Informação do Instituto Brasileiro de Tecnologia Avançada e responsável pelo tema Criptografia e Certificação Digital.
– Atua há quinze anos na área de Tecnologia e Segurança da Informação e atualmente é Diretor Técnico na e-Safer Consultoria.
– Eder é colunista e membro do conselho editorial do Portal Crypto ID.
Fale com o Eder Souza por meio dos comentários do site ou se preferir escreva diretamente para ele.
e-mail: esouza@e-safer.com.br / skype: eder_souza
Leia outros artigos do Colunista Eder Souza. Aqui!