Últimas notícias

Fique informado
Chegou a LGPD e agora, o que fazer? Por Eder Souza

Chegou a LGPD e agora, o que fazer? Por Eder Souza

18 de dezembro de 2018

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

Os desafios em operacionalizar uma Central de Operação de Segurança (SOC)

Central de Operação de Segurança (SOC), o importante é ter visibilidade e poder executar ações rápidas e efetivas para conter a proliferação de softwares maliciosos. Por Eder Souza

3 de janeiro de 2018

O que é o Open Banking e quais são seus impactos?

Com a larga adoção do Open Banking, será possível configurar e operar diversas contas de bancos distintos um único aplicativo.

13 de março de 2017

Novos requerimentos para a emissão de Certificados Digitais Codesign

Por Eder Souza   No artigo “Certificados Digitais Codesign –

15 de agosto de 2016

A importância da inovação na atualidade

Transformação digital do talento: como gerir uma equipe de TI para conseguir mais inovação?

17 de junho de 2016

Segurança da Informação | Sucatas valiosas

Fabricantes de hardwares não adotam processos seguros para eliminação de

20 de janeiro de 2016

A importância de proteger suas chaves adequadamente

Por Eder Souza Em outros artigos já citei a importância

4 de novembro de 2015

O que é o Certificate ou Public Key Pinning e qual a sua importância

Certificate ou Public Key Pinning  Por Eder Souza Com a

24 de agosto de 2015

Eder Souza

Por Eder Souza 

Após meses sem escrever um artigo eu não gostaria de terminar 2018 sem uma contribuição e assim decidi escolher um tema que andou aparecendo com mais frequência em fóruns, artigos, palestras e outros no último trimestre, mas que apesar de frequente ainda deixa muitas dúvidas sobre como agir para atender a essa nova regulação, que tem como objetivo proteger os dados pessoais do cidadão brasileiro.

A lei nº 13.709, também conhecida como LGPD, foi publicada em 15 de agosto de 2018 e de forma mais ampla trata a proteção de dados pessoais e é importante citar que já existiam dezenas de leis falando sobre o tema só que estavam atendendo questões mais setoriais.

O ponto aqui é como agir para proteger esses dados e não expor o negócio às sanções estipuladas, que iniciam em 2% do faturamento da empresa com limitação em 50 milhões de reais.

O primeiro passo é entender quais são os dados que se enquadram na lei e nesta são citadas duas classes de dados, o primeiro é o dado pessoal, que são as informações relacionadas às pessoas naturais identificadas ou identificáveis e o segundo são os dados pessoais sensíveis, que são os dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculado a uma pessoa natural.

Com o entendimento claro sobre quais dados estão cobertos pela lei, o próximo passo está relacionado ao entendimento sobre como o negócio consome esses dados em seus processos.

Entender como os dados são capturados e manipulados pela empresa é fundamental para as etapas próximas etapas e durante essa análise também é importante conhecer as práticas adotadas para a guarda desses dados.

Após entender os processos de negócio e como os dados são consumidos, iniciasse a etapa de descoberta e análise das entidades que precisam ter acesso às informações a serem protegidas e aqui normalmente são encontradas as primeiras dificuldades relativas ao tema proteção de dados, pois geralmente são descobertas entidades com acessos questionáveis ou até indevidos e as deficiências em controlar esses acessos.

A ação adequada neste ponto é investir em tecnologia e processos destinados a controlar de forma mais efetiva credenciais que possibilitem o acesso aos repositórios de dados, pois sem uma ferramenta para a gestão das credenciais de acesso bem estruturada e adequadamente implantada, além de processos para a governança destas credenciais bem definidos, o risco em permitir o acesso indevido é realmente muito grande.

Para exemplificar esse ponto vale citar que é muito comum encontrar empresas de diversos tamanhos que esquecem credenciais de ex-funcionários ou terceiros ativas mesmo depois de seu desligamento.

Outro ponto importante é a proteção desses dados quando estão repousados e para isso é necessário primeiro entender onde estão esses repositórios. O acesso indevido a esses repositórios pode resultar em vazamentos em grande escala e essa pode ser uma exposição desastrosa para a empresa.

Esses dados precisam ser protegidos enquanto estão armazenados e só podem ser acessíveis através do uso de credenciais que permitam o acesso e nesse ponto devemos fazer o uso da criptografia através de ferramentas destinadas a cifrar os dados e até os blocos de um disco e só permitir o acesso a esses dados após o processo de autenticação do solicitante.

Com a adoção desse tipo de tecnologia mesmo o descarte indevido de um disco ou mídia de backup poderia representar um risco menor, já que os dados são armazenados totalmente inacessíveis.

O terceiro ponto está relacionado aos dados em trânsito, pois a interceptação ou acesso não autorizado aos pacotes enviados e recebidos representa um grande risco para as empresas, além de ser um dos meios mais comum utilizado pelos invasores. Nesse ponto é preciso se utilizar da criptografia no transporte destes dados através de protocolos preparados para isso, como o TLS, SFTP e outros.

Nunca devemos transmitir os dados no formato aberto ou em texto claro e sim procurar protocolos e ferramentas que garantam a segurança no envio e recebimento desses dados.

Também precisamos autenticar os participantes nesse processo de comunicação e garantir que quem está do outro lado realmente esteja autorizado a receber ou enviar as informações.

Podemos ainda falar sobre o formato e a robustez das credenciais e dos processos de autenticação, fatores a serem utilizados, protocolos e algoritmos adequados, mas deixarei esses pontos para um novo artigo.

E vamos torcer para que em 2019 as empresas levem mais a sério as questões relacionadas a proteção de dados e façam seus investimentos, pois vivemos um ano de 2018 repleto de vazamentos.

Aproveito para desejar a todos um 2019 repleto de grandes conquistas e felicidades.

Eder Alvares P. Souza

– Mestre em Engenharia de Software pelo IPT-SP, com MBA em Gestão Empresarial pela FGV e especialização em Segurança da Informação pelo IBTA e bacharel em Ciências da Computação pela FAC-FITO.

– Professor do curso de Segurança da Informação do Instituto Brasileiro de Tecnologia Avançada e responsável pelo tema Criptografia e Certificação Digital.

– Atua há quinze anos na área de Tecnologia e Segurança da Informação e atualmente é Diretor Técnico na e-Safer Consultoria.

– Eder é colunista e membro do conselho editorial do Portal Crypto ID.

Fale com o Eder Souza por meio dos comentários do site ou se preferir escreva diretamente para ele.
e-mail:  esouza@e-safer.com.br / skype: eder_souza

 

  Leia outros artigos do Colunista Eder Souza. Aqui!