Quer saber sobre a influência da gestão da segurança da informação para a proteção de dados? O presente texto aborda esse assunto, dissertando sobre a definição de segurança da informação, a tríade conceitual da segurança da informação, aspectos da LGPD e da segurança da informação e, por fim, exemplos recentes sobre vazamento de dados que poderiam ser evitados com uma boa gestão de SI.

1. O que é segurança da informação?

Atualmente, muito se fala em proteção de dados. É comum associar a proteção de dados ao âmbito jurídico. Ocorre que nem sempre somente o jurídico é o responsável por este escopo, sendo necessário que a segurança da informação também enseje responsabilidades sobre este assunto.

A segurança da informação é uma área relacionada ao setor da Tecnologia de Informação (TI), que engloba a defesa dos dados para somente aqueles que possuem o direito de recebê-las. Um exemplo de segurança da informação consiste em senhas de computadores de empresas, em que somente aquele que possui acesso ao código pode acessar determinados computadores. De acordo com a ABNT ISO 27.002:

A segurança da informação é alcançada pela implementação de um conjunto adequado de controles, incluindo políticas, processos, procedimentos, estrutura organizacional e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, quando necessário, para assegurar que os objetivos do negócio e a segurança da informação da organização são atendidos.

Um dos elementos essenciais da segurança da informação é a sua gestão, que pode ser definida como “atividades coordenadas para dirigir e controlar uma organização no que se refere ao risco. O gerenciamento do risco inclui a avaliação do risco, o tratamento do risco, a aceitação do risco e a comunicação do risco.” (HINTZBERGEN; SMULDERS; BAARS, 2018, p. 14). Risco, seria a “probabilidade de um agente ameaçador tirar vantagem de uma vulnerabilidade e o correspondente impacto nos negócios.” (HINTZBERGEN; SMULDERS; BAARS, 2018, p. 27). O risco pode ser tanto físico (exemplo: incêndio na empresa) quanto interno (exemplo: um agente malicioso ataca os sistemas da organização).

2. Tríade conceitual da segurança da informação

A segurança da informação possui três pilares essenciais que devem ser observados, sendo denominados como a “tríade conceitual da segurança da informação”, que consiste nos tópicos de confidencialidade, integridade e disponibilidade:

e Fonte: TechTem (Princípios básicos da segurança da informação | TechTem)

A) Confidencialidade

A confidencialidade garante quem pode obter determinadas informações. Ela impede que pessoas não autorizadas tenham acesso ao processamento de dados. Um exemplo de confidencialidade é a criptografia, que protege qualquer informação confidencial e impede sua conversão e exteriorização.

B) Integridade

A integridade garante que o conteúdo da mensagem seja correto e consistente com a informação pretendida. Qualquer informação é medida conforme seus métodos de modificação, manutenção e validade. Quando a informação é alterada indevidamente, de forma deliberada ou acidental, ocorre a violação da integridade dos dados.

C) Disponibilidade

A disponibilidade possui as seguintes características:

•  Oportunidade: a informação está disponível quando necessário.
• Continuidade: a equipe consegue continuar trabalhando no caso de falha.
• Robustez: existe capacidade suficiente para permitir que toda a equipe trabalhe no sistema. (HINTZBERGEN; SMULDERS; BAARS, 2018, p. 25)

A disponibilidade tem relação com a eficácia do sistema, ela garante que a informação estará disponível para acesso a partir do ponto em que é requisitada. Esta pode, por exemplo, ser afetada pela falha de um dispositivo ou programa de computador. Não há disponibilidade quando se busca uma informação e não se consegue o acesso esperado.

3. LGPD e segurança da informação

A proteção de dados relaciona-se com a tríade conceitual de segurança da informação a partir do momento em que toda violação de dados pessoais é um incidente de segurança. Com isso, quando um agente ataca os computadores de uma empresa e possui acesso aos dados pessoais dos usuários, este fato trata-se também de um incidente de segurança da informação, que deve ser precavido com base na tríade de confidencialidade, integridade e disponibilidade.

A LGPD demanda práticas de segurança da informação, principalmente no que, conforme exposto acima, tange a respostas a incidentes. O artigo 46 exige que os agentes de tratamento adotem “medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.” (BRASIL, 2018).

E o artigo 49 afirma “os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares.”. (BRASIL, 2018).

4. Gestão da segurança da informação e proteção de dados

A gestão da segurança da informação mostra-se importante no sentido de que esta administra riscos, que são passíveis de ocorrência por parte de violação de dados. Um exemplo é o da empresa Natura, que em 2020 teve o vazamento de dados de 250 mil clientes, incluindo informações de identificação pessoal, cookies de login de contas, arquivos de registros de servidores, dentre outros. Isso se deu devido a uma vulnerabilidade da empresa, que poderia ser administrada por meio da gestão de segurança da informação.

Outro exemplo recente é o caso do Carrefour da França, que foi multado em 3 milhões de euros pela Autoridade Nacional de Proteção de Dados francesa pelo fato de que as informações acerca de proteção de dados eram muito complicadas e imprecisas e estavam ocultas em documentos extensos junto com outras informações. Também faltavam informações relevantes sobre a retenção de dados. Neste caso, faltou confidencialidade e disponibilidade no que se refere a tríade conceitual de proteção de dados.

O papel do gestor de segurança da informação nos casos acima está direcionado a definir como a segurança da informação será tratada, planejando estratégias para que incidentes como os expostos acima não ocorram. Deve-se pensar que, além do âmbito jurídico, para haver ditames em conformidade com a Lei Geral de Proteção de Dados, é também necessário contar com uma boa gestão de segurança da informação, visto que somente o respaldo legal não garante uma efetiva proteção de dados. A LGPD é um problema geral da organização, sendo papel de todos os envolvidos manejarem esforços para o tema.