Últimas notícias

Fique informado
Chegou a LGPD e agora, o que fazer? Por Eder Souza

Chegou a LGPD e agora, o que fazer? Por Eder Souza

18/12/2018

Spotlight

Paulo Guedes defende identidade digital como recurso ao combate as fraudes

“A utilização da identidade digital nos programas sociais pode gerar uma economia de bilhões e bilhões de reais aos cofres públicos.”

06/01/2019

Os desafios em operacionalizar uma Central de Operação de Segurança (SOC)

Central de Operação de Segurança (SOC), o importante é ter visibilidade e poder executar ações rápidas e efetivas para conter a proliferação de softwares maliciosos. Por Eder Souza

03/01/2018

O que é o Open Banking e quais são seus impactos?

Com a larga adoção do Open Banking, será possível configurar e operar diversas contas de bancos distintos um único aplicativo.

13/03/2017

Novos requerimentos para a emissão de Certificados Digitais Codesign

Por Eder Souza   No artigo “Certificados Digitais Codesign –

15/08/2016

A importância da inovação na atualidade

Transformação digital do talento: como gerir uma equipe de TI para conseguir mais inovação?

17/06/2016

Segurança da Informação | Sucatas valiosas

Fabricantes de hardwares não adotam processos seguros para eliminação de

20/01/2016

A importância de proteger suas chaves adequadamente

Por Eder Souza Em outros artigos já citei a importância

04/11/2015

O que é o Certificate ou Public Key Pinning e qual a sua importância

Certificate ou Public Key Pinning  Por Eder Souza Com a

24/08/2015

Eder Souza

Por Eder Souza 

Após meses sem escrever um artigo eu não gostaria de terminar 2018 sem uma contribuição e assim decidi escolher um tema que andou aparecendo com mais frequência em fóruns, artigos, palestras e outros no último trimestre, mas que apesar de frequente ainda deixa muitas dúvidas sobre como agir para atender a essa nova regulação, que tem como objetivo proteger os dados pessoais do cidadão brasileiro.

A lei nº 13.709, também conhecida como LGPD, foi publicada em 15 de agosto de 2018 e de forma mais ampla trata a proteção de dados pessoais e é importante citar que já existiam dezenas de leis falando sobre o tema só que estavam atendendo questões mais setoriais.

O ponto aqui é como agir para proteger esses dados e não expor o negócio às sanções estipuladas, que iniciam em 2% do faturamento da empresa com limitação em 50 milhões de reais.

O primeiro passo é entender quais são os dados que se enquadram na lei e nesta são citadas duas classes de dados, o primeiro é o dado pessoal, que são as informações relacionadas às pessoas naturais identificadas ou identificáveis e o segundo são os dados pessoais sensíveis, que são os dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculado a uma pessoa natural.

Com o entendimento claro sobre quais dados estão cobertos pela lei, o próximo passo está relacionado ao entendimento sobre como o negócio consome esses dados em seus processos.

Entender como os dados são capturados e manipulados pela empresa é fundamental para as etapas próximas etapas e durante essa análise também é importante conhecer as práticas adotadas para a guarda desses dados.

Após entender os processos de negócio e como os dados são consumidos, iniciasse a etapa de descoberta e análise das entidades que precisam ter acesso às informações a serem protegidas e aqui normalmente são encontradas as primeiras dificuldades relativas ao tema proteção de dados, pois geralmente são descobertas entidades com acessos questionáveis ou até indevidos e as deficiências em controlar esses acessos.

A ação adequada neste ponto é investir em tecnologia e processos destinados a controlar de forma mais efetiva credenciais que possibilitem o acesso aos repositórios de dados, pois sem uma ferramenta para a gestão das credenciais de acesso bem estruturada e adequadamente implantada, além de processos para a governança destas credenciais bem definidos, o risco em permitir o acesso indevido é realmente muito grande.

Para exemplificar esse ponto vale citar que é muito comum encontrar empresas de diversos tamanhos que esquecem credenciais de ex-funcionários ou terceiros ativas mesmo depois de seu desligamento.

Outro ponto importante é a proteção desses dados quando estão repousados e para isso é necessário primeiro entender onde estão esses repositórios. O acesso indevido a esses repositórios pode resultar em vazamentos em grande escala e essa pode ser uma exposição desastrosa para a empresa.

Esses dados precisam ser protegidos enquanto estão armazenados e só podem ser acessíveis através do uso de credenciais que permitam o acesso e nesse ponto devemos fazer o uso da criptografia através de ferramentas destinadas a cifrar os dados e até os blocos de um disco e só permitir o acesso a esses dados após o processo de autenticação do solicitante.

Com a adoção desse tipo de tecnologia mesmo o descarte indevido de um disco ou mídia de backup poderia representar um risco menor, já que os dados são armazenados totalmente inacessíveis.

O terceiro ponto está relacionado aos dados em trânsito, pois a interceptação ou acesso não autorizado aos pacotes enviados e recebidos representa um grande risco para as empresas, além de ser um dos meios mais comum utilizado pelos invasores. Nesse ponto é preciso se utilizar da criptografia no transporte destes dados através de protocolos preparados para isso, como o TLS, SFTP e outros.

Nunca devemos transmitir os dados no formato aberto ou em texto claro e sim procurar protocolos e ferramentas que garantam a segurança no envio e recebimento desses dados.

Também precisamos autenticar os participantes nesse processo de comunicação e garantir que quem está do outro lado realmente esteja autorizado a receber ou enviar as informações.

Podemos ainda falar sobre o formato e a robustez das credenciais e dos processos de autenticação, fatores a serem utilizados, protocolos e algoritmos adequados, mas deixarei esses pontos para um novo artigo.

E vamos torcer para que em 2019 as empresas levem mais a sério as questões relacionadas a proteção de dados e façam seus investimentos, pois vivemos um ano de 2018 repleto de vazamentos.

Aproveito para desejar a todos um 2019 repleto de grandes conquistas e felicidades.

Eder Alvares P. Souza

– Mestre em Engenharia de Software pelo IPT-SP, com MBA em Gestão Empresarial pela FGV e especialização em Segurança da Informação pelo IBTA e bacharel em Ciências da Computação pela FAC-FITO.

– Professor do curso de Segurança da Informação do Instituto Brasileiro de Tecnologia Avançada e responsável pelo tema Criptografia e Certificação Digital.

– Atua há quinze anos na área de Tecnologia e Segurança da Informação e atualmente é Diretor Técnico na e-Safer Consultoria.

– Eder é colunista e membro do conselho editorial do Portal Crypto ID.

Fale com o Eder Souza por meio dos comentários do site ou se preferir escreva diretamente para ele.
e-mail:  esouza@e-safer.com.br / skype: eder_souza

 

  Leia outros artigos do Colunista Eder Souza. Aqui!