Como funciona a LGPD?

[av_slideshow_full size=’entry_without_sidebar’ min_height=’0px’ stretch=” animation=’slide’ autoplay=’false’ interval=’5′ control_layout=’av-control-default’ src=” attachment=” attachment_size=” position=’top left’ repeat=’no-repeat’ attach=’scroll’]
[av_slide_full slide_type=’image’ id=’10059′ video=” mobile_image=” video_format=” video_ratio=” title=” custom_title_size=” custom_content_size=” caption_pos=’caption_right caption_right_framed caption_framed’ link_apply=” link=’lightbox’ link_target=” button_label=” button_color=’light’ link1=’manually,http://’ link_target1=” button_label2=” button_color2=’light’ link2=’manually,http://’ link_target2=” font_color=” custom_title=” custom_content=” overlay_opacity=’0.1′ overlay_color=” overlay_pattern=” overlay_custom_pattern=”][/av_slide_full]

[/av_slideshow_full]

[av_textblock size=” font_color=” color=”]

Como funciona a LGPD

Imagina se a equipe de campanha de algum candidato tivesse acesso a seus dados pessoais como nome, e-mail, local onde você mora, gostos e hábitos na internet, isso tudo sem você saber. Se essa equipe também obtivesse esses mesmo dados dos seus amigos, você ficaria confortável com essa situação?

O caso hipotético acima realmente aconteceu e ficou conhecido como o caso da Cambridge Analytica. O escândalo foi tão impactante que impulsionou a aprovação da Lei de Proteção de Dados Pessoais, ou como é mais conhecida, Lei Geral de Proteção de Dados (LGPD) aqui no Brasil.

A intenção da lei é garantir ao usuário mais privacidade e controle sobre seus dados, afim de evitar mal-uso pela parte de terceiros. A lei também serve para esclarecer quando uma empresa pode tratar um dado pessoal, ou seja, quando ela pode armazenar, processar e transferir esses dados.

O caso da Cambridge Analytica explicita a importância de ter uma lei que regularize o tratamento de dados pessoais e abre oportunidade para discutir como funciona a LGPD.

Origens da LGPD

Caso Cambridge Analytica

Um teste psicológico elaborado por Aleksandr Kogan, professor de Cambridge, e produzido pela Global Science Research foi o responsável por coletar dados pessoais de milhões de pessoas que fizeram o teste e de seus amigos na rede social, Facebook.

O esquema da coleta de dados aconteceu devido a uma brecha nos termos e condições do Facebook que dizia que nenhum dado coletado pela rede social poderia ser vendido, porém, não aplicava a mesma restrição à aplicativos que usavam a rede social, como era o caso desse teste psicológico.

Portanto, quando um usuário do Facebook fazia o teste ele entregava para a Global Science Research seus dados e dados de seus amigos na rede social, como nome, e-mail, local de moradia, gostos e hábitos na internet.

A empresa, aproveitando a brecha da rede social, vendia esses dados para a Cambridge Analytica, empresa que fazia análise de dados e que era contratada pela campanha presidencial de Donald Trump e pelo grupo que promovia a saída do Reino Unido da União Europeia (Brexit).

Em posse desses dados, a Cambridge Analytica analisava o perfil do eleitor e com base nisso direcionava propaganda a favor do movimento político que tivesse contratado seus serviços. É verdade que o usuário teria consentido para que seus dados fossem tratados dessa forma, porém, o consentimento vinha quase que escondido nos termos e condições do teste.

A aprovação da LGPD foi impulsionada por esse escândalo, não só porque a Cambridge Analytica planejava atuar nas eleições do Brasil deste ano, mas também foi exposta a necessidade de ter uma lei que regulasse o tratamento de dados pessoais.

No entanto, a General Data Protection Regulation (GDPR), norma que regula o tratamento de dados nos países da União Europeia, entrou em vigor logo em seguida a esse caso e a partir dela foi tirado os princípios básicos pelos quais se baseia a LGPD.

A Aprovação da GDPR

Diversos países da União Europeia já tinham leis próprias que regulavam o tratamento de dados pessoais, porém, a UE sentiu a necessidade de implementar uma norma que unificasse essas leis e que estabelecesse princípios básicos para o tratamento de dados.

Assim nasceu a GDPR. A norma tem o intuito de dar ao usuário mais controle sobre seus dados, permitindo com que esse tenha acesso a forma como empresas fazem o tratamento de dados pessoais e quais dados elas estão armazenando.

A norma também tem aplicação extraterritorial, isso quer dizer que a lei não se aplica apenas em território europeu, toda empresa que armazenar e/ou processar dados de cidadãos da UE deve atender essa regulação.

Essa medida provoca uma espécie de efeito dominó, ou seja, empresas que aderem à essas normas vão acabar exigindo que empresas parceiras façam o mesmo para evitar qualquer tipo de conflito.

Essas bases ajudam a explicar como funciona a LGPD. A lei brasileira também busca garantir o controle do usuário sobre seus próprios dados e tem aplicação extraterritorial.

LGPD e a proteção de dados pessoais

Antes de entrar nos detalhes da norma e seus requisitos é necessário entender que a LGPD define como dado pessoal qualquer informação relacionada a pessoa natural identificada ou identificável, ou seja, qualquer dado pelo qual você consiga identificar uma pessoa ou que com a união de outro dado possibilite essa identificação.

Dado Pessoal

É importante saber disso porque a LGPD não trata de dados soltos sobre preferências políticas, sexuais, filosóficas, dados relacionados a etnia e de caráter religioso a não ser que esses possam ser usados para identificar alguém. Esses dados são classificados como dados pessoais sensíveis.

Bases para tratamento de dados pessoais

Como já foi dito, a LGPD regulariza o tratamento de dados pessoais e esclarece para empresas quando essas podem tratar os dados. Dessa forma, são estabelecidas justificativas que dão direito à uma empresa tratar dados. Tais justificativas são parte integral de como funciona a LGPD pois, através delas, se delimita a linha entre o tratamento legal e ilegal de dados, evitando que entidades possam usar brechas para manipular dados pessoais.

Algumas dessas justificativas para tratamento de dados devem ser destacadas como o consentimento. A LGPD determina que, se uma empresa quer usar o consentimento do usuário como justificativa para tratar dados pessoais, o consentimento dado pelo usuário deve ser inequívoco.

Portanto, a cláusula para consentimento não deve vir entrelinhas de termos e condições intermináveis, tem que estar claro para o usuário que ele está deixando certos dados dele serem tratados por terceiros. Dessa forma, é assegurado mais controle ao usuário.

Outra justificativa para tratamento que deve ser ressaltada é a para proteção de crédito. Antes da lei, instituições financeiras trabalhavam com um sistema opt-out para tratar dados de clientes. No sistema opt-out, o cliente de um banco, por exemplo, já tem seus dados financeiros comunicados entre bancos sem ele pedir.

Com a LGPD, o sistema muda para opt-in, nesse caso, o cliente tem que dar permissão para que seus dados sejam comunicados entre bancos, novamente, a lei garante privacidade e controle ao usuário.

Outra base para tratar dados é aquela de interesse legítimo. Essa diz que o tratamento de dados pode ser feito se houver interesse legítimo de um responsável ou terceiro. Tal justificativa causa ambiguidade na lei porque, não se sabe ao certo o que seria considerado como interesse legítimo.

Direitos do usuário

Como foi visto, a lei se preocupa em garantir a privacidade e o controle de dados pessoais pelo usuário. Dessa forma, a lei estabelece direitos do usuário, que é uma parte vital de como funciona a LGPD.

Todos os direitos do usuário estabelecidos pela LGPD são voltados justamente para essa garantia de controle de dados pessoais pelos próprios usuários, porém, alguns chamam atenção.

O direito ao esquecimento dá a oportunidade ao usuário de controlar a maneira como é exposto na internet. Se algum conteúdo que o envolve está sendo colocados em sites e o usuário quiser retirá-lo, ele tem o direito de exigir a remoção desse conteúdo.

O direito ao acesso também é importante porque deixa o usuário sabendo quais conteúdos alguma empresa está armazenando sobre ele. Esse direito aliado ao direito da informação, que deixa o usuário saber como seus dados estão sendo tratados, dá controle ao usuário a partir do momento que ele sabe quais dados estão armazenados e como eles estão sendo expostos.

Os direitos estipulados pela LGPD dificultam casos como o da Cambridge Analytica, que se utilizava de brechas e de desconhecimento dos usuários para manipular dados pessoais a seu favor. Com a lei, o usuário tem a oportunidade de assumir comando de seus dados e escolher como e para quem os dados serão expostos.

Efeito Dominó da LGPD

Seguindo o modelo da GDPR, a Lei Geral de Proteção de Dados também tem aplicação extraterritorial, de forma que toda empresa que tratar dados de cidadãos brasileiros ou de estrangeiros que residem no Brasil, mesmo não tendo sede ou filial no Brasil, tem que se regularizar conforme a lei brasileira.

Todos os processos que exigem tratamento de dados pessoais devem estar em regularidade com a lei. Para evitar multas e paralisação de suas atividades no Brasil, empresas vão procurar se regularizar e exigir que empresas parceiras se regularizem.

Por esta razão é dito que a LGPD tem um “efeito dominó”, empresas precisam que todas as etapas de seu processo estejam conforme a lei, inclusive etapas onde lidam com empresas parceiras.

Penalidade pelo descumprimento da lei

As penalidades pelo descumprimento da LGPD podem envolver proibição total ou parcial de atividades relacionadas a tratamento de dados. No entanto, a não conformidade com a lei também pode trazer sérios prejuízos financeiros à empresa em forma de multas.

Essas multas podem corresponder até 2% do faturamento da empresa ou conglomerado limitado até R$ 50 milhões por infração cometida. Uma infração pode ser interpretada, no caso de um vazamento de dados, como cada dado pessoal vazado.

Isso significa que mesmo se milhares de dados foram vazados de uma empresa, cada dado pode custar até R$ 50 milhões em multa. Ainda há possibilidade de multas diárias para compelir a entidade a cessar as violações.

As multas severas são necessárias para que a empresa entre em conformidade com a lei. Se não houver punições desse tipo, há o risco de a lei cair em desuso caso entidades não queiram se regularizar.

Entretanto, algumas partes da lei são ambíguas e podem resultar em interpretações que podem custar muito a uma empresa. Por isso, há necessidade de haver um órgão que regule e clarifique essa lei para organizações. Havia um órgão previsto na lei para fazer esse trabalho, mas no momento da aprovação da LGPD ele foi vetado.

O veto à ANPD

A Agência Nacional de Proteção de Dados (ANPD) servia para uniformizar a lei, daria sinais para empresas de como certas bases legais deveriam ser interpretadas e fiscalizaria a aplicação correta da lei. Sem a agência as empresas acabam sofrendo uma incerteza na hora de desenvolver mecanismos para ficarem conforme com a LGPD.

A confusão de certas bases legais pode gerar custos desnecessários para organizações. Um bom exemplo é uma das justificativas que dá direito ao tratamento de dados, a que dita que os dados podem ser tratados se houver legítimo interesse do responsável do usuário ou de terceiros. Não há um discernimento óbvio sobre o que seria legítimo interesse ou não, a ANPD serviria para fazer tal distinção. Sem a agência, não fica claro como empresas devem interpretar essa base da lei e correm o risco de serem severamente punidas.

Por enquanto, fica a cargo dos mais de 16 mil juízes interpretar o que é coerente de acordo com a LGPD. Pode demorar anos até que casos envolvendo a lei cheguem a instâncias superiores que definirão como algum artigo deve ser interpretado.

Conclusão

A LGPD é um grande avanço no cenário de segurança de dados pessoais no Brasil, visto que é a primeira lei no Brasil a lidar com o assunto. A lei realmente assegura ao usuário o controle de seus dados pessoais e proporciona a ele mais privacidade, através de normas claras que ditam como devem ser tratados os dados pessoais e quais são os direitos do usuário.

Apesar de algumas partes da lei ainda serem um pouco ambíguas e precisarem de amadurecimento, a LGPD dá diretrizes para lidar com o tratamento de dados, removendo várias incertezas que se tinha sobre o campo anteriormente.

Fica, portanto, um desafio: adaptar serviços e produtos para que fiquem conforme a LGPD, visto que, até 2020, quem quiser fazer negócio no Brasil vai ter que ter sua política de tratamento de dados pessoais regularizada. Para isso, empresas de cibersegurança podem prestar serviços de consultoria para ajudar empresas e outras entidades entrarem em conformidade com a lei, evitando qualquer tipo de prejuízo que pode surgir se a lei não for observada.
[/av_textblock]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_textblock size=” font_color=” color=”]

Gostou do conteúdo? Que tal dar uma olhada no nosso blog? 😉

[/av_textblock]

[av_postslider link=’post_tag,162′ columns=’3′ items=’9′ offset=’0′ contents=’title’ preview_mode=’custom’ image_size=’entry_without_sidebar’ autoplay=’no’ interval=’5′]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_icon_box position=’top’ boxed=” icon=’ue8d2′ font=’entypo-fontello’ title=’PRODUÇÃO DE CONTEÚDO’ link=’manually,http://www.proof.com.br/material-rico/’ linktarget=” linkelement=’both’ font_color=” custom_title=” custom_content=” color=’custom’ custom_bg=’#1f211f’ custom_font=” custom_border=”]

PROOF está se posicionando no mercado como uma empresa referência em segurança e produção de conteúdo relevante. Nosso objetivo é disseminar e compartilhar conhecimento para contribuir ao máximo no amadurecimento do mercado de segurança no Brasil. Isso porque, nós da PROOF, como uma empresa atenta às inovações do mercado de cibersegurança, estamos sempre nos atualizando das principais tendências tecnológicas do mundo, além dos novos vetores de ataque por parte da indústria do cibercrime.

[/av_icon_box]

[av_one_fifth first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]
[/av_one_fifth]

[av_three_fifth min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/THREAT-ANATOMY-REPORT.png’ attachment=’8902′ attachment_size=’full’ align=’center’ styling=” hover=” link=” target=’_blank’ caption=” font_size=” appearance=’on-hover’ overlay_opacity=’0.7′ overlay_color=’#1f211f’ overlay_text_color=’#ffffff’ animation=’no-animation’]
WANNACRY THREAT ANATOMY REPORT
[/av_image]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_button_big label=’BAIXE O THREAT ANATOMY REPORT’ description_pos=’below’ link=’manually,https://d335luupugsy2.cloudfront.net/cms/files/9568/1507148257WannaCry_Threat-Reportd.pdf’ link_target=” icon_select=’yes-left-icon’ icon_hover=’aviaTBicon_hover’ icon=’uf130′ font=’flaticon’ custom_font=’#e7e6e6′ color=’custom’ custom_bg=’#1f211f’ color_hover=’custom’ custom_bg_hover=’#fc9a1a’][/av_button_big]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]
[/av_three_fifth]

[av_one_fifth min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]
[/av_one_fifth]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_one_third first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/Buyers-Guide-MSSP_vCapa-01.png’ attachment=’7013′ attachment_size=’full’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/buyers-guide-mssp’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

BUYER’S GUIDE

[/av_textblock]
[/av_one_third]

[av_one_third min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’https://www.proof.com.br/wp-content/uploads/2015/06/O-PAPEL-DO-CIO-E-DO-CISO-NO-NOVO-CENÁRIO.jpg’ attachment=’6366′ attachment_size=’full’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/info-ransomware’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

EBOOK CIO E CISOs

[/av_textblock]
[/av_one_third]

[av_one_third min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’https://www.proof.com.br/wp-content/uploads/2018/07/PSAP-Interno_2.2_Eng-Social_Ebook_basec365-1.png’ attachment=’9821′ attachment_size=’full’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/ebook-ransomware’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

EBOOK ENGENHARIA SOCIAL

[/av_textblock]
[/av_one_third]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_social_share title=” style=” buttons=”]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_comments_list]

Entenda o impacto das leis de segurança de dados

O mercado de segurança brasileiro se espelha muito nos Estados Unidos e em países mais avançados na área de segurança da informação. No entanto, o Brasil e o país norte-americano têm muitas diferenças quanto ao incentivo das leis no investimento em segurança.

Enquanto nos Estados Unidos existe uma regulação do mercado para tratar da segurança da informação, no Brasil não existe nem a obrigatoriedade de comunicar os incidentes, nem para governos e, muito menos, para empresas.

Enquanto nos Estados Unidos as empresas sabem que, se sofrerem uma invasão, a marca vai perder valor e as ações vão cair – algumas correm até o risco de sair do mercado –, no Brasil a maioria das empresas não sofre com essa possibilidade, pois simplesmente não divulga seus números.

Inclusive, por essa razão, os números de segurança no Brasil são bem pouco confiáveis. Afinal, que empresa vai querer ter uma mancha em sua marca se não for obrigada a isso?

Confira a seguir as principais características das leis de segurança da informação nos Estados Unidos e no Brasil:

 

Estados Unidos

Os Estados Unidos têm cerca de 20 leis específicas por setor de privacidade ou leis de segurança de dados e centenas de leis estaduais. Só a Califórnia, onde está localizado o Vale do Silício, tem mais de 25 leis estaduais de privacidade e segurança de dados.

Ainda que não haja uma autoridade nacional responsável pela segurança da informação, a Federal Trade Commission (FTC) tem jurisdição em casos de segurança da informação.

No país, a definição de dados pessoais varia de acordo com cada regulação. O FTC considera informação pessoal aquela que pode ser usada para contatar ou distinguir uma pessoa, incluindo endereços de IP e identificadores de dispositivos.

Os dados pessoais sensíveis também variam de acordo com a regulação. De maneira geral, dados pessoais de saúde, dados financeiros, dados estudantis, informações pessoais de crianças abaixo de 13 anos coletadas online e informações que possam ser usadas para praticar ou identificar atos criminosos ou fraudes são considerados sensíveis.

Todas as empresas americanas devem arcar com medidas técnicas, físicas e organizacionais razoáveis para proteger informações pessoais sensíveis. Alguns estados têm leis mais específicas quanto às exigências de segurança para os dados. O estado de Massachusetts, por exemplo, tem leis que se aplicam a qualquer empresa que coleta e mantém informações pessoais sensíveis de residentes do estado.

Além do estado de Massachusetts, o estado de Nevada também impõe exigências de criptografia na transmissão de dados pessoais sensíveis em redes wireless e armazenados em notebooks e dispositivos portáteis.

Entre as leis específicas para cada setor, podemos citar o Health Insurance Portability and Accountability Act (HIPAA), que regula entidades do setor de saúde. O setor financeiro também impõe uma série de exigências por meio de reguladores federais, incluindo a exigência de auditorias de segurança.

Em grande parte do território americano, as empresas são obrigadas a notificar violações de dados envolvendo informações sensíveis de residentes, incluindo números de seguro social, outros dados de documentos, cartões de crédito ou contas bancárias. Em cada vez mais estados, dados sensíveis incluem informações médicas, números de plano de saúde, dados biométricos e credenciais de acesso, além de datas de nascimento e certidões de nascimento e casamento.

 

Brasil

O Brasil não tem leis específicas de segurança da informação, mas têm alguns princípios gerais para proteção de dados e privacidade definidos na Constituição Federal e leis e regulações específicas para alguns tipos de relacionamento, como o Marco Civil da Internet, o Código Civil Brasileiro e as Leis do Trabalho.

A Constituição Federal prevê que a intimidade, a privacidade, a honra e a imagem sejam invioláveis, que a confidencialidade da correspondência e dos meios de comunicação eletrônicos seja protegida e que todos tenham garantia de acesso à informação sempre que necessário para exercício de atividade profissional, ainda que a confidencialidade da fonte seja protegida.

O Marco Civil da Internet, que estabeleceu princípios, direitos e obrigações gerais para o uso da internet, contém algumas diretrizes importantes para o armazenamento, o uso, o tratamento e a divulgação de dados coletados online. Porém, além de não haver obrigatoriedade de divulgar incidentes de segurança, não existe uma definição legal do que são considerados dados pessoais ou dados pessoais sensíveis. O país também não tem uma autoridade nacional em proteção de dados.

Apesar de haver princípios gerais, como a obrigatoriedade de medidas organizacionais, físicas e técnicas razoáveis para proteger a segurança de dados pessoais, não há exigências, restrições ou detalhes específicos de como a segurança deve ser implementada. O Marco Civil da Internet, por exemplo, apenas estabelece que provedores de serviços e de redes e aplicações devem manter registros de acesso confidenciais, em um ambiente controlado e seguro. O tempo de retenção obrigatório de dados varia de acordo com a natureza do negócio. O período ainda pode ser estendido com base em pedidos de autoridades públicas.

 

Qual o impacto dessa diferença

A presença de uma legislação forte em segurança da informação acaba fazendo com que as empresas invistam mais nessa área. Afinal, quando há obrigatoriedade de comunicar violações de dados, as empresas sentem mais a pressão de manter seus dados seguros para proteger o negócio.

O Marco Civil da Internet, apesar de ter trazido uma série de princípios necessários para proteger os dados do usuário, detalha bem pouco os controles e procedimentos necessários para proteger as informações.

Enquanto isso, as empresas brasileiras seguem “desobrigadas” pela lei a investir em sua estrutura de segurança da informação de maneira mais proativa.

Como uma solução de segurança pode conter as ameaças à nuvem

A nuvem é uma das formas mais usadas para armazenar dados e também uma das mais preocupantes para líderes de segurança. Muitos dos dados armazenados na nuvem são sensíveis ou contém informações controladas legalmente.

Garantir que esses dados estejam seguros ao implantar um ambiente na nuvem pode ser uma tarefa árdua. Como a adoção da nuvem continua a crescer, o risco de uma violação cresce, exigindo que as empresas adotem métodos e soluções mais sofisticadas de segurança na nuvem. Conheça as principais ameaças à nuvem:

Shadow IT

Por meio da Shadow IT, unidades internas da empresa e grupos operacionais frequentemente passam por cima do controle da TI para conseguir avançar em processos, mesmo que isso abra portas para vulnerabilidades que, posteriormente, podem custar muito para serem contidas.

Uma das melhores maneiras de prevenir o vazamento de dados sensíveis devido à shadow IT é investindo em criptografia, implementando um modelo inteligente de gerenciamento de chaves que permita acesso a controles. É essencial que o acesso aos dados criptografados seja limitado apenas aos funcionários certos.

APIs pouco seguras

A nuvem trouxe uma grande contradição para a TI, a de tentar fazer com que os serviços fiquem disponíveis para milhões e, ao mesmo tempo, conter os danos que uma grande quantidade de usuários pode causar ao serviço.

Algumas empresas têm usado APIs pouco seguras. Ainda que tenham um controle de verificação de que um terceiro produzindo uma aplicação é quem ele realmente é, as APIs precisam oferecer muitas proteções, do contrário, podem expor empresas a uma série de problemas relacionados a confidencialidade, integridade e disponibilidade.

Tecnologia compartilhada

Em um ambiente de rede, o comprometimento de um único componente põe em risco não apenas o cliente, mas expõe todo o ambiente a uma potencial violação. O mesmo pode ser dito de outros serviços compartilhados, como serviços compartilhados de base dados ou armazenamento compartilhado.

A nuvem é uma infraestrutura compartilhada e basta uma configuração errada em um sistema ou uma aplicação para levar a grandes falhas.

O Cloud Security da PROOF traz uma série de soluções de parceiros que permitem oferecer às organizações estratégias para assegurar a segurança dos dados na nuvem no que tange os principais riscos, como violações de dados, API pouco seguras ou comportamentos indevidos de usuários internos.

O serviço começa com uma análise detalhada do ambiente da organização, necessidades de negócio e comportamento do usuário. A partir desse estudo, os especialistas da PROOF projetam a melhor solução para a empresa.

O Cloud Security pode ser integrado a outros serviços de segurança da PROOF, como o MSS PROOF, e o B-SOC.

Com Information Week

Como implementar uma nuvem segura

Muitos profissionais sempre se lembram de pontos negativos em relação à nuvem. Os constantes lapsos de segurança, a falta de controle e a mudança cada vez maior para a nuvem parecem ser a receita do desastre. No entanto, com tanta negatividade e a necessidade de focar nas desvantagens dos riscos, é fácil considerar uma ameaça tudo que é relacionado à nuvem.

No entanto, a nuvem na verdade pode ser uma oportunidade de resolver o verdadeiro problema: como proteger as informações mais importantes das corporações? A resposta é uma solução de nuvem segura para aumentar a segurança dos dados da empresa. Elas também oferecem a tão sonhada possibilidade de ter o controle da nuvem.

Para isso, é preciso direcionar esforços na inclusão da nuvem na estratégia empresarial. Conheça três aspectos a serem considerados pelos líderes de segurança:

Seleção

Essa parte do processo inclui informar e definir critérios para guiar a escolha de soluções que beneficiem os negócios, mas também protejam as informações.

É a oportunidade que o time de segurança tem de se envolver cedo o bastante para que considerações chave sejam inclusas. Para a liderança, é a oportunidade de incorporar a segurança como um benefício para os negócios, não um obstáculo.

Proteção

Manter as informações protegidas não depende apenas da escolha da solução, independente do quão seguras sejam as ferramentas escolhidas. Nessa etapa, entende-se o ambiente virtual da empresa para arquitetar a melhor maneira de manter a informação segura.

Essa parte do processo exige investimento de tempo e parceria com a empresa fornecedora para explorar e desenvolver uma abordagem apropriada. Quem está fazendo o quê e por quê? Como o acesso é controlado? Como os dados são protegidos? O que sua empresa pode fazer? O que o fornecedor pode fazer? O que o fornecedor pode fazer ainda que com custos extras?

Operação

Selecionar e proteger as soluções são ações necessárias, no entanto, a maior parte do tempo é gasta com o consumo dos serviços. A abordagem da liderança deve ser o desenvolvimento claro e documentado de um processo de medição de performance e de risco, avaliação do funcionamento de controles e proteções, incluindo novas opções disponíveis, checagem periódica do valor e melhorá-lo.

A PROOF traz soluções de ponta quando se trata de segurança na nuvem. Aliados à expertise dos seus profissionais e às soluções dos parceiros, os serviços da PROOF permitem oferecer às organizações estratégias que assegurem a segurança dos dados no que tange aos principais riscos da nuvem, como vazamento de dados e, principalmente, dados internos e sensíveis à organização.

Com CSO

Gerenciamento de dados corporativos: saiba prevenir perda de dados e ameaças internas

Embora as tecnologias de DLP (Data Loss Prevention) estejam cada vez mais avançadas, algumas organizações ainda enfrentam dificuldades em prevenir a perda de dados.

A perda de informações internas continua a ser uma das principais ameaças para as organizações, principalmente nos últimos tempos, com o aumento na preocupação decorrente de violações de dados registradas na primeira metade da segunda década do século XXI. Os executivos atualmente não só buscam mais recursos para evitar a perda de dados e combater o risco das ameaças internas, mas também estão mais interessados em aprimorar o gerenciamento de dados corporativos de modo a obter um melhor controle sobre todos os dados da sua empresa.

Muitas organizações estão implantando tecnologias de prevenção de perda de dados (DLP) para combater o risco de vazamento de informações tanto deliberadas quanto acidentais. Embora essa tecnologia seja essencial para a proteção contra ameaças internas, existirá sempre a possibilidade de que a proteção de alguns dados esteja além de seu controle. Algumas organizações esquecem que esses elementos tecnológicos estão envolvidos com a ação humana, o que sempre tornará a implantação de tais tecnologias suscetível a vulnerabilidades.

Ao considerar esses fatores, as organizações podem estabelecer uma base sólida para o sucesso da gestão de dados empresariais e da implementação do DLP.

Para limitar as ameaças internas e evitar a perda de dados, é essencial ser capaz de controlar onde cada dado está armazenado e quem tem acesso. Essa pode ser uma tarefa difícil para dados não estruturados armazenados em uma variedade de dispositivos (por exemplo, servidores, desktops, laptops, smartphones ou cartões de memória USB) com poucos controles de acesso ou nenhum. A fim de conquistar o controle sobre esses dados não estruturados, siga os seguintes passos:

  • Classifique os dados com base em sua confidencialidade e determine quais que devem ser protegidos.

Essa atividade requer o envolvimento de diferentes setores da empresa para entender as características dos tipos de dados e por quanto tempo eles devem ser protegidos. As regras de controle de acesso para esses dados também devem ser estabelecidas, de modo que você possa definir quem deve ter acesso a que tipos de informação.

  • Para cada tipo de informação, determinar qual a relevância de cada uma para a organização.

As questões-chave para perguntar são: Qual seria o impacto se as informações fossem divulgadas? Qual seria o impacto se as informações fossem perdidas ou ficassem indisponíveis?

  • Realizar uma avaliação de risco para determinar quais controles de segurança são necessários para proteger os dados mais sensíveis.

Esta avaliação deve avaliar a probabilidade de ameaças possíveis e, portanto, o risco para a organização. Frequentemente será necessário ter diferentes controles de segurança para diferentes tipos de informação ou para limitar onde as informações são processadas de tal modo que não sejam mantidas em dispositivos vulneráveis.

  • Implementar sistemas para armazenar e proteger os dados que atendem aos requisitos de segurança estabelecidos pela avaliação de risco.

Essa etapa pode ser realizada utilizando uma variedade de medidas que estejam de acordo com as necessidades da organização e da natureza dos sistemas de informação existentes, Sua implementação, contudo, pode variar de uma nova arquitetura de sistema, para a implantação de tecnologias de DLP específicas para atender às necessidades específicas de segurança.

Com Computer Weekly