Após meses sem escrever um artigo eu não gostaria de terminar 2018 sem uma contribuição e assim decidi escolher um tema que andou aparecendo com mais frequência em fóruns, artigos, palestras e outros no último trimestre, mas que apesar de frequente ainda deixa muitas dúvidas sobre como agir para atender a essa nova regulação, que tem como objetivo proteger os dados pessoais do cidadão brasileiro.

A lei nº 13.709, também conhecida como LGPD, foi publicada em 15 de agosto de 2018 e de forma mais ampla trata a proteção de dados pessoais e é importante citar que já existiam dezenas de leis falando sobre o tema só que estavam atendendo questões mais setoriais.

O ponto aqui é como agir para proteger esses dados e não expor o negócio às sanções estipuladas, que iniciam em 2% do faturamento da empresa com limitação em 50 milhões de reais.

O primeiro passo é entender quais são os dados que se enquadram na lei e nesta são citadas duas classes de dados, o primeiro é o dado pessoal, que são as informações relacionadas às pessoas naturais identificadas ou identificáveis e o segundo são os dados pessoais sensíveis, que são os dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculado a uma pessoa natural.

Com o entendimento claro sobre quais dados estão cobertos pela lei, o próximo passo está relacionado ao entendimento sobre como o negócio consome esses dados em seus processos.

Entender como os dados são capturados e manipulados pela empresa é fundamental para as etapas próximas etapas e durante essa análise também é importante conhecer as práticas adotadas para a guarda desses dados.

Após entender os processos de negócio e como os dados são consumidos, iniciasse a etapa de descoberta e análise das entidades que precisam ter acesso às informações a serem protegidas e aqui normalmente são encontradas as primeiras dificuldades relativas ao tema proteção de dados, pois geralmente são descobertas entidades com acessos questionáveis ou até indevidos e as deficiências em controlar esses acessos.

A ação adequada neste ponto é investir em tecnologia e processos destinados a controlar de forma mais efetiva credenciais que possibilitem o acesso aos repositórios de dados, pois sem uma ferramenta para a gestão das credenciais de acesso bem estruturada e adequadamente implantada, além de processos para a governança destas credenciais bem definidos, o risco em permitir o acesso indevido é realmente muito grande.

Para exemplificar esse ponto vale citar que é muito comum encontrar empresas de diversos tamanhos que esquecem credenciais de ex-funcionários ou terceiros ativas mesmo depois de seu desligamento.

Outro ponto importante é a proteção desses dados quando estão repousados e para isso é necessário primeiro entender onde estão esses repositórios. O acesso indevido a esses repositórios pode resultar em vazamentos em grande escala e essa pode ser uma exposição desastrosa para a empresa.

Esses dados precisam ser protegidos enquanto estão armazenados e só podem ser acessíveis através do uso de credenciais que permitam o acesso e nesse ponto devemos fazer o uso da criptografia através de ferramentas destinadas a cifrar os dados e até os blocos de um disco e só permitir o acesso a esses dados após o processo de autenticação do solicitante.

Com a adoção desse tipo de tecnologia mesmo o descarte indevido de um disco ou mídia de backup poderia representar um risco menor, já que os dados são armazenados totalmente inacessíveis.

O terceiro ponto está relacionado aos dados em trânsito, pois a interceptação ou acesso não autorizado aos pacotes enviados e recebidos representa um grande risco para as empresas, além de ser um dos meios mais comuns utilizado pelos invasores. Nesse ponto é preciso se utilizar da criptografia no transporte destes dados através de protocolos preparados para isso, como o TLS, SFTP e outros.

Nunca devemos transmitir os dados no formato aberto ou em texto claro e sim procurar protocolos e ferramentas que garantam a segurança no envio e recebimento desses dados.

Também precisamos autenticar os participantes nesse processo de comunicação e garantir que quem está do outro lado realmente esteja autorizado a receber ou enviar as informações.

Podemos ainda falar sobre o formato e a robustez das credenciais e dos processos de autenticação, fatores a serem utilizados, protocolos e algoritmos adequados, mas deixarei esses pontos para um novo artigo.

E vamos torcer para que em 2019 as empresas levem mais a sério as questões relacionadas a proteção de dados e façam seus investimentos, pois vivemos um ano de 2018 repleto de vazamentos.

Eder Alvares P. Souza
Mestre em Engenharia de Software. Professor do curso de Segurança da Informação do Instituto Brasileiro de Tecnologia Avançada e responsável pelo tema Criptografia e Certificação Digital. Diretor Técnico na e-Safer Consultoria. Colunista e membro do conselho editorial do Portal Crypto ID.

Fonte: Artigo publicado originalmente no Portal Crypto ID – https://goo.gl/6ZvHkF. Publicação no site da ABRACEM com autorização do autor.