Segurança
de
Dados
A segurança da informação, sem dúvidas, é um dos ramos da tecnologia que mais crescem ao passar dos anos. Podemos defini-la como uma prática que visa proteger informações digitais de acesso não autorizado, corrupção, violação ou qualquer mal tratamento de um dado. Com o passar dos anos, os dados tornaram-se um ativo valioso para qualquer empresa. Protegê-lo de acessos ilegais protege também uma organização de possíveis perdas financeiras, má reputação e desconfiança do titular daquele dado. Vale ressaltar que as regulamentações que fiscalizam a proteção dos dados, impostas pelo governo e pela indústria, tornam essenciais para uma empresa manter a conformidade de qualquer dado.
Nas décadas de 1960 e 1970, os sistemas computacionais eram essencialmente centralizados, e a segurança de dados baseava-se em controle de acesso físico e lógico. Contudo, à medida que a computação evoluía, a explosão da internet na década de 1990 impulsionou a necessidade de medidas mais robustas. O surgimento dos primeiros vírus de computador alertou o mundo para a vulnerabilidade dos sistemas digitais.
A virada do milênio testemunhou a popularização da internet, introduzindo uma nova gama de ameaças. Firewalls e programas antivírus tornaram-se pilares essenciais na proteção contra ameaças digitais, mas a ascensão de worms e ataques de negação de serviço destacou a necessidade de abordagens mais proativas.
Na década de 2010, a sofisticação das ameaças atingiu novos patamares. Ransomware, phishing avançado e ataques direcionados exigiram soluções mais inteligentes. A cibersegurança começou a adotar inteligência artificial e análise comportamental para identificar padrões suspeitos, enquanto medidas de privacidade tornaram-se cruciais diante de crescentes preocupações com a exposição de dados pessoais.
Hoje, a segurança de dados é uma arena dinâmica, adaptativa e impulsionada pela inovação. A computação em nuvem trouxe novos desafios, mas também ofereceu soluções mais flexíveis. Tecnologias emergentes, como blockchain, estão sendo exploradas para fortalecer a integridade das transações digitais. A inteligência artificial desempenha um papel central na detecção proativa de ameaças, enquanto a privacidade dos dados ganha destaque em um mundo cada vez mais conectado.
À medida que avançamos, o futuro da segurança de dados promete desafios inéditos e soluções inovadoras. A cibersegurança continuará a evoluir, incorporando novas tecnologias e estratégias para enfrentar ameaças em constante mutação. A jornada, que começou com sistemas isolados, agora abraça uma mentalidade adaptativa, onde a agilidade e a prevenção são tão cruciais quanto a resposta a incidentes. Nessa constante evolução, a segurança de dados permanece na vanguarda, defendendo nossa era digital contra as complexidades do ciberespaço.
O crescente volume de dados armazenados e compartilhados por meio da internet aumenta o risco de
violações de dados e ataques cibernéticos. Estes incidentes são perigosos; informações confidenciais
podem acabar em mãos erradas e causar perdas financeiras, penalidades legais e danos à reputação.
A segurança dos dados protege dados valiosos e ajuda empresas a manter sua integridade e
credibilidade
no mercado. Para demonstrar mais a fundo a importância desse tema, podemos listar seus principais
benefícios.
Medidas de segurança de dados, como controles de
acesso,
criptografia e mascaramento de dados, ajudam a proteger informações confidenciais contra
acesso
não autorizado ou roubo.
Os controles de acesso limitam quem pode visualizar ou acessar as
informações confidenciais, enquanto a criptografia e o mascaramento de dados tornam as
informações ilegíveis ou inutilizáveis para indivíduos autorizados que possam obter acesso a
elas.
Ao salvar/guardar informações confidenciais, a segurança dos dados protege indivíduos e
empresas
de danos potenciais e evita perdas financeiras ou de reputação devido a violações de
segurança.
Se os hackers não roubarem os dados, eles ainda poderão adulterá-los, excluindo-os,
alterando-os, ou corrompendo-os. A adulteração de dados pode causar perdas financeiras,
danos à
reputação ou problemas legais.
Medidas de segurança de dados, incluindo criptografia, controles de acesso e sistemas de
backup
de dados, evitam adulterações e garantem que pessoas autorizadas possam acessar os dados e
rastrear alterações.
Estas medidas podem ajudar as organizações a proteger as suas
informações
sensíveis e a prevenir potenciais consequências jurídicas e financeiras associadas a
incidentes
de adulteração de dados.
Qualquer violação ou perda de dados pode prejudicar gravemente a reputação de uma empresa,
resultando na perda de confiança e lealdade do cliente, atenção negativa da mídia e
possíveis
responsabilidades legais.
As medidas de segurança de dados protegem informações confidenciais contra acesso não
autorizado, roubo ou perda. As empresas podem proteger a si mesmas e a seus clientes
implementando protocolos de segurança robustos, como criptografia, firewalls, detecção de
intrusões e sistemas de prevenção.
A implementação de medidas de segurança de dados também
demonstra o compromisso de uma empresa em proteger a privacidade e as informações sensíveis
dos
seus clientes, o que pode melhorar a sua reputação e atrair novos clientes.
A segurança de dados ajuda as organizações a cumprir leis e regulamentos que exigem que
implementem medidas de segurança adequadas para proteger informações pessoais e
confidenciais.
Ao fazer isso, as empresas podem evitar multas dispendiosas e responsabilidades legais
associadas ao não cumprimento. Eles também podem melhorar o relacionamento com os clientes e
construir confiança.
Os clientes esperam que as empresas protejam suas informações confidenciais contra acesso
não
autorizado ou roubo, e o vazamento de dados resulta na perda de confiança na organização.
As
medidas de segurança podem ajudar a manter a confiança do cliente, protegendo seus dados
privados contra acesso não autorizado, roubo ou perda.
As organizações podem comunicar medidas e práticas de segurança de dados para construir
transparência e confiança.
Por exemplo, podem fornecer políticas de privacidade,
certificações
de segurança e atualizações regulares sobre as suas medidas e procedimentos de segurança.
Essa
prática levará ao aumento da fidelidade do cliente e à repetição de negócios.
Dentre os riscos inseridos dentro deste tema, podemos citar:
Muitas violações de dados não
são resultado de hackers, mas da exposição acidental ou negligente de informações
confidenciais por funcionários.
Os funcionários podem facilmente perder, compartilhar ou
conceder acesso aos dados com a pessoa errada, ou manipular incorretamente ou perder
informações porque não estão cientes das políticas de segurança da sua empresa.
Num ataque de phishing, um criminoso cibernético envia mensagens, normalmente por e-mail,
serviço de mensagens curtas (SMS) ou serviços de mensagens instantâneas, que parecem ser de
um remetente confiável.
As mensagens incluem links ou anexos maliciosos que levam os
destinatários a baixar malware ou visitar um site falsificado que permite ao invasor roubar
suas credenciais de login ou informações financeiras.
Esses ataques também podem ajudar um
invasor a comprometer os dispositivos dos usuários ou obter acesso às redes corporativas. Os
ataques de phishing são frequentemente associados à engenharia social , que os hackers usam
para manipular as vítimas para que forneçam informações confidenciais ou credenciais de
login em contas privilegiadas.
Uma das maiores ameaças à segurança de dados para qualquer organização são os seus próprios
funcionários. Ameaças internas são indivíduos que, intencionalmente ou inadvertidamente,
colocam em risco os dados de sua própria organização. Eles vêm em três tipos:
1 - Insider Comprometido: O funcionário não percebe que sua conta ou
credenciais foram
comprometidas. Um invasor pode realizar atividades maliciosas se passando por usuário.
2 - Insider Malicioso: O funcionário tenta ativamente roubar dados de sua
organização ou causar danos para ganho pessoal.
3 - Insider Não Malicioso: O funcionário causa danos acidentalmente, por
meio de comportamento negligente, por não seguir políticas ou procedimentos de segurança ou
por não ter conhecimento deles.
Os ataques de ransomware representam um sério risco à segurança de dados para organizações
de todos os tamanhos.
É uma forma de malware que visa infectar dispositivos e criptografar
os dados neles contidos. Os invasores então exigem uma taxa de resgate da vítima com a
promessa de devolver ou restaurar os dados mediante pagamento.
Alguns formatos de ransomware
se espalham rapidamente e infectam redes inteiras, o que pode até derrubar servidores de
dados de backup.
A Lei Geral de Proteção de Dados (LGPD), lei de número 13.709/2018, foi sancionada em 2018 e tem como principal objetivo proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Também tem como foco a criação de um cenário de segurança jurídica, com a padronização de regulamentos e práticas para promover a proteção aos dados pessoais de todo cidadão que esteja no Brasil, de acordo com os parâmetros internacionais existentes.
A lei define o que são dados pessoais e explica que alguns deles estão sujeitos a cuidados ainda mais específicos, como os dados pessoais sensíveis e dados pessoais sobre crianças e adolescentes. Esclarece ainda que todos os dados tratados, tanto no meio físico quanto no digital, estão sujeitos à regulação. Além disso, a LGPD estabelece que não importa se a sede de uma organização ou o centro de dados dela estão localizados no Brasil ou no exterior: se há o processamento de informações sobre pessoas, brasileiras ou não, que estão no território nacional, a LGPD deve ser observada. A lei autoriza também o compartilhamento de dados pessoais com organismos internacionais e com outros países, desde que observados os requisitos nela estabelecidos.
A lei traz várias garantias ao cidadão, como: poder solicitar que os seus dados pessoais sejam excluídos; revogar o consentimento; transferir dados para outro fornecedor de serviços, entre outras ações. O tratamento dos dados deve ser feito levando em conta alguns requisitos, como finalidade e necessidade, a serem previamente acertados e informados ao titular.
A LGPD pode ser aplicada a todas as empresas estabelecidas no Brasil e a todas as empresas (de fora ou não) que oferecem serviços a brasileiros. Por outro lado, ela não pode ser aplicada nos casos de: dados corporativos e de negocio, fins particulares e não economicos, fins jornalisticos, artisticos e acadêmicos. E por fim, fins penais, investigativos e de segurança pública.
Através da ANPD - Autoridade Nacional da Proteção de Dados é onde ocorre a fiscalização e penalização relacionadas ao descumprimento da LGPD, por alguma organização. Além disso, a LGPD possibilita a existência dos agentes de tratamento de dados e estipula suas funções dentro da organizações. São eles:
Trata-se de uma pessoa natural ou jurídica, que possui direito público ou privado. Essa entidade vai tomar decisões que dizem respeito ao tratamento que os dados pessoais vão receber.
Uma pessoa natural ou jurídica, que possui direito público ou privado. Ela será responsável por realizar o tratamento dos dados pessoais em nome de um controlador.
Uma pessoa indicada pelo controlador ou operador para que pudesse atuar dentro do canal de comunicação que existe entre os controladores, os titulares dos dados pessoais e pela ANPAD.
As penalidades da LGPD começaram a ser aplicadas no dia 1º do agosto de 2021. Nela, existem dois tipos de puniçoes financeiras: multa simples no valor de até 2% do faturamento da empresa, limitada ao teto de R$ 50,000.000 por infração; ou multa diária, também limitada no teto de R$ 50,000.000. Mas, na LGPD nem todas as infrações causam multas. A Autoridade Nacional de Proteção de Dados (ANPD), tem a total liberdade de aplicar uma série de sancões. Dentre elas:
Dados anonimizados podem ser usados para entender comportamento de massa sem a necessidade de
saber quem é quem.
Empresas podem usá-los para melhorar a oferta de serviços para os clientes.
Governos podem usá-los para ajudar na criação de políticas públicas.
Durante o início da
pandemia, por exemplo, empresas ganharam foco por monitorar o nível de isolamento social através
de dados de geolocalização de celulares usando informações anonimizadas.
A coleta de dados pode ser virtual ou pessoalmente. No primeiro caso, um exemplo é quando você
acessa um site e autoriza que ele colete os cookies, pequenos arquivos que servem para rastrear
o que fazemos na internet, ou seja, registra dados da nossa navegação como os sites que
visitamos.
Outra forma é através do preenchimento de formulários. No segundo caso, existe a
coleta offline, que também segue as diretrizes da LGPD.
Ex: O pedido do número do CPF no momento
de uma compra. As lojas devem assegurar que o dado fornecido será usado para uma finalidade e
explicar exatamente o que será feito a partir disso (como garantir o desconto nas compras).
A empresa (pública ou privada) pode usar os dados pessoais com a respectiva finalidade informada
aos titulares.
O compartilhamento de dados pessoais com outras organizações seguindo os
protocolos estabelecidos pelas regras da lei também podem acontecer.
Qualquer vazamento é de
responsabilidade da empresa que colheu os dados.
No artigo 18, a LGPD diz que o titular dos dados poderá a qualquer momento solicitar a eliminação dos dados pessoais coletados, mesmo que a coleta tenha sido feita com consentimento.
Os dados coletados devem ser eliminados em quatro situações: quando a finalidade foi alcançada e os dados deixaram de ser necessários; fim do período de tratamento; a pedido do titular; ou por determinação da autoridade nacional.
Você pode denunciar casos de descumprimento da lei aos órgãos de defesa e proteção ao consumidor
de sua cidade, como o Procon, Idec (Instituto Brasileiro de Defesa do Consumidor) e também ao
Ministério Público.
Isso também deve ser feito para ANPD (Autoridade Nacional de Proteção de
Dados), pelo e-mail anpd@anpd.gov.br, pelo telefone (61) 3411-5961 ou pelo formulário no site
oficial.
Em caso de vazamento de dados, é fundamental fazer um boletim de ocorrência. Além
disso, é importante formalizar a denúncia na ANPD. Para isso, acesse o site anpd.gov.br, clique
em "Denúncia" no lado inferior esquerdo da tela e registre o problema. A partir daí, o órgão
poderá instaurar um inquérito eexercer seus poderes de auditoria previstos na LGPD.