Em 2022, foi promulgada a Emenda Constitucional 115, que torna a proteção de dados um direito fundamental do cidadão brasileiro, estabelecida no artigo 5º da Constituição Federal.
Portanto, os processos das empresas e instituições devem, na prática, trabalhar para proteger os dados de seus clientes e parceiros.
Você sabia que o Dia Internacional da Proteção de Dados é celebrado no dia 28 de janeiro? A data foi escolhida em razão da abertura à assinatura da Convenção nº 108, do Conselho da Europa para a Proteção de Pessoas, em 2006.
Esta data serve para relembrar a importância da proteção de dados e reforçar ações de segurança.
Os dados dos usuários fazem parte de suas identidades, e o vazamento e exposição de informações podem deixá-los à mercê de crimes online e offline, como golpes em redes sociais, fraudes financeiras, chantagens e até mesmo roubos e sequestros.
Por isso, é fundamental que empresas, usuários e autoridades trabalhem em conjunto para estabelecer estratégias de segurança.
Os dados pessoais de um usuário são classificados de diversas formas, desde a senha de quatro dígitos até o reconhecimento facial. Todos devem ser protegidos e mantidos em sigilo para preservar sua identidade e o patrimônio.
Ainda existem dados ideológicos, de saúde, vida sexual e origem étnica. Nem todas essas informações são completamente sigilosas, mas a exposição delas em lugar algum dá o direito às empresas de se apossar e tratá-las como bem entenderem. Isso faz parte do direito à privacidade dos dados.
Após algumas empresas utilizarem os dados de seus clientes de forma indiscriminada, surgiram movimentos pela proteção da privacidade das informações. Assim, foram promulgadas leis específicas - como a LGPD, a Lei Geral de Proteção de Dados.
Ela entrou em vigor em 2020 e se aplica a todas as empresas públicas ou privadas que coletam dados de pessoas físicas para tratamento. A lei interpreta como tratamento de dados toda operação realizada com os dados pessoais, como o que se refere à coleta, produção, recepção, classificação, utilização, entre outros.
A LGPD conta com alguns princípios para garantir o bom uso das informações:
A empresa deve ter finalidades claras para o uso dos dados, com propósitos legítimos, explícitos e informados ao titular.
Os fins de uso dos dados devem ser adequados ao que foi informado aos titulares, de acordo com o contexto do tratamento.
O tratamento dos dados deve ser o mínimo necessário, sempre proporcional e não excessivo às finalidades.
Os titulares devem ter acesso facilitado e gratuito aos seus dados, além de poderem alterar a qualquer momento a forma e a duração do tratamento.
Por qualidade, entende-se que os dados devem ser verdadeiros e estejam atualizados com exatidão, clareza e relevância.
As empresas devem ser honestas aos titulares sobre o tratamento dos dados e seus respectivos agentes, que são outras empresas envolvidas no processo de tratamento dos dados.
A LGPD exige que existam procedimentos, tecnologias e soluções para garantir a proteção dos dados que estão sob o domínio da empresa para evitar “situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”.
A empresa deve estar preparada para lidar com problemas que possam surgir, para evitar danos aos titulares.
O objetivo de tratamento de dados jamais deve ser incitar discriminação e preconceito contra grupos de pessoas, seja em razão de sua raça, etnia, origem, entre outros.
A empresa deve mostrar que está cumprindo a lei com provas e evidências que as devidas medidas são tomadas.
Para que seja seguida à risca, a Lei exige que, obrigatoriamente, um profissional seja o DPO da empresa, ou seja, o encarregado pela proteção dos dados pessoais. A sigla do cargo significa Data Protection Officer.
Os profissionais de TI são agentes importantíssimos na proteção de dados. São eles que desenvolvem sistemas e fiscalizam o cumprimento das normas de segurança.
O gestor da área deve ficar responsável pelas políticas internas da empresa e pela orientação dos colaboradores sobre o seguimento dos protocolos. Além disso, o time de TI deve zelar pelo armazenamento correto e seguro dos dados.
Essa equipe também pode fazer testes de software e ter o cuidado na arquitetura da informação com criptografia de ponta a ponta em sites e aplicações.
Nós falamos um pouco mais sobre prevenção a ataques no tópico abaixo.
A equipe de TI atua em várias frentes para garantir a segurança das informações da instituição e dos dados de clientes e parceiros. A segurança em TI se divide nos seguintes tipos:
Como o nome sugere, a segurança de rede é fundamental para impedir invasões à rede, garantindo a usabilidade, confiabilidade e integridade das informações.
Todas as informações que são trocadas por meio de navegadores online devem ser protegidas pela segurança da internet. Em geral, é feita na forma de firewalls, antimalware e antispyware.
A segurança de endpoint protege os dispositivos, impedindo que eles acessem redes mal-intencionadas que possam facilitar invasões e ataques.
A segurança da nuvem é feita por agentes de segurança de acesso (CASB), gateways de Internet seguros (SIG), e um gerenciamento unificado de ameaças baseado em nuvem (UTM).
A codificação é uma forma efetiva de proteção de aplicações, já que torna possível analisar o código de uma aplicação e identificar possíveis vulnerabilidades que possam existir no software.
Existem algumas práticas a serem tomadas pelas empresas que podem ajudar a fortalecer a segurança de dados.
O mercado de tecnologia está em constante evolução. Por este motivo, novas tendências são muito comuns.
Novas soluções são apresentadas e as empresas precisam estar atentas às movimentações, como o surgimento de novas aplicações e softwares de segurança.
Ao mesmo tempo, é importante saber filtrar as novidades, visto que a proteção de dados exige cautela e deve ser gerida por softwares e profissionais de confiança.
Licenças expiradas e softwares desatualizados são um prato cheio para hackers.
Os fornecedores de mercado para as empresas de tecnologia estão sempre trabalhando em atualizações para corrigir falhas e tornar os sistemas cada vez mais seguros.
Por isso, para dificultar ainda mais a ocorrência de ataques, a equipe deve se organizar para conferir se os programas estão configurados em suas atualizações mais recentes.
Em geral, os lembretes de atualização são enviados pelos canais de comunicação mais utilizados, como e-mail ou mensagem pop-up.
O uso de senhas diversas e fortes é uma ótima forma de proteger o acesso a dados importantes. Essa prática é válida até mesmo para arquivos pessoais, como e-mails e redes sociais.
É ideal que a equipe de TI estabeleça um tempo limite para fazer a alteração das senhas e evitar a invasão e o acesso de pessoas não autorizadas.
Dependendo da empresa, a orientação para os clientes deve ser a mesma: trocar as senhas periodicamente e utilizar letras, números e caracteres especiais para que ela seja forte e o mais indecifrável possível. Evitar usar nomes, datas de nascimento, números de documentos ou outras informações óbvias e conhecidas.
Quando uma pessoa acessa dados importantes que não são de sua responsabilidade ou área, ela pode não entender a importância daquelas informações.
E se acontecer o vazamento ou exclusão de uma informação ou arquivo importante, o prejuízo será refletido em toda a empresa. Infelizmente, por se tratar de uma falha humana, esses acontecimentos não são incomuns.
Para evitar dores de cabeça, os times devem ficar cientes do controle e, quanto mais importante forem os dados, o ideal é que menos pessoas tenham acesso a eles - e que sejam profissionais altamente capacitados para tratá-los.
Ao mesmo tempo, controle de acesso não é sinônimo de falta de transparência. Tudo que for importante deve ser compartilhado.
Existem diversas configurações que permitem que os arquivos sejam apenas visualizados, mas não editados. A equipe pode investir em um tempo para atualizar essas preferências, por exemplo.
A equipe de TI deve estar ciente sempre que informações forem vazadas ou acontecer alguma tentativa de vazamento.
Para isso, é possível investir em bloqueio de sistemas de saída, sites que facilitem o recolhimento de arquivos e sistemas internos de comunicação.
Coleta e utiliza os dados de forma diferente. Para garantir boas práticas desta utilização, é imprescindível estabelecer políticas de conduta e segurança a serem seguidas por todos os colaboradores. Assim, é possível evitar invasões e ataques.
Uma dica de boa prática é estabelecer um fluxo de ação quando um funcionário identificar tentativa de vazamento de dados, por exemplo. A quem ele deve reportar? Por qual canal de comunicação isso será feito? Entre outros indicativos.
E para garantir que todos estão cientes das condutas, as equipes responsáveis podem oferecer treinamentos, que ajudam a uniformizar os procedimentos.
A equipe de TI deve saber tudo o que acontece na rede de atividades. Para isso, as ferramentas de monitoramento são importantes para identificar vulnerabilidades, mudanças e movimentações suspeitas.
Ninguém quer que aconteça, é claro, mas é possível excluir ou perder dados. O backup, nesse caso, é muito importante para recuperar os arquivos.
Ele pode ser feito em servidores físicos, HDs externos ou em nuvem.
A falta de segurança de informação e proteção de dados pode causar prejuízos inimagináveis para as empresas. Os serviços podem ser interrompidos por tempo indeterminado, os clientes e funcionários podem ser vítimas de fraudes financeiras, a instituição pode sofrer processos e multas por falhas de segurança e perder a credibilidade no mercado.
Se acontecer o vazamento de dados de uma empresa, ela deve comunicar imediatamente o Data Protection Officer (DPO), os titulares dos dados vazados e a Autoridade Nacional de Proteção de Dados (ANPD), completando o formulário de comunicação de incidentes.
Se o vazamento causar risco ou dano latente aos titulares, a empresa deverá descrever quais os dados, quem foi afetado e de que forma, além de oferecer o auxílio necessário às vítimas.
A instituição também deve elaborar documentos com a avaliação do incidente, quais medidas foram tomadas e a análise de riscos, para servir como responsabilização e prestação de contas.
Como já comentamos, o mercado da tecnologia está em constante atualização e buscando formatos mais seguros e eficientes para o tratamento de dados. Algumas tendências estão em alta neste mercado e prometem fortalecer ainda mais a segurança da informação.
A inteligência artificial se mostra muito promissora para identificar comportamentos inadequados nas redes. Cruzar variáveis para encontrar divergências é uma das formas que a tecnologia encontrou para incluir a IA na segurança dos dados.
Mesmo que já esteja sendo utilizada em várias aplicações, a autenticação em dois fatores é um excelente obstáculo contra invasões para diversas áreas. As instituições financeiras, por exemplo, já utilizam.
Muitos colaboradores utilizam seus próprios celulares e computadores para trabalhar, e isso pode ser um problema para a segurança. Por conta disso, o ideal é intensificar e investir na varredura de dispositivos, articulação de firewalls, sistemas de proteção contra vazamento de dados (DLP) e criptografia das comunicações.
A proteção de dados é um caminho certeiro para a melhor utilização de serviços, uma vez que permite a relação entre empresas, clientes e fornecedores sem comprometer sua segurança e integridade. E a melhor forma de trilhar este caminho é trabalhando juntos, com atualização e orientação constantes.
Ao enviar os dados você autoriza que o Proj4me entre em contato e declara estar ciente da Política de Privacidade.
