Segurança de dados na era pós digital: todo cuidado é pouco

Quando falamos sobre segurança de dados ou segurança da informação (SI), é comum considerarmos a informação digital e, ao mesmo tempo, os dados eletrônicos. Porém, é importante destacar que o conceito de segurança de dados engloba todo e qualquer tipo de dado, bem como tem o de objetivo preservar a integridade dos mesmos. Dessa forma, é possível garantir que esses dados sejam utilizados única e exclusivamente para a finalidade que foram coletados, evitando mau uso ou mesmo uma ação indevida. Sendo assim, a segurança de dados precisa ser vista e tratada de forma abrangente, pois nesta era pós digital, todo cuidado é pouco.

Seguindo este raciocínio, temos que considerar que o princípio da construção de um ambiente propício à segurança de dados e informações tem início na elaboração de uma política institucional, que deve não só abranger as seguranças físicas e lógicas, como também definir os critérios para o acesso e manuseio dos dados. É preciso ter em mente que, ao tratarmos da segurança de dados digitais, sempre haverá a necessidade de um detalhamento maior em relação à definição dos critérios de acesso e manuseio de dados, uma vez que os mecanismos de segurança a serem utilizados deverão suportar o nível de acessos requerido. Por isso, é recomendável que essas políticas internas (também conhecidas como “PSI” ou “Política de Segurança da Informação”) sejam elaboradas seguindo as boas práticas descritas por padrões globais (ISO) e normas ABNT, pois, dessa forma, será possível mitigar quaisquer falhas geradas, de forma intencional ou acidentalmente, por algum usuário.

De forma geral, as ferramentas disponíveis para segurança de dados digitais precisam contemplar desde o uso de mecanismos de criptografia (para a conversão dos dados armazenados em um hash e sua posterior decriptação para uso) até o uso dos firewalls para o controle de tráfego (que precisam considerar a permissão de usuário, os endereços de origem e de destino, mais os dados que são acessados). Também é importante considerar as ferramentas para gestão da segurança nas estações de trabalho, como antivírus, atualização do sistema operacional e o controle de privilégios ao usuário, limitando a instalação de softwares desnecessários. Isso porque, historicamente, as principais vulnerabilidades registradas no ambiente corporativo estão relacionadas ao uso incorreto das ferramentas e à falta de uma política de segurança da informação.

Muito se fala na Lei Geral de Proteção de Dados (LGPD), principalmente que as empresas “precisarão se enquadrar na nova lei”. Mas, afinal, o que é essa nova lei? O que quase ninguém comenta é que a LGPD está essencialmente ligada à segurança de dados e, por isso mesmo, as empresas precisarão dedicar esforços aos seus cuidados neste campo. Nossa recomendação é construir uma política para gestão das informações, além de estabelecer processos para o uso das mesmas – e tudo isso precisará ser de conhecimento do ente que chamamos “fornecedor de dados”. No entanto, engana-se quem pensa que basta pegar as informações dos usuários e sair disparando e-mails, promoções ou propostas; será necessário deixar claro para todo stakeholder quais informações serão armazenadas, e de qual forma elas poderão ser usadas. Pois, caso um indivíduo sinta-se com o seu direito violado, caberá ao acusado defender-se, demonstrando como trata (ou tratou) tais informações.

Esta responsabilidade gera alguns desafios, principalmente sobre a gestão dos dados, que precisarão ser armazenados e controlados em diversos níveis. Para ter sucesso na empreitada, é preciso mais do que nunca conhecer o próprio negócio, entender suas especificidades e expectativas para, assim, traçar rotas coerentes com a realidade e implementar o que for necessário. Portanto, quanto mais cedo uma empresa adentrar a era pós digital, melhor – não só para ela, mas para a sociedade como um todo.

*Por Luiz Fernando de Souza é CBO da Binario Cloud.