O papel da segurança de informação na adequação de empresas à LGPD (1)

Prévia do material em texto

PAPER DE REVISÃO DE LITERATURA
TÍTULO: O papel da Segurança de Informação na adequação das empresas à
LGPD1
Aluno2
professor3
RESUMO
Tendo em vista que a LGPD forçou as empresas a se adequarem às novas regras,
com intuito de melhorar a segurança de dados dos usuários, pesquisa-se sobre a
segurança da informação, a fim de explicar o papel da segurança da informação na
adequação às normas impostas pela LGPD. Para tanto, é necessário descrever os
conceitos que norteiam a segurança da informação; identificar os pontos mais
relevantes da LGPD e avaliar como dar-se-á a adequação das empresas à LGPD.
Realiza-se, então, uma pesquisa exploratória . Diante disso, verifica-se que a
segurança da informação possui meios de assegurar a adequação das empresas a
LGPD, o que impõe a constatação de que a literatura atual possui medidas para
garantir o sigilo de dados dos usuários de maneira satisfatória.
Palavra chave: Segurança da informação. LGPD. Governança em TI. Empresa
1 INTRODUÇÃO
A segurança da informação pode ser entendida genericamente como o
estudo das formas eficientes e eficazes de proteger determinado conjunto de
informação. Métodos e protocolos de proteção de informações são conhecidos
mesmo antes da existência dos computadores modernos, embora seu ápice seja
atualmente alavancado pelo avanço do processamento computacional e motivado
pela popularização da internet, tendo em vista que a exposição gerada pela rede
mundial de computadores criou novos desafio para a proteção da privacidade de
informações: pessoais, corporativas e governamentais.
Em vista dessa popularização, ao longo dos últimos anos diversos
escândalos sobre privacidade no âmbito da internet foram noticiados pela mídia,
3 Professor Doutor
2 Aluno do 5º período do Curso de Análise e Desenvolvimento de Sistemas da UNDB.
1 Paper apresentado à disciplina Centro Universitário Unidade de Ensino Superior Dom Bosco -
UNDB.
gerando um grande debate sobre como manter segura as informações pessoais na
rede. Segundo o relatório sobre fraude da empresa Arkose Labs(2021), o Brasil teve
um grande aumento na quantidade de fraudes virtuais e denúncias de vazamento de
informações pessoais nos últimos anos, chegando ao ranking dos 5 países mais
afetados do mundo. Assim, observou-se a necessidade de meios legais que tenham
como objetivo amenizar esse cenário de insegurança virtual.
Diante desse cenário, foram criados alguns dispositivos legais com intuito de
inibir práticas ciber criminosas, tendo como origens alguns casos famosos de
violação de privacidade e fraudes pela internet, como por exemplo, a lei Carolina
Dieckmann (BRASIL, 2012). Além disso, a lei geral de proteção de dados (BRASIL,
2018), conhecida pela sigla LGPD, foi criada para que os casos semelhantes ao
envolvendo o vazamento de mais de 200 milhões de CPFs e outros dados pessoais,
fossem mitigados e responsabilizados.
Nessa perspectiva, nota-se que a segurança da informação pode exercer um
papel fundamental sobre as diretrizes e protocolos de segurança das empresas em
vista da adequação legal à LGPD.
Portanto, indaga-se: qual o papel que a segurança da informação tem na
adequação das empresas às normas impostas pela LGPD?
Tendo em vista esse questionamento, o presente paper tem como objetivo
geral analisar os pormenores da importância da relação entre a área da segurança
da informação e a LGPD, uma vez que as empresas precisam do arcabouço teórico
desse campo de conhecimento para se encaixarem no padrão exigido pela lei.
Com esse propósito, foram delineados os seguintes objetivos específicos:
explicar os conceitos que norteiam a segurança da informação; discorrer sobre a lei
de proteção de dados e analisar os métodos de adequação das empresas à nova lei
de dados.
Dessa forma, busca-se validar a hipótese de que há subsídio suficiente na
literatura sobre segurança da informação, que permita às empresas se adequarem
aos requisitos da LGPD, haja vista que a maioria das empresas já possuem
protocolos e diretrizes para lidarem com enorme fluxo de dados.
Assim, com a intenção de testar a validade da hipótese, realiza-se uma
pesquisa cujo objetivo é exploratório, produzida com uma abordagem qualitativa e
realizada por meio de pesquisa bibliográfica e documental.
Na primeira seção são descritos os principais conceitos sobre a segurança da
informação, quais são os seus princípios e também o que são ameaças e
vulnerabilidades segundo a perspectiva de segurança cibernética.
Na segunda seção é realizado um breve levantamento sobre a LGPD,
destacando suas principais características e também discorrendo sobre os casos
passíveis de punição e responsabilização, de acordo com a lei.
Na terceira seção busca-se analisar sob o prisma da segurança da
informação, as estratégias e conhecimentos que possam ter papel na adequação
das empresas à LGPD.
2 SEGURANÇA DA INFORMAÇÃO
Houve um aumento no fluxo de informações que trafegam pela internet
durante a pandemia, tendo em vista que mais de 130 milhões de brasileiros são
usuários de internet, como aponta a Agência Brasil (2020). dessa forma, a
segurança da informação se tornou em alguns momentos o foco das discussões.
Por conseguinte, a segurança da informação pode ser entendida como a
área do conhecimento dedicada à proteção de ativos da informação contra acessos
não autorizados, alterações indevidas ou sua indisponibilidade (SÊMOLA, 2003).
Dessa forma, ao indagar-se sobre o assunto, busca-se a garantia da troca de
informações com segurança e eficácia, garantindo o sigilo corporativo e pessoal..
2.1 Conceitos básicos
Em síntese, a informação é o processamento de um conjunto de dados que
outrora não possuía significado intrínseco, para algo que - após o processamento -
ganha sentido atrelado. Sendo assim, Fontes (2017, p.2.) explica: “transformar
esses dados em informação é transformar algo com pouco significado em um
recurso de valor para nossa vida pessoal e profissional.” Nessa perspectiva, a
informação passa a ser vista como um produto de alto valor agregado. Ao encontro
dessa visão, a ISO/IEC 27001 (2013), conceitua a informação como um ativo, sendo
assim, portanto, sua importância não inferior a qualquer outro ativo de uma
instituição.
Já o termo Segurança, é definido como conjunto de práticas ou medidas que
tenham como objetivo impedir, mitigar e proteger algo ou alguém de algum risco.
Dessa forma, um dos significados possíveis desse substantivo é: "aquilo que protege
de agentes externos" (MICHAELIS, 2021). Nesse sentido, ela é o conjunto de
práticas que visam proteger dos agentes externos e internos, o aglomerado de
informações que estão sob sua tutela.
Em outra perspectiva, a ISO/IEC 17799 (2019), nos traz uma definição com
um viés mais mercadológico, na qual define a segurança da informação como: "a
proteção da informação de vários tipos de ameaças para garantir a continuidade do
negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e
as oportunidades de negócio". Desse modo, a segurança da informação pode ser
vista como uma área estratégica da empresa cuja observância impacta na receita da
instituição.
Assim, embora se saiba sobre a importância das informações para as
organizações, essa concepção não é suficiente para mantê-las seguras. Desse
modo, a fim de garantir o nível adequado de proteção, antes de se aplicar uma
solução específica de segurança é necessário que as empresas saibam qual o
papel, quais as ameaças e por quais razões esse conjunto de dados está sendo
protegido, de modo a otimizar os custos (BEAL, 2005).
2.2 Princípios da segurança da informação
Conforme Campos(2007, p.17), "a segurança da informação apoia-se em
três princípios: confidencialidade, integridade e disponibilidade.”. Esses princípios
não são excludentes, uma vez que para um sistema ser considerado seguro é
necessário que nenhum desses valores tenha sido violado.
Assim, em virtude dessa importância, Beal (2005) reforça que: a segurançade informação é o processo gerado em consequência da proteção das informações
contra ameaças à sua integridade, confiabilidade e disponibilidade.
Por conseguinte, a NBR ISO/IEC 27002 (2013) também nos traz definição de
integridade como "a garantia da exatidão e completeza da informação e métodos de
processamento". Nesse sentido, ela está relacionada à garantia de que a informação
enviada ou recebida não será acessada por alguém não autorizado, que porventura,
possa adulterá-la por malícia ou por acidente. Dessa forma, "assegurar a integridade
é consentir que a informação não seja adulterada, ilegítima ou prejudicadas sem
consentimento, que seja autêntica e permaneça consistente”. (DANTAS, 2011, p.11).
Outro princípio importante é o de disponibilidade, que segundo NBR ISO/IEC
27002 (2013), é definido como "a garantia de que os usuários autorizados obtenham
acesso à informação e os ativos correspondentes sempre que necessário.". Assim,
as informações devem ser acessíveis por qualquer pessoa que seja autorizada a
acessá-las, mantendo a continuidade do serviço, sem interrupções.
Por fim, o conceito de confidencialidade é a garantia de que apenas as
pessoas autorizadas terão acesso a determinado conteúdo, garantindo assim, níveis
diferentes de proteção, de acordo com o nível de confidencialidade da informação.
Dessa forma, “esse nível de confidencialidade deve prevalecer enquanto os dados
residem em sistemas e dispositivos dentro da rede, à medida que são transmitidos e
chegam ao seu destino." (SILVEIRA, 2021, p.21 apud HINTZBERGEN, 2018). Em
suma, a proteção das informações deve ser mantida em todo o percurso, com o
propósito de amenizar os riscos de adulteração, desvios ou roubo.
2.3 Ameaças e vulnerabilidades
À medida que as corporações vão se tornando mais informatizadas, os níveis
de ameaças virtuais também vão aumentando, gerando uma necessidade maior de
segurança. Nesse ponto, a NBR ISO/IEC 27002 (ABNT, 2013) define a ameaça
como uma causa potencial de um incidente, que pode resultar em dano para uma
organização ou sistema. Dessa forma, segundo outra definição, "uma ameaça é a
possibilidade de alguém identificar e explorar uma vulnerabilidade." (SILVEIRA,
2021, p.23).
Por outro lado, a vulnerabilidade é uma "fragilidade de um ativo ou grupo de
ativos que pode ser explorada por uma ou mais ameaças.“ (ABNT, 2019a). De outro
modo, Dantas (2003, p.24) afirma que “vulnerabilidades são fragilidades que podem
provocar danos decorrentes da utilização de dados em qualquer fase do ciclo de
vida das informações.”. Ou seja, é uma debilidade interna que serve como uma porta
de entrada para que pessoas não autorizadas acessem recursos da organização.
Assim sendo, as vulnerabilidades podem se manifestar por meio da
precariedade das camadas física, lógica ou humana de um sistema, de acordo com
classificação proposta por Adachi (2004).
Dessa forma, entende-se por camada física, todos os componentes de
hardwares que pertencem ao sistema de informação. Conforme Adachi (2004)
exemplifica: "a camada física representa o ambiente em que se encontram os
computadores e seus periféricos, bem como a rede de telecomunicação com seus
modems, cabos e a memória física, armazenada em disquetes, fitas ou CDs".
Por outro lado, "A camada lógica é caracterizada pelo uso de softwares -
programas de computador - responsáveis pela funcionalidade do hardware, pela
realização de transações em base de dados organizacionais, criptografia de senhas
e mensagens etc." (NETTO e SILVEIRA, 2007).
Ademais, a camada física é vista como a mais importante por diversos
autores, tendo em vista que a psicologia humana é complexa e imprevisível. Em
conformidade, Dantas (2017) afirma: "as vulnerabilidades humanas constituem a
maior preocupação dos especialistas, já que o desconhecimento de medidas de
segurança é sua maior vulnerabilidade".
Complementando esse raciocínio, Schneier (2001) nos diz que o fator
humano é aquele "mais difícil de se avaliar os riscos e gerenciar a segurança, pois
envolve o fator humano, com características psicológicas, sócio-culturais e
emocionais, que variam de forma individual.".
3 LEI GERAL DE PROTEÇÃO DE DADOS
Em conformidade com o entendimento internacional sobre a importância da
proteção dos dados e após a iniciativa da União Europeia de promulgar o
regulamento geral de proteção de dados pessoais (GDPR), o Brasil viu-se
pressionado a também criar dispositivos legais com esse intuito, de modo que os
direitos fundamentais garantido na constituição e na declaração dos direitos
humanos, sejam assegurados.
Segundo Pinheiro (2020), a criação deste regulamento por parte da União
Europeia, "ocasionou um 'efeito dominó', visto que passou a exigir que os demais
países e empresas que buscassem manter relações comerciais com a UE também
deveriam ter uma legislação de mesmo nível que o GDPR.". Assim sendo, a LGPD
tem dispositivos semelhantes ao dos regulamento europeu, embora mais enxuto em
alguns pontos.
A LGPD possui 65 artigos divididos em 10 capítulos,ou seja, ela é menor do
que o regulamento europeu que possui 99 artigos e um capítulo a mais. Em
decorrência disso, a lei brasileira deixou alguns pontos com interpretação ampla, o
que pode acarretar em insegurança jurídica, pois deixou margem para a
subjetividade em detrimento da objetividade. "Um exemplo disso ocorre em relação
às determinação de prazos: enquanto o GDPR prevê prazos exatos, como de 72
horas, a LGPD prevê 'prazo razoável'. " (Pinheiro, 2020).
3.1 Conceitos gerais
Inicialmente em seu primeiro artigo, a lei 13.709 nos diz que “dispõe sobre o
tratamento de dados pessoais, inclusive nos meios digitais.” (BRASIL, 2018), de
modo a assegurar os direitos fundamentais de privacidade e liberdade das pessoas.
Nesse sentido,torna-se claro que a finalidade da lei é proteger as pessoas naturais,
contra qualquer tratamento ilegal de seus dados pessoais por qualquer pessoa física
ou jurídica, pública ou privada (COTS e OLIVEIRA, 2019, p. 42).
Sendo assim, embora com alguns problemas, essa lei normatizou alguns
conceitos que, por sua vez, possibilitam maior controle jurídico em matéria dessa
natureza, sendo eles:
a) Os dados pessoais diz respeito a qualquer informação relacionada a uma
pessoal;
b) O titular dos dados é a pessoa cujo dados pessoais são objetos de tratamento;
c) O tratamento dos dados é literalmente qualquer operação realizada com dados
pessoais, tais como: coleta, recepção, produção, classificação, utilização, acesso,
reprodução, transmissão, distribuição, processamento, arquivamento,
armazenamento, eliminação, avaliação ou controle da informação, modificação,
comunicação, transferência, difusão ou extração (BRASIL, 2018);
d) Os dados sensíveis são dados pessoais “que representam informações e
características que são muito particulares da pessoa natural, demandando uma
proteção mais rigorosa no que tange ao seu tratamento.” (MALDONADO, 2019, p.
16);
e) O consentimento é a manifestação inequívoca pela qual o titular aceita que os
seus dados pessoais sejam tratados para uma finalidade específica.
3.2 Princípios para o tratamento de dados
Antes de mais nada, o tratamento de dados possui em certos princípios que
balizam sua prática sendo eles, segundo a LGDP: adequação, finalidade,
necessidade, livre acesso, transparência, segurança, responsabilização e prestação
de contas, prevenção, não discriminação e qualidade de dados (BRASIL, 2018).
Desse modo, pelo princípio da finalidade, os dados coletados dos indivíduos
devem ter um fim específico,de modo que seu tratamento seja exclusivamente para
o atendimento dessa finalidade, devendo, ainda, esclarecer para o titular para qual
fim foram coletados tais dados pessoais.
É importante notar que a LGPD deixa explícito que os dados pessoais só
serão tratados mediante ao consentimento do indivíduo, como afirma Pinheiro
(2020): " a linha mestra para o tratamento de dados pessoais é o consentimento pelo
titularque deve ser aplicado aos tratamento de dados informados e estar vinculado
às finalidades apresentadas.". Além disso, Soares (2020) alerta: “destaca-se que o
consentimento do titular, entretanto, não significa que o tratamento dos dados
poderá ser realizado por tempo indeterminado.” Dessa forma, torna-se evidente que
o armazenamento de tais dados deva ser feito apenas até a finalidade ser cessada.
O princípio da adequação nos informa que todos os processos de tratamento
de dados devem ter relação direta com a finalidade para qual foi coletado. Desta
forma, ele precisa se adequar ao que foi solicitado.
O princípio da necessidade ressalta que esses dados devem ter um motivo
claro que justifique a necessidade de sua coleta;
O princípio do livre acesso trata da disponibilidade dos dados, que deve ser
gratuita e facilitada.
O princípio da qualidade dos dados garante para os indivíduos que suas
informações que foram coletadas sejam claras, relevantes e atualizadas.
O princípio da transparência garante que os dados sejam oferecidos com
todas as descrições dos processos de seu tratamento.
O princípio da segurança obriga as empresas a manterem os dados seguros
de qualquer acesso indevido. Em decorrência disso, adota-se o princípio da
prevenção cuja finalidade é fazer com que as empresas pratiquem ações
preventivas para proteger os dados.
O princípio da responsabilização dispõe sobre a responsabilidade dos
agentes de tratamento em relação aos dados que ao exercer sua função necessita
agir de acordo com o princípio da prestação de contas.
Por fim, destaca-se o princípio da não discriminaçao na qual a LGPD veta a
possibilidade de “realização do tratamento para fins discriminatórios ilícitos ou
abusivos.” (BRASIL, 2018). Por consequência, para que não ocorra o que esse
princípio veta, Soares (2020) afirma sobre os dados sensíveis que “deverá haver
uma cautela ainda maior, justamente por serem dados que são ainda mais íntimos e
privados do titular''.
3.3 Responsabilização e penalidades
O princípio da responsabilização supracitado, trouxe consequências
importantes para o tratamento de dados, uma vez que ele não mais permite que não
haja responsáveis pelos vazamentos de informações. Nesse sentido, a LGPD cria a
figura dos agentes de tratamento, cujo papel é cuidar e se responsabilizar pela
segurança dos dados dentro de uma organização.
Como resultado, a lei divide os agentes de tratamento em duas funções
distintas: “controlador: pessoa natural ou jurídica, de direito público ou privado, a
quem competem as decisões referentes ao tratamento de dados pessoais” (BRASIL,
2018) e “operador: pessoa natural ou jurídica, de direito público ou privado, que
realiza o tratamento de dados pessoais em nome do controlador.” (BRASIL, 2018).
Além dos agentes de tratamento propriamente dito, foi determinado também a
criação da autoridade nacional de proteção de dados (ANPD) e da figura do
encarregado cuja função é servir como intermediador entre o controlador, o titular e
a ANPD.
Ademais, a lei esclarece que o controlador ou operador que causar danos de
qualquer natureza a outrem, em razão da sua atividade de tratamento de dados,
deve arcar com as responsabilidades (BRASIL, 2018). Ressalta-se que a
responsabilização dos agentes de tratamento é de forma solidária, isto é, em
conjunto com a instituição.
Assim sendo, a não observância das normas impostas pela LGPD pode
gerar sanções que cheguem a 2% do faturamento anual da empresa, no limite de 50
milhões por inflação. do mesmo modo, a empresa ser proibida de exercer a
atividade de tratamento de dados de forma parcial ou total, dependendo da
gravidade da sanção.(BRASIL, 2018).
Destarte, algumas penalidades podem ser consideradas leves, porém, seu
efeito para a imagem da empresa e a confiança na marca, pode gerar perdas
maiores do que uma multa mais pesada.
4 ANÁLISE DAS ESTRATÉGIAS PARA ADEQUAÇÃO À LGPD
Ao longo deste trabalho, ficou clara a necessidade das empresas criarem
estratégias, de modo que a segurança dos seus dados seja garantida, não apenas
por causa das pessoas impactadas, mas também por causa da própria viabilidade
da empresa, uma que vez que a perda de credibilidade pela sociedade civil pode
acarretar em prejuízos financeiros para a instituição.
Nesse sentido, buscou-se estratégias disponíveis na literatura que pudesse
dar respaldo teórico e científico para as estratégias de segurança da informação
tomadas pelas empresas.
Na primeira seção constatou-se que a informação é um produto com alto
valor agregado, portanto, precisa-se de um cuidado maior em sua segurança, como
afirma a ISO 27002 (ABNT, 2019). Com base nesse mesmo entendimento, também
Fontes (2017) afirma que a informação é um conjunto de dados que passa a ter
valor para alguém ou empresa.
Assim sendo, sucede-se que na segunda seção deste trabalho constatou-se
que a nova legislação sobre tratamento dados, a LGPD, pressionou as empresas a
adotarem medidas mais rígidas de segurança da informação, criando mecanismos
de controle e transparência dos dados de pessoas naturais sob posse das
instituições públicas e privadas, além de prever sanções e responsabilização para
os envolvidos.
Dessa forma, surge a necessidade de implantar uma gestão exclusiva que
tenha como objetivo orientar as práticas, objetivos e diretrizes em relação ao
tratamento dos dados. Campos (2007) concorda e acrescenta que o
estabelecimento de uma gestão de segurança da informação é dar vida própria para
a segurança da informação dentro da corporação.
Para isso é necessário que o sistema de segurança da informação seja
implementado seguindo alguns requisitos que garantam a satisfação dos princípios
da segurança. Dentre esses requisitos, três são fundamentais: primeiro é a
legislação em vigor,por exemplo, a LGPD; o segundo é o conjunto que definem as
diretrizes dos negócios corporativos; e o terceiro é advém do processo de avaliação
de riscos, que apresenta para a organização uma relação dos principais riscos, sua
criticidade, impactos e eventuais danos (DANTAS, 2017).
Dessa forma, um sistema de gestão da segurança da informação (SGSI),
como especificado na ISO/IEC 27001 (ABNT, 2013a), considera uma visão holística
e coordenada dos riscos de SI da organização, com intuito de criar um conjunto de
controles detalhados, com base na estrutura geral de um sistema.
Com efeito, recomenda-se que haja um programa de segurança da
informação ativo cujos objetivos devem ser a proteção dos ativos, o gerenciamento
dos riscos por meio da identificação de ativos, detecção de ameaças, o mapeamento
de riscos, fornecimento de orientações, procedimentos, padrões, diretrizes e linhas
de base de segurança da informação (SILVEIRA, 2021 apud HINTZBERGEN et al,
2018).
Ademais, a implementação de uma política de segurança da informação que,
“é um conjunto de normas e procedimentos que regulam o comportamento das
pessoas que se relacionam com a organização no que se refere ao tratamento da
informação”. (NEVES, 2021, p.11), mostra-se essencial para que as vulnerabilidades
decorrentes dos fatores humanos sejam amenizadas.
Essa política tem como objetivo estabelecer um padrão comportamental de
conhecimento geral entre os membros da organização. Desse modo, os indivíduos
recebem recomendações claras e objetivas sobre as atividades e comportamentos
que devem ser encorajados ou mitigados. ela também demonstra as consequências
que certas ações podem causar.
Em suma, após análise da bibliografia disponível sobre a temática da
segurança da informação, nota-se que há uma vasta literatura disponível sobre o
tema, tais como a série ISO/IEC 2700 cuja temática é sobre a implementação de
padrões em tecnologia da informação, indicando as melhores práticas e ações a
serem tomadas a esse respeito.
5 CONCLUSÃO
Diante do aumento no tráfego de dados gerados na internet, o que ocasionou,
portanto, uma forte demanda por segurança da informação, e em decorrência da
entradaem vigor da LGPD, observou-se a necessidade de estudos sobre como o
conhecimento teórico relacionado à área de segurança da informação podem ser
úteis para o planejamento estratégicos das corporações, para propor estratégias de
melhoria das diretrizes de segurança das informações, minimizar o ônus financeiro e
não menos importante, proteger os dados dos seus usuários de forma eficiente.
Sendo assim, buscou-se descobrir qual é o papel da segurança da
informação no momento de criar diretrizes e protocolos condizentes com os exigidos
pela LGPD.
Por isso, foi estabelecido que o presente paper tem como objetivo geral,
explicar o papel da segurança da informação na adequação às normas impostas
pela LGPD nas empresas. Assim sendo, chegou-se a conclusão que tais objetivos
foram atingidos, uma vez que ao descrever os conceitos que norteiam a segurança
da informação e identificar os pontos mais relevantes da LGPD, notou-se uma
congruência entre os dois assuntos, tendo em vista que LGPD foi baseada nas
teorias, práticas e diretrizes mais aceitas em termos de segurança da informação.
REFERÊNCIAS
2021 State of Fraud Report. Arkose Lab: Online. Disponível em: <
https://www.arkoselabs.com/resource/2021-state-of-fraud-report >. Acesso em: 19
Agosto 2021.
ABNT - ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001
:Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da
segurança da informação — Requisito. 2013a. Rio de Janeiro: ABNT, 2013.
ABNT - ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002
- Tecnologia da informação — Técnicas de segurança — Código de prática para
controles de segurança da informação. 2013b. Rio de Janeiro: ABNT, 2013.
ABNT – ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT ISO/TR
18638: Informática em saúde – Orientações sobre educação de privacidade das
informações em saúde em organizações de assistência à saúde. 2019a. Rio de
Janeiro: ABNT, 2019.
ABNT - ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO
27799: Informática em saúde - Gestão de segurança da informação em saúde
utilizando a ISO/IEC 27002. 2019b. Rio de Janeiro: ABNT, 2019.
DANTAS, M. Segurança Da Informação: Uma Abordagem Focada Em Gestão De
Riscos. 1ed. Olinda: Livro rápido, 2011.
ADACHI, Tomi. Gestão de Segurança em Internet Banking. São Paulo: FGV,
2004. 121p. Mestrado. Fundação Getúlio Vargas, Administração.
BEAL, Adriana. Segurança da Informação: princípios e melhores práticas para a
proteção dos ativos de informação nas organizações - São Paulo: Atlas, 2005.
COTS, Márcio; OLIVEIRA, Ricardo. Lei Geral de Proteção de dados pessoais
comentada. 2. ed. São Paulo: Revista dos Tribunais, 2019.
HINTZBERGEN J. et al. Fundamentos de Segurança da Informação: com base na
ISO 27001 e na ISO 27002.Rio de Janeiro: Brasport; 2018 [citado 2021 Mar 30].
256p.
MALDONADO, Viviane Nóbrega (coord.). LGPD: Lei Geral de Proteção de Dados
Pessoais: manual de implementação. São Paulo: Revista dos Tribunais, 2019.
NETTO, Abner da Silva; SILVEIRA, Antonio Pinheiro da. Gestão da segurança da
informação: fatores que influenciam sua adoção em pequenas e médias empresas.
JISTEM - Journal of Information Systems and Technology Management.
2007,v.4,n.3pp.375-397. Disponível em: <https://doi.org/10.1590/S1807-1775200700
0300007>. Acesso em: 17 Agosto 2021.
SCHNEIER, Bruce. Segurança.com: segredos e mentiras sobre a proteção na vida
digital - Rio de Janeiro: Campus, 2001
SÊMOLA, Marcos.Gestão da Segurança da Informação: Uma visão executiva. 11º
reimpressão. Rio de Janeiro: Elsevier, 2003.
SILVEIRA, S. A. Segurança da informação e proteção de dados pessoais: estudo
de caso e proposta de governança para serviços de saúde. 2021. 211 p.
Dissertação. Universidade Federal de São Paulo - UNIFESP, São José dos Campos,
2021.
SOARES, Rafael Ramos. Lei geral de proteção de dados – lgpd: direito à
privacidade no mundo globalizado. 2020. Monografia. Escola de Direito e Relações
Internacionais. 2020. Disponível em: <https://repositorio.pucgoias.edu.br/jspui/handl
e/123456789/1201> . Acesso em: 21 Agosto 2021.
VALENTE, Jonas. O Brasil tem 134 milhões de usuários de internet, aponta
pesquisa. Agência Brasil. Brasília, Atualizado em 26/05/2020. Disponível em:
<https://agenciabrasil.ebc.com.br/geral/noticia/2020-05/brasil-tem-134-milhoes-de-us
uarios-de-internet-aponta-pesquisa>. Acesso em: 19 Agosto 2021.
PINHEIRO, Patrícia Peck. Proteção de Dados Pessoais: Comentários à Lei n.
13.709/2018 -LGPD. Saraiva Educação S.A. 2020. Disponível em: <
https://books.google.com.br/books?hl=pt-BR&lr=&id=oXPWDwAAQBAJ&oi=fnd&pg=
PT13&dq=LGPD&ots=k8_tDuIJ3Q&sig=sf_DA_WCb-ivMVhehHmHO9KiEM0&redir_
esc=y#v=onepage&q=LGPD&f=false >. Acesso em: 21 Agosto 2021.