Princípios de Segurança da Informação

Prévia do material em texto

Tópico 1 -
Introdução:
O ser humano, desde os primórdios da humanidade, busca estabelecer comunicação
com os outros. Por meio de pinturas nas cavernas, era possível repassar informações
que, por sua vez, poderiam apontar animais perigosos ou apenas retratar as rotinas
do cotidiano do grupo. Ao longo do tempo, à medida em que o conhecimento
aumentava, houve a necessidade de se criar meios que pudessem armazenar tais
informações. Porém, na mesma proporção que a informação passou a ser importante,
também encontramos ameaças que poderiam não só destruí-las, como também
expô-las ou modificá-las, causando inúmeros transtornos. É nesse contexto que
surge a Segurança da Informação. Seu objetivo principal é garantir que os dados
estejam seguros (somente pessoas autorizadas tenham acesso), disponíveis (ter
acesso a qualquer momento) e que permaneçam íntegros (dados não estejam
corrompidos, sejam reais e válidos).
Em um contexto organizacional, é de suma importância conhecer os ativos (os bens
mais preciosos da organização) a fim de prevenir ou definir contramedidas para a sua
proteção. Para que isso ocorra de maneira satisfatória, existem normas/guias/leis que
auxiliam na elaboração de políticas (regras) para atender aos diferentes tipos de
empresas. Em resumo, a Segurança da Informação se preocupa não só com os ativos
de uma organização, como também com informações de pessoas físicas.
Com base nesse contexto, você se preocupa em como seus dados pessoais são
expostos nas redes sociais? Você faz uso de aplicações que garantam a segurança
(como antivírus)? Você já teve seus dados pessoais expostos? Como se preocupa
com as políticas de definições e senhas? Você costuma utilizar a Internet para fazer
transações bancárias? Como pode ver, todas essas questões giram em torno da
Segurança da Informação. A seguir, conheceremos um pouco mais a respeito desse
universo da segurança dos dados.
Tópico 2 -
1.1 Conceitos de Segurança da Informação:
Quando nos referimos à Segurança da Informação, temos que ter em mente um
conceito ainda mais básico. Nesse contexto, o que é um dado? O que é uma
informação? O que é um conhecimento? O conceito de dado é usado quando se tem
um armazenamento, mas não possui nenhum sentido para um humano. Como
exemplo, podemos pensar em uma planilha contendo diversos números e letras sem
nenhuma descrição. Imagine que as seguintes linhas dessa planilha foram extraídas
(1975 – Tubarão, 2004 – O terminal, 2011 – Cavalo de guerra). Ao se observar tais
dados, não vemos nenhuma ligação entre eles. Logo, não possuem nenhum sentido.
Já a informação é quando damos sentido/contexto aos dados: a mesma planilha
anterior com a descrição que são filmes dirigidos por Steven Spielberg e que a
primeira coluna é o ano e a segunda é o nome do filme. Com isso, os dados passam a
ter valor: a informação. Por fim, tem-se o conhecimento. Ao se analisar a coleção de
informações e suas interconexões, pode-se extrair informações ainda mais
complexas, como, por exemplo, que em 2011 Spielberg trabalhou na produção de
dois filmes envolvendo robôs, Transformes: O lado oculto da lua e Gigantes de Aço,
que podem ter sofrido influência um do outro.
Você Sabia?
Em 2018, registrou-se o número de 6 bilhões de ameaças em todo mundo. Uma
grande empresa no ramo de segurança (Kaspersky) afirmou que 30% de todo o
orçamento de TI (Tecnologia da Informação) de uma organização é em média
destinado à área de segurança. Isso demonstra o quão importante e crítico é investir
e manter a segurança de dados e informações.
Sabe-se que a humanidade, em toda a sua existência, nunca produziu tantos dados. A
EMC estimou que no ano de 2020 teremos mais de 44 zettabytes de dados gerados
em todo mundo, sem considerar os dados gerados pela Internet das Coisas (Internet
of Things – IOT), oriundos de pequenos dispositivos, domésticos ou não. Dentre
desse universo, os dados podem ser semiestruturados, estruturados e não
estruturados. Um dos mais importantes são os estruturados, que tratam de
informações com um grande grau de contexto da informação, como interconexões e
chave-valor (nome: “maria”), muito comum em banco de dados. Eles usam o conceito
de ACID: atomicidade (que todas transações sejam feitas, ou nenhuma), consistência
(interconexões e regras da própria tabela sejam respeitadas), isolamento (uma
transação não conhece a existência de outra) e, por fim, durabilidade (garantia que as
transações sejam armazenadas). Por outro lado, no extremo, tem-se dados não
estruturados, que podem ser representados por um texto, como um livro, em que os
dados são mais difíceis de se extrair e relacionar a outros.
Sabendo disso, devemos nos preocupar não só com os meios de armazenamento
para atender a essa massiva quantidade de dados, mas também em como garantir a
sua segurança, visto que hoje é possível realizar tudo pela Internet: transações
bancárias, armazenamento de informações pessoais etc. A negligência para com
essas informações pode custar o sucesso de uma organização ou a exposição de
uma pessoa. Nesse contexto, surge a Segurança da Informação (SI), que se preocupa
em definir/gerir um conjunto de ações com o objetivo de proteger todos os sistemas
de informação (hardwares, softwares etc.) em conjunto com os dados.
Ao longo da unidade e da disciplina, usaremos uma série termos especializados.
Alguns estão listados a seguir, mas novos termos ainda serão apresentados:
Outros termos bastante explorados na SI são: ameaça, risco e vulnerabilidade. A
figura a seguir ajuda na compreensão de cada um deles.
Vimos alguns conceitos-base que nortearão o nosso aprendizado. A seguir,
conheceremos os alicerces da Segurança da Informação. Por meio deles, é possível
garantir que as informações/serviços estarão disponíveis a qualquer momento, que
elas possuem dados confiáveis e que somente pessoas autorizadas tenham acesso a
elas. Depois, ainda, veremos uma variação dos princípios da SI: o Hexagrama
Parkeriano.
Tópico 3 -
1.2 Princípios da Segurança da Informação:
De acordo com a norma ISO 27001, a SI deve seguir e observar atentamente alguns
princípios. Basicamente, são divididos em três: disponibilidade, integridade e
confidencialidade, termos que podem ser conhecidos pelo acrônimo CID, ou também
como o alicerce, triângulo ou a tríade da SI. A seguir, descrevemos cada um deles:
Disponibilidade:
A qualidade está relacionada ao tempo que o serviço é oferecido ao usuário. Um
exemplo bem simples é o transporte público. Se houver alguma paralisação dos
motoristas, a disponibilidade de transporte será afetada drasticamente, causando
desconforto e revolta. Caso a qualidade diminua (com o aumento de ocorrência da
indisponibilidade, por exemplo), há uma certa tendência de os usuários migrarem
para outros serviços. Para se avaliar a qualidade desse princípio, temos que levar em
consideração:
Utilização: tempo total a qual o serviço permanece acessível. Geralmente, as medidas
para esse princípio são calculadas levando em consideração a janela de um mês,
podendo considerar horas, minutos e segundos.
Paralisação: é o tempo sem acesso ao serviço. Ao contrário da utilização, quanto
maior for esse número, pior é a qualidade oferecida.
Disponibilidade: é obtida a partir do cálculo da (utilização) dividida pela (utilização +
paralisação).
Tempos médios: mesmo com todo o cuidado possível, sabe-se que falhas podem
ocorrer. Para medir a qualidade efetiva de um serviço, podemos considerar os
tempos médios, que são:
● Tempo médio para falha (Mean Time to Failure - MTTF): nesse contexto,
estamos analisando a quantidade de tempo que ocorre entre as falhas. Se esse
número tende a ser menor, é garantido que o serviço seja de baixa qualidade,
pois demonstra que as ocorrências de falhas são muito comuns. Geralmente,
pode-se falar, aqui, em vida útil de um serviço ou produto. Por exemplo, o
tempo médio de uma correia dentada (usada no motor) para um automóvel gira
em torno de 5 anos ou 100.000 km rodados. A partir daí, as falhas podem ser
muito comuns e, em consequência, teráque se retificar o motor, caso
arrebente.
● Tempo médio de reparo (Mean Time to Repair - MTTR): é o tempo necessário
para restaurar o sistema/serviço. No contexto anterior, da correia dentada,
sabe-se que o tempo médio para falhas é de 5 anos ou 100.000 km rodados –
um tempo relativamente grande. Porém, caso a correia arrebente, o tempo de
reparo levará dias, ou até semanas, pois exige o guinchamento do veículo e a
retificação do motor. Logo, não é só ter um tempo médio entre falhas
relativamente alto: deve-se definir medidas que facilitem a restauração do
serviço de forma rápida e eficiente.
● Objetivo de tempo de recuperação (Recovery Time Objective - RTO): é o tempo
gasto para recuperar e retomar o sistema/serviço. Ainda no exemplo da correia
dentada, caso o tempo de retificação do motor seja, por exemplo, de duas
horas, sabe-se que deve se levar em consideração outros serviços em
andamento, a disponibilidade de profissionais, e assim por diante. Pode-se
levar dias para que o veículo retorne normalmente para o seu proprietário. Não
basta ter um reparo rápido: tem-se que pensar no tempo total para que ele seja
disponibilizado efetivamente ao usuário.
Quem já trabalhou com hospedagem de sites já deve estar familiarizado com esse
termo de disponibilidade. Algumas empresas podem oferecer, por exemplo, 99,93%
de disponibilidade ao mês de seus serviços. No contrato, ela garante que o tempo de
reparo deve ser em torno de 30 minutos mensais.
Você Quer Ver?
A série "Crimes.com", produzida pela Discovery Brasil, apresenta fatos reais
mostrando os diversos golpes e crimes digitais que aconteceram na Internet
brasileira. Na série, é possível desvendar as ações dos agentes criminosos e
perceber como é difícil penalizar crimes digitais. Vale conferir! Saiba mais em:
https://www.discoverybrasil.com/id/inspirado-em-crimes-reais.
Integridade:
Nesse princípio, deve-se garantir que os dados sejam válidos e que não sofram
nenhuma alteração sem autorização. Imagine você ter adquirido a viagem de seus
sonhos por um site X. Porém, no dia do voo, descobre que o destino foi alterado sem
aviso. Pense no caos se nossas informações não respeitassem o princípio da
integridade. Um dia teríamos dinheiro na conta, já na outra estaríamos totalmente
endividados. Logo, não basta só garantir a disponibilidade de um serviço: devemos
garantir que os dados estejam armazenados da mesma forma na qual que foram
inseridos, sem nenhum erro derivado.
Confidencialidade:
Tendo nossos dados disponíveis e íntegros, devemos agora nos preocupar em
garantir que somente pessoas autorizadas tenham acesso a eles. Imagine a bolsa de
valores, em casa cada pessoa (física ou jurídica) é proprietária de um conjunto de
ações. Porém, sem a confidencialidade, alguém poderia entrar em sua conta e
autorizar a sua venda. Ou, simplesmente, alguém poderia tomar posse de sua rede
social, obtendo informações pessoais e tendo acesso a toda sua rede de amigos. Isso
é bastante grave, pois um terceiro pode assumir a nossa identidade, causando
https://www.discoverybrasil.com/id/inspirado-em-crimes-reais
https://www.discoverybrasil.com/id/inspirado-em-crimes-reais
inúmeros problemas. A confidencialidade é muito crítica e, na mesma proporção que
se criam meios de segurança, também aparecem novos tipos de golpes. E um desses
golpes/ataques se dá por meio da Engenharia Social (aproveitar-se de pessoas para
obter informações importantes). Para minimizá-lo, pode-se treinar funcionários na
utilização de padrões e processos na organização, definição de controles de
segurança para tecnologia da informação, aplicação de softwares adequados de
proteção e diferentes tipos de autenticação, como biométrica etc.
Vamos Praticar?
Cite três exemplos de serviços que, caso sofram algum tipo de alteração nos
princípios de disponibilidade, integridade e confidencialidade, causarão grande
prejuízo financeiro ou até mesmo de vidas. Existe algum serviço que não será afetado
caso algum deles seja removido? Caso queria expandir a sua pesquisa e ler um bom
livro que mostra todos os bastidores da guerra cibernética, leia “Guerra cibernética: a
próxima ameaça à segurança e o que fazer”, dos autores Richard A. Clarke e Robert
Knake.
Um outro exemplo de definição de princípio da SI é o Hexagrama Parkeriano. Apesar
de usar os mesmos princípios do CID, ele apresenta outros três atributos. Leia sobre
eles:
Como os autores da área afirmam, o Hexagrama Parkeriano é a apenas uma
complementação do CID, e não uma substituição.
Tópico 4 -
1.3 Composição de um Sistema de Gestão de
Segurança de Informação:
Quando falamos sobre sistemas de gestão de SI estamos nos referindo a um
conjunto de atividades (implementar, monitorar, operar, analisar e manter a SI) que
são requeridas para uma organização a fim de proteger não só a informação, mas
também manter os princípios vistos na seção anterior, que são: confidencialidade,
integridade e disponibilidade.
Você o Conhece?
Alan Turing (1912-1954) foi um matemático, criptoanalista e cientista britânico. Sem
ele, não estaríamos discutindo sobre a Segurança da Informação. Ele é conhecido
como o pai da computação moderna. Por meio de seu trabalho, Turing idealizou uma
máquina (a máquina de Turing) que se tornaria mais tarde o computador que temos
hoje. Seu principal trabalho foi quebrar o código criptografado da máquina Enigma
(utilizada pelos alemães na segunda guerra mundial). Você conhecer um pouco dessa
história assistindo ao filme Jogo da Imitação ou lendo a sua biografia.
Muitas organizações usam o ciclo PDCA (Plan, Do, Check, Act – ou Planejar,
Executar, Checar e Agir) para planejar e monitorar as ações definidas. Esse tipo de
modelo é bastante funcional, pois permite criar de ponta-a-ponta um ciclo de
aplicação de boas práticas na Segurança da Informação. Como referência, a própria
ISO 27001:2005 também pregava o uso do modelo PDCA. Porém, na alteração
registrada na ISO 27001:2013, estabeleceu-se que cada entidade poderia usar o seu
próprio ciclo de gestão, podendo ou não ser baseado no PDCA. Nessa norma, para
gerir um SI, deve-se estabelecer, implementar, manter e melhorar de forma contínua o
sistema de gerenciamento de SI. Vamos conhecer em mais detalhes cada um deles:
● Planejar (ISMS – Information Securit Management System): é a primeira fase na
qual se deve desenvolver e documentar a política de Segurança da
Informação. Esses objetivos devem estar alinhados com os definidos pela
organização (alinhamento estratégico). Todas as medidas de segurança
adotadas devem ter como base o risco (sobre os ativos) e o custo. Antes de
mais nada, é imprescindível que, em uma organização, todos os seus ativos
sejam mapeados (conhecidos). É importante identificar vulnerabilidades a fim
de definir contramedidas ao risco a eles associados, conforme ilustra a figura.
Uma vez realizada essa etapa, o próximo passo é associar alguma pessoa a cada
ativo, ou seja, definir papeis e responsabilidades. Essas responsabilidades podem
crescer junto ao tamanho da organização. Como exemplo, temos seguintes cargos:
CISO:
(Chief Information Security Officer – Chefe de Segurança da Informação): é o cargo de
nível mais elevado em uma organização. Seu objetivo é definir estratégias gerais de
segurança.
ISO:
(Information Security Officer – Encarregado da Segurança da Informação): com base
na política da empresa, esse profissional está encarregado a desenvolver a própria
política da SI na unidade.
ISM:
(Information Security Manager – Gerente de Segurança da Informação): seu objetivo é
desenvolver as políticas relacionadas à SI na TI na organização.
CASO:
Uma das maiores empresas de segurança do mundo anualmente disponibiliza alguns
dados a respeito de ameaças, vulnerabilidade e riscos em escala global. A Avast PC
Trends Report 2017-2019 assegura que a idade média dos PC é de 6 anos e que 55%
de todo o software instalado nas máquinas são desatualizados (fornecendo uma
possível vulnerabilidade). Ao analisar os dados de 2018, podemos notar que esse
número era de48%. Ou seja, ao passar do tempo, mais dispositivos ficam
desatualizados. O relatório também mostra quais são os softwares mais
desatualizados: a máquina virtual Java, Adobe Air, Adobe Schockave, VLC Media
Player, iTunes, Firefox, 7-zip, Winrar, QuickTime e Adobe Flash Player. Além desses
dados, é possível observar tendências de mercado: por exemplo, sobre os dados de
2019, 67% dos dispositivos são notebooks ou tablets.
Pode-se ter também os seguintes cargos: encarregado da Política de SI (Information
Security Policy Officer) e encarregado de Proteção de Dados (Data Protection Officer).
As responsabilidades são atribuídas a certas pessoas a fim de evitar a probabilidade
de que mudanças não-autorizadas e que não tenham intenção sejam desenvolvidas.
Nesse contexto, deve-se observar quais pessoas tomam as decisões e as tarefas de
execução com controle.
● Executar (Implementar o ISMS): Uma vez planejadas, as ações devem ser
colocadas em prática. Cada política definida deve ser implementada
observando as responsabilidades de cada um. A etapa de execução visa
introduzir as políticas criadas no planejamento. A princípio, tais atividades não
são estáticas. A partir do momento em que tais políticas não fazem mais efeito
ou se mostram ineficientes, pode-se melhorá-las nos próximos passos.
● Checar (Monitorar ISMS): Nesse momento, deve-se usar os controles
disponíveis (auditoria), ou seja, realizar medições a fim de certificar que as
políticas adotadas estão sendo executadas de forma satisfatória. Um relatório
deve ser direcionado ao CISO e aos gerentes responsáveis da organização.
Aqui, pode-se perceber se as políticas apresentaram um bom resultado.
● Agir (ajustar/manter ISMS): Nessa etapa, a preocupação é melhorar o
processo, estabelecendo correções e aprimorando as atividades. Uma vez
identificada a sua necessidade, mudanças podem ser mais bem planejadas.
Tópico 5 -
1.4 Normas, padrões e leis relacionadas à Segurança
da Informação:
As normas e padrões são um conjunto de boas práticas obtidas ao longo dos anos a
partir de diversos casos de usos que tiveram sucesso. Por meio dessa coletânea de
práticas, é possível que organizações trabalhem em conjunto com outras, falando a
mesma língua. As boas práticas visam amadurecer os processos a fim de garantir a
Segurança da Informação e não cometer os mesmos erros.
Você Quer Ler?
Para ter uma base sobre os tipos de algoritmos envolvidos na Segurança da
Informação, pode-se ler mente o livro “Desmistificando algoritmos” de Thomas
Cormem, uma referência para o assunto. Além dele, vale a leitura do livro “Os
arquivos Snowden: a história secreta do homem mais procurado do mundo”, escrito
por Luke Harding, no qual é possível acompanhar o que um agente de segurança da
NSA (National Security Agency) expôs ao mundo sobre o grandioso sistema de
espionagem global.
Em sua grande maioria, os padrões ou normas são mantidas/definidas por entidades
organizacionais internacionais. Para cada ramo do conhecimento, existe alguma
norma ou padrão que melhor o caracteriza. Geralmente, uma norma é reconhecida
pelo acrônimo do instituto/entidade seguido de algum número – IEEE 830, por
exemplo. Ou seja, mundialmente, se alguém se referir a IEEE 830, todos estarão
falando da mesma norma. Uma norma é descrita em formato textual, como um livro, e
poucas são gratuitas. É importante observar que nem todas as instruções definidas
no documento deverão ser seguidas à risca. Uma organização pode adaptar a norma
para atender às suas necessidades. De acordo com a organização, pode-se priorizar
certar áreas em relação a outras. Veremos a seguir algumas entidades e as suas
normas relacionadas à tecnologia da informação:
NIST (Instituto Nacional de Padronização e Tecnologia – National
Institute of Standards and Technology):
Possui publicações na série/família 800 que são diretamente ligadas à SI. Como
exemplo, temos a 800-37 (define o gerenciamento de risco de uma organização),
800-46 (padrões e normas sobre o acesso remoto), 800-53 (meio de se avaliar controle
de segurança), 800-61 (métodos de tratamento de incidentes), 800-78 (guia sobre
criptografia), 800-85 (meios de tratamento de teste), 800-115 (métodos para teste de
avaliação de segurança), 800-118 (estratégias para o gerenciamento de senhas),
800-121 (padrões de segurança para Bluetooth), 800-122 (meios de se garantir a
confidencialidade) e 800-128 (definição de gestão de Segurança da Informação).
ISO (Organização Internacional para Padronização – Internacional
Organization for Standardization):
Mundialmente conhecida por oferecer inúmeros padrões às diferentes áreas da
ciência. Nela, daremos destaque para a área de estudo dessa disciplina, a Segurança
da Informação. Nesse contexto, os padrões da organização são bastante
reconhecidos/respeitados por inúmeras entidades em todo mundo. Não é à toa que
as referências para a SI são as normas da ISO, em especial a 17799 e as da família
27000.
ISO 17799: por muito tempo, essa norma foi a responsável em ditar o padrão da
Segurança da Informação. Em sua grande maioria, uma norma é dividida em seções.
Esta possui dez: Política e segurança; Organização de segurança; Classificação e
controle de ativos; Segurança de pessoal; Segurança física e ambiental;
Gerenciamento de comunicações e operações; Controle de acesso; Desenvolvimento
e manutenção de sistema; Gerenciamento de continuidade de negócios; e
Conformidade.
ISO/IEC 27000: conhecida como a família que tem como objetivo definir desde os
princípios da SI até os meios para garantir a sua gestão. Podemos dividir as normas
em três grandes grupos: Especificação de requisitos, contendo as normas ISO/IEC
27001, ISO/IEC 27006 e ISO/IEC 27000; Descrição de diretrizes gerais: ISO/IEC 27002,
ISO/IEC 27003, ISO/IEC 27004, ISO/IEC 27005, ISO/IEC 27007, ISO/IEC TR 27008,
ISO/IEC 27013, ISO/IEC 27014, ISO/IEC TR 27016 e ISO/IEC 27021; e, por fim, o último
grupo, de descrição de diretrizes específicas para o setor: ISO/IEC 27010, ISO/IEC
270011, ISO/IEC 27017, ISO/IEC 27018, ISO/IEC 27019 e ISSO 277799.
Dentre elas, podemos destacar a ISO/IEC 27001 (Requisitos para o gerenciamento de
Segurança da Informação) a ISO/IEC 27002 (Código de práticas para o controle da
Segurança da Informação) (HINTZBERGEN et al, 2018). A 27002 é uma atualização da
antiga ISO 17799. Na figura a seguir, é possível ver as seções definidas na
27002:2013.
W3C (World Wide Web) (www):
Quem já trabalhou com páginas da Internet já ouviu falar dessa padronização. Há
algum tempo, cada navegador/empresa possuía a sua própria regra/versão do HTML.
Em consequência, existiam inúmeras incompatibilidades que geravam excessivo
retrabalho por parte dos desenvolvedores. Em meio ao caos, logo surgiram os
padrões CSS (Cascading Style Sheets), SOAP (Simple Object Access Protocol), XML
(Extensible Markup Language), CGI (Common Gateway Interface), entre outros, que
tiveram como objetivo padronizar o ambiente web, a fim de facilitar o
desenvolvimento e reduzir a incompatibilidade.
IEEE (Institute of Electrical and Electronics Engineers):
A forma correta de se ler é: “I três E”. Assim como as demais, é bastante conhecida,
inclusive dentro da própria área de Tecnologia da Informação. Normas que definem a
Engenharia de Software são ditadas por ela, como, por exemplo, a IEEE 830 e a IEEE
12207. Para a Segurança da Informação não é diferente. Pode-se destacar a família
IEEE 802, na qual se tem a 802.3 (com padrões definidos para Ethernet), 802.5 (redes,
em particular em anel), 802.6 (MAN – Redes metropolitanas), 802.11 (LAN – em
particular para redes sem fio, nas quais você utiliza aparelhos como celulares e
notebooks), 802.15.1 (bluetooth), dentre outras.
Vamos Praticar?
Ao referenciar as principais normas e padrões, também não podemos deixar de lado
o principal guia do corpo de conhecimento da Engenharia de Software, o Swebok. Por
meio dele é possível conhecer os termos e o que é mais utilizado/recomendado para
toda a área de desenvolvimento de software – desde a análise de requisitoaté o seu
gerenciamento.
Baixe o guia e escreva, de forma sucinta, quais são as áreas definidas.
Por outro lado, em relação a leis, temos a GDPR (General Data Protection Regulation),
que entrou em vigor na União Europeia em 2018, a fim de garantir a proteção dos
cidadãos a respeito da privacidade e dados (G1, 2018). Da mesma forma, o Brasil
definiu a LGPD (Lei Geral de Proteção de Dados – Lei n. 13.709, de 14 de agosto de
2018) – com um pouco de atraso, em comparação da regulamentação por parte de
outros países, inclusive da América Latina. A LGPD visa garantir o respeito à
privacidade; liberdade de expressão; inviolabilidade da intimidade, da honra etc. Na
lei, existem artigos diretamente relacionados à SI, como, em destaque, alguns itens
do art. 6, segundo o qual as atividades de tratamento de dados pessoais deverão
observar os seguintes princípios:
I - finalidade: realização do tratamento para propósitos legítimos, específicos,
explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma
incompatível com essas finalidades;
II - adequação: compatibilidade do tratamento com as finalidades informadas ao
titular, de acordo com o contexto do tratamento;
III - necessidade: limitação do tratamento ao mínimo necessário para a realização de
suas finalidades, com abrangência dos dados pertinentes, proporcionais e não
excessivos em relação às finalidades do tratamento de dados;
IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma
e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e
atualização dos dados, de acordo com a necessidade e para o cumprimento da
finalidade de seu tratamento;
VI - transparência: garantia, aos titulares, de informações claras, precisas e
facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de
tratamento, observados os segredos comercial e industrial;
VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os
dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de
destruição, perda, alteração, comunicação ou difusão;
VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude
do tratamento de dados pessoais;
IX - não discriminação: impossibilidade de realização do tratamento para fins
discriminatórios ilícitos ou abusivos;
X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção
de medidas eficazes e capazes de comprovar a observância e o cumprimento das
normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Além disso, a lei está preocupada em garantir a segurança de informações de
crianças e adolescentes; o uso das informações por parte de entidades públicas;
transferência internacional de dados; responsabilidades e ressarcimento de danos;
entre outros.
Vamos Praticar?
Leia na íntegra a LGPD. Assim, você poderá ter uma ideia melhor do que a
normalização prevê e o que nos espera no futuro a respeito do tema. Vale lembrar que
desconhecer a lei não o isenta da responsabilidade que a define. Logo, conhecer bem
o seu conteúdo garantirá um melhor tratamento das informações pelas quais você é
responsável. A partir da lei, faça um resumo do que diz o CAPÍTULO VII - DA
SEGURANÇA E DAS BOAS PRÁTICAS: Seção I - Da Segurança e do Sigilo de Dados e
da Seção II - Das Boas Práticas e da Governança.
Apesar de ter aparecido tardiamente, a LGPD vem com o objetivo de regulamentar
essa área explorada há muito tempo. Como não havia leis/regulamentos específicos,
não se poderia cobrar responsabilidade de ninguém e muito menos a segurança e a
confidencialidade das informações dos usuários.
Tópico 6 -
Síntese:
Nesta unidade, tivemos a oportunidade de conhecer a importância da Segurança da
Informação em nosso contexto atual, a era da informação. Dentro desse universo
vasto, estudamos os princípios e as normas/guias que definem boas práticas para a
garantia da segurança nas organizações. Por fim, vimos a Lei n. 13.709, que tem
como objetivo regulamentar a manipulação de informações no Brasil. Nesta unidade,
você teve a oportunidade de: • compreender os conceitos de dado, informação e
conhecimento; • ver que o número de dados cresce exponencialmente e que devem,
por isso, ser tomados medidas de segurança; • conhecer alguns termos utilizados na
SI, como risco, ameaça e vulnerabilidade; • acompanhar que os princípios da SI são
baseados em disponibilidade, integridade e confidencialidade; • compreender o
Hexagrama Parkeriano, definido como um princípio alternativo à SI; • perceber que a
composição de um Sistema de Gestão de Segurança da Informação pode abranger
modelos PDCA (planejamento, execução, checagem e ação); • conhecer as principais
organizações e suas normas e as leis sobre SI.