Livro Texto - Unidade III

Prévia do material em texto

92
Unidade III
Unidade III
5 SEGURANÇA DA INFORMAÇÃO
5.1 Conceitos sobre segurança
Quando aplicada em uma corporação, a gestão da segurança da informação (SI) tem como objetivo 
proteger ambientes e ativos contra quaisquer problemas que tenham potencial de causar danos e/ou 
causar prejuízos. Entre os exemplos, estão: ameaças, vulnerabilidades, falta de conscientização, baixo 
controle, riscos e falta de organização.
Mas o que vem a ser um ativo? E por que ele deve ser protegido?
Um ativo é qualquer elemento ou recurso de valor em uma organização, como componentes de 
hardware e software, dados, pessoas e documentos. A proteção desses elementos na maioria das vezes 
é vital para o funcionamento e evolução da empresa.
É possível classificar os ativos. Um ativo tangível diz respeito a recursos físicos – objetos reais, como 
produtos, documentos, equipamentos e imóveis, entre outros. Em geral, permitem que um valor seja 
estabelecido de forma mais fácil que os intangíveis. Já um ativo intangível refere-se a objetos abstratos, 
cuja mensuração de valor é muito mais difícil, como a marca, a palavra de alguém, a reputação ou o 
capital intelectual de uma empresa, entre outros.
A atribuição de responsabilidades é um dos aspectos mais importantes da SI. Sendo assim, é 
importante definir quem são os responsáveis diretos pela manipulação dos ativos. Constam a seguir os 
quatro agentes envolvidos com os ativos em uma empresa.
Proprietário
Usuário
Custodiante
Controlador
Ativo
Figura 48 – Agentes que manipulam ativos em uma empresa
O proprietário é o elemento que detém a posse legal e direta de um determinado ativo. É o dono. 
Pode ser uma pessoa física ou jurídica, mas muitas vezes não é o que manipula o ativo.
93
GESTÃO DE BANCO DE DADOS
O custodiante é o elemento que tem a custódia (responsabilidade, guarda) por um determinado bem. 
Essa função é repassada ao custodiante exclusivamente pelo proprietário e não pode ser transferida pelo 
custodiante a outro. Portanto, aquele que exerce a custódia, ao mesmo tempo que executa operações 
autorizadas com os ativos, também responde pelas consequências ocorridas. Muitas vezes a figura do 
custodiante pode ser entendida como a de um gerente que administra um determinado setor (ativo).
Por exemplo, o setor de TI é o custodiante dos equipamentos do datacenter.
Em geral, a figura do controlador é bastante específica da área de TI. É a entidade que controla 
e distribui acesso aos ativos. Em SI, tal controle é exercido por meio de mecanismos como listas de 
controle de acesso, senhas e gerenciamento de níveis de privilégios, entre outros.
 Observação
O controlador define quem acessa um servidor e quais os níveis desse 
acesso na manipulação de arquivos: criação, leitura, alteração, exclusão 
ou execução.
O usuário é quem de fato utiliza um ativo. Pode ser interno, quando faz parte da empresa, ou 
externo, caso de um cliente, por exemplo.
É fácil constatar que as funções dos elementos que lidam com os ativos se misturam. Por exemplo, 
um custodiante pode ser também controlador e usuário de um determinado ativo, assim como um 
proprietário pode ser o custodiante.
Agora que sabemos quais são os agentes envolvidos, é importante entender os problemas associados 
aos ativos.
5.1.1 Ameaças e vulnerabilidades
Uma ameaça é um evento ou circunstância capaz de causar prejuízos a um sistema ou 
equipamento, mas que ainda não causou. Trata-se de um problema em potencial que pode 
acontecer. Na verdade, quando ocorre, passa de ameaça para prejuízo. Dentro dessa definição 
muitos problemas podem ser classificados como ameaças, como funcionários insatisfeitos, um 
buraco destampado ou um cachorro bravo.
Em geral, as ameaças só se transformam em prejuízo quando alguma vulnerabilidade é explorada. 
Vulnerabilidades são falhas que permitem a ocorrência das ameaças. Muitas vezes essas falhas são 
exploradas de forma consciente por atacantes a fim de prejudicar sistemas, em outras são apenas erros. 
Elas podem surgir de diversas formas, em processos, em projetos e na implementação de controles etc. 
Por exemplo, uma rotina com erros de programação, um sistema não atualizado ou alguém que não usa 
equipamento de proteção em um trabalho perigoso.
94
Unidade III
Por fim, o agente da ameaça é o método usado para explorar uma vulnerabilidade em um sistema, 
operação ou funcionalidade.
Por exemplo, imagine um vírus de computador. Apesar de perigoso, não causa prejuízo ou dano até 
entrar no sistema. Contudo, alguém pode enviar um vírus anexado a um e-mail com uma mensagem 
falsa com o objetivo de enganar e infectar a máquina de um usuário. Se o usuário que recebê-lo 
acreditar na falsa mensagem e abrir o anexo, vai infectar sua própria rede.
O vírus de computador é uma ameaça. O e-mail falso é o agente da ameaça. A abertura do 
anexo infectado, depois que o usuário foi enganado, é a vulnerabilidade que permitiu que a ameaça 
se concretizasse.
 Observação
Uma das formas mais comuns de eliminar vulnerabilidades é a 
atualização de sistemas, aplicativos e equipamentos. As atualizações 
são vitais na segurança, pois reparam e eliminam as vulnerabilidades 
das aplicações.
5.1.2 Segurança dos ativos ligados à tecnologia da informação (TI)
Apesar de existirem diversas categorias de ativos, este conteúdo se concentra nos ativos relacionados 
mais diretamente aos ambientes de TI. São cinco os ativos abordados: (1) informação; (2) software; 
(3) hardware; (4) organização; e (5) pessoal.
 Lembrete
Ativos são bens e recursos que têm valor para uma organização.
Ativo de informação
Existem informações que são valiosas. Logo, algumas delas são consideradas ativos e devem ser 
protegidas. Esta categoria de ativos inclui a informação falada, escrita, transmitida, recebida, gravada 
em meio eletrônico ou de qualquer outra forma.
Por exemplo: documentos, arquivos, relatórios, livros, manuais, correspondência, informações de 
mercado, códigos de programação, conversas telefônicas etc.
Este tipo de ativo está sujeito a roubo, acesso indevido, alteração não permitida, falta de proteção, 
perda e destruição, entre outras ameaças.
95
GESTÃO DE BANCO DE DADOS
Ativo de software
Diz respeito a sistemas operacionais, documentação e licenças de software, scripts e códigos de 
programação que automatizam ou otimizam processos relacionados ao uso e manipulação de informações.
 Observação
Um programa escrito em uma determinada linguagem pode ser 
considerado tanto um ativo de informação quanto um ativo de software.
Os ativos de software podem estar sujeitos a uso inadequado, bugs, indisponibilidade e vulnerabilidades 
diversas, entre outros contratempos.
Ativo de hardware
Ativos que incluem toda a infraestrutura tecnológica relativa ao processamento, armazenamento, 
transmissão e recebimento de dados. Basicamente são os equipamentos de TI.
Por exemplo: roteadores, computadores, switches, servidores, celulares, dispositivos com sensores, 
entre outros.
Equipamentos estão sujeitos a roubo, falhas elétricas, problemas físicos como quebras, falhas de 
funcionamento e acidentes naturais.
Ativo de organização
Este ativo engloba toda a infraestrutura organizacional – não tecnológica – que sustenta o 
funcionamento dos processos de uma corporação. Basicamente, ele está em alta quando a empresa for 
bem organizada.
Por exemplo: estrutura hierárquica da empresa, atribuição de responsabilidades bem definida, 
esquemas que permitem auditorias e implementação de segurança, projetos de médio e longo prazo, 
metas bem estabelecidas e prazos cumpridos.
Há diversas ameaças e vulnerabilidades que atingem os ativos de organização, como estrutura que 
não contempla a segurança, falta de comunicação, falhas na segurança física e falta de condições de 
trabalho, entre outras.
Ativo de pessoal
Diz respeito às pessoas que manipulam as informações e a infraestrutura da empresa, incluindo todo 
o conhecimento (know-how) da companhia. É o capital intelectual da empresa.
96
UnidadeIII
Por exemplo: o ativo de pessoal envolve funcionários, clientes, diretores, fornecedores e colaboradores.
Como está diretamente ligado às pessoas, os problemas aqui incluem falhas humanas, 
descontentamento, corrupção, falta de conscientização, suborno e engenharia social, entre outras 
ameaças e vulnerabilidades.
5.1.3 Noções sobre os ataques computacionais
Todo ataque computacional tem como base o acesso e/ou o uso não autorizado de um ativo. É uma 
definição importante, pois delimita bem o que se trata. Basicamente, qualquer ataque computacional 
realiza um acesso ou um uso não autorizado de recursos – muitas vezes ambos ocorrem ao mesmo tempo.
Por exemplo: um celular invadido representa um acesso não autorizado. Se o atacante enviar 
mensagens falsas, também está fazendo uso não autorizado do aparelho.
Um usuário que descobre uma vulnerabilidade em um site e provoca sua paralização está fazendo 
uso não autorizado de suas prerrogativas de usuário. Perceba que, neste caso, o acesso que ele está 
fazendo é autorizado.
Os ataques computacionais podem ser classificados quanto à atividade e ao fluxo de comunicação.
Em relação à atividade, existem os ataques passivos, que ocorrem, mas não produzem alterações 
nas informações, nos sistemas e nem mesmo no fluxo das informações afetadas. Basicamente, é um 
ataque, que gera consequências, mas mantém os dados imutáveis. Justamente por causa disso, ele é 
mais difícil de ser detectado.
Por exemplo, escutas telefônicas ou a simples leitura de um arquivo em uma rede invadida. Uma 
eventual cópia de um arquivo, apesar de um pouco mais intrusiva, ainda é um ataque passivo, visto que 
não houve modificação do ativo de informação original.
Mesmo um ataque passivo a um sistema computacional, que não tem intenção alguma de alterar 
algo, deixa marcas não intencionais. Por exemplo, um sistema que passou por uma invasão passiva, na 
qual o atacante apenas observou alguns arquivos, na verdade, gerou eventos internos no sistema. Em 
uma analogia, é como se um ladrão tivesse entrado em um banco e saído sem roubar nada. Mesmo sem 
modificar nada na cena do crime, o bandido deixou rastros como pegadas ou digitais por onde passou.
Ainda em relação à atividade, os ataques ativos são aqueles que modificam dados, o fluxo de 
comunicação ou o próprio sistema quando acontecem. Em geral, eles deixam mais marcas que os 
ataques passivos. 
Por exemplo, a criação de uma mensagem falsa ou um invasor que alterou arquivos em um servidor.
Como já discutido, um dos focos deste conteúdo é a segurança durante a comunicação. É justamente 
ao longo do compartilhamento de dados que muitos ataques ocorrem, pois como há muitas variáveis 
97
GESTÃO DE BANCO DE DADOS
envolvidas nos processos de comunicação, a quantidade de vulnerabilidades que podem ser exploradas 
maliciosamente também aumenta. Tendo como base o fluxo das informações em uma comunicação, os 
ataques computacionais podem ser classificados como:
• Ataque de interrupção/destruição: um recurso do sistema é destruído ou colocado em 
indisponibilidade.
Entidade
Entidade
Entidade
Entidade Entidade
Entidade
LeituraFluxo 
normal
Fluxo 
com 
ataque
Transmissão Armazenamento
Figura 49 – Comparação entre um fluxo normal e um ataque de interrupção/destruição
Vimos na figura anterior que um fluxo de informação é interrompido ou os dados são destruídos 
antes de chegar ao destino. Trata-se de um ataque ativo.
Por exemplo: destruição de uma partição do disco ou de um arquivo, desativação da interface de 
rede de um equipamento ou a interrupção de comunicação por congestionamento do link.
• Ataque de observação: uma entidade não autorizada observa uma determinada informação 
armazenada ou em trânsito.
Entidade
Entidade
Entidade autorizada Entidade autorizada
Entidade não autorizada Entidade não autorizada
Leitura
Leitura
Fluxo 
normal
Fluxo 
com 
ataque
Transmissão Armazenamento
Figura 50 – Comparação entre um fluxo normal e um ataque de observação
Observamos na figura prévia que os dados em trânsito são lidos ou copiados antes de chegarem ao 
destino. Trata-se de um ataque passivo.
Por exemplo: escuta telefônica, captura de pacotes transmitidos pela rede ou cópia ilícita de arquivos 
ou programas.
98
Unidade III
• Ataque de modificação: uma entidade não autorizada modifica um determinado recurso.
Entidade Entidade
Entidade
Entidade Entidade
Entidade
Entidade não autorizada
Entidade não 
autorizada
LeituraFluxo 
normal
Fluxo 
com 
ataque
Transmissão Armazenamento
Figura 51 – Comparação entre um fluxo normal e um ataque de modificação
Vimos na figura prévia que os dados transmitidos são modificados antes de chegarem ao destino por 
uma entidade não autorizada. Trata-se de um ataque ativo.
Por exemplo: as alterações do valor de um arquivo de configuração, de um programa para se 
comportar de forma diferente, de um registro de um banco de dados ou do conteúdo de uma mensagem 
sendo transmitida.
 Observação
Perceba que no ataque de modificação o atacante se passa pela origem 
para enviar o dado modificado ao destino. Ele envolve acesso e uso não 
autorizado a um recurso.
• Ataque de fabricação: uma entidade não autorizada gera dados falsos.
Entidade Entidade
Entidade Entidade Entidade
Leitura
Entidade
Entidade não 
autorizada
Entidade não 
autorizada
Fluxo 
normal
Fluxo 
com 
ataque
Transmissão Armazenamento
Figura 52 – Comparação entre um fluxo normal e um ataque de fabricação
Observamos na figura anterior que o atacante se passa pela origem e estabelece um fluxo falso com 
o destino.
99
GESTÃO DE BANCO DE DADOS
Por exemplo: inserção de mensagens falsas em uma rede, inclusão de registros falsos em um banco 
de dados, criação de um arquivo falso em um sistema, geração de um e-mail malicioso.
5.1.4 Principais ameaças a redes e sistemas computacionais
A execução de scripts maliciosos em sistemas ocorre devido à presença de vulnerabilidades que vão 
sendo descobertas por pesquisadores e curiosos na internet. Uma das maiores falhas dos usuários é 
deixar de atualizar os sistemas operacionais e as aplicações de computadores, servidores e smartphones. 
Com isso, os sistemas continuam sujeitos à exploração maliciosa. Há diversas ameaças voltadas para 
sistemas computacionais e redes que merecem menção:
• Cookies são pequenos arquivos salvos em um computador quando um site da internet é acessado 
pela primeira vez. Apesar de úteis, podem implicar em problemas de segurança.
• O session hijacking (sequestro de sessão) é uma técnica que permite o controle malicioso de 
uma sessão de comunicação TCP/IP. Isso pode ser feito por meio de cookies e scripts maliciosos.
• Podemos definir o phishing como um tipo de fraude concebida para roubar informações como 
senha ou número de cartão de crédito. Normalmente, ocorre por meio de sites ou e-mails falsos.
• O cross-site scripting (XSS) consiste em falhas de validações dos parâmetros trocados entre 
usuários e servidores web, que permite a injeção de código malicioso na comunicação.
• Os ataques de SQL-injection estão entre os mais explorados da internet. Trata-se de um ataque de 
injeção de código malicioso contra o banco de dados de uma aplicação web. Em geral, acontecem 
devido às vulnerabilidades que permitem execução de comandos não autorizados.
 Saiba mais
A Open Web Application Security Project (Owasp) é uma comunidade 
voltada para a disseminação da segurança na internet. O relatório Owasp 
Top Ten reafirma que há muitos anos o SQL-injection é o ataque web mais 
explorado, vejam-no em:
OWASP. Owasp Top Ten Project. 2017. Disponível em: https://owasp.org/
www-pdf-archive/OWASP_Top_10-2017-pt_pt.pdf. Acesso em: 15 jun. 2020.
Qualquer ataque planejado para fazer uma máquina ou software ficar indisponível e incapaz de 
executar sua funcionalidade básica é conhecido como ataque de negação de serviço, do inglês denial 
of service (DoS). Em geral, um atacante envia uma quantidade gigantesca de pacotes a um servidor, 
quefica lento ou trava.
100
Unidade III
Um ataque DoS pode ter diversas origens e até usar botnets. Neste caso, seu bloqueio é mais 
complicado e o ataque é conhecido como distributed denial of service (DDoS).
Uma botnet é uma rede de computadores infectados (zumbis) por bots (robôs), normalmente 
utilizados para distribuição de spam e ataques DDoS.
 Saiba mais
Vint Cerf, do Fórum Econômico Global, estimou em 2007 que 25% dos 
computadores conectados à internet sejam zumbis involuntários. Vejam o 
link a seguir:
ANDERSON, N. Vint Cerf: one quarter of all computers part of a 
botnet. Arstechnica, 2007. Disponível em: https://arstechnica.com/
uncategorized/2007/01/8707/. Acesso em: 15 jun. 2020.
Há também uma matéria da BBC relacionada ao tema:
WEBER, T. The internet is doomed. BBC News, 2007. Disponível em: 
https://www.bbc.co.uk/blogs/davos07/2007/01/the_internet_is_doomed.
shtml. Acesso em: 15 jun. 2020.
A existência ou execução de um malware (software malicioso) tem consequências negativas que 
podem variar de irritantes a danosas. Exemplos de malwares incluem: vírus, trojans, worms e rootkits.
Um vírus de computador é um script que se replica inserindo seu código em outros arquivos. 
Normalmente, realiza tarefas maliciosas como apagar arquivos importantes ou roubar senhas. Em geral, 
depende da exploração de alguma falha, como um clique em anexo de e-mail ou o compartilhamento 
de unidade de USB.
Há vários tipos de vírus:
• Vírus de arquivo/programa: infecta um arquivo inserindo seu código.
• Vírus de macro: ativado quando um documento é aberto. Pode infectar outros documentos.
• Vírus de boot sector: tipo especial de vírus de programa, executado quando um computador é 
ligado ou reiniciado.
• Vírus encriptado: dificulta a leitura do seu código (encriptado) pelo antivírus.
101
GESTÃO DE BANCO DE DADOS
• Vírus polimórfico: realiza mutações usando várias formas encriptadas durante a replicação.
• Vírus metamórfico: executa mutações usando técnicas de ofuscamento (inclusão de instruções 
inúteis) durante a replicação.
O trojan (cavalo de Troia) é um malware que aparenta realizar algo útil, mas na verdade tem 
consequências negativas, como roubar senhas. Seu principal risco é a permissão a um atacante para 
realizar tarefas com privilégios (altos) de administrador.
O worm (verme) de computador é um programa malicioso que espalha, de forma autônoma, cópias 
de si mesmo sem a necessidade de se injetar em outros programas (como os vírus).
Curiosidade: o Morris, de 1998, é considerado um dos primeiros worms de computador. Robert 
Morris, o criador, na época era estudante de pós-graduação em Cornell (atualmente é professor no MIT). 
O worm apenas se copiava e se disseminava pela internet, mas acabou se tornando um ataque DoS, já 
que 10% dos computadores conectados à internet foram infectados na época.
Um rootkit é um software, na maioria das vezes malicioso, criado para esconder ou camuflar a 
existência de certos processos ou programas da ação de controles de segurança. São muitas vezes 
usados para esconder malwares como vírus, trojans ou mesmo backdoors.
Uma backdoor é uma porta secreta que permite alguma ação indevida. Trata-se de um programa 
executado em um sistema ou rede que consente ações que não deveriam ser possíveis.
 Observação
Um atacante que consegue um acesso eventual em uma rede vai 
procurar instalar uma backdoor que o autorize a invadir este mesmo 
sistema sempre que quiser.
Uma bomba lógica é um programa que realiza uma ação maliciosa como resultado de uma 
certa condição lógica. Por exemplo, um script malicioso programado para apagar determinados 
arquivos quando a data for 29 de fevereiro. O programa pode passar quatro anos despercebido e 
agir na data estipulada.
Também há malwares voltados para a invasão de privacidade, cuja propagação ocorre por meio de 
sites, e-mails, malwares e freewares (programas grátis). Um adware é um software que exibe anúncios na 
tela de um usuário sem o consentimento dele. Já um spyware é um software que coleta indevidamente 
informações sobre o usuário ou sobre o uso do computador.
Até este momento o foco foram as ameaças e as vulnerabilidades a que os ativos estão sujeitos. 
A partir de agora podemos começar a verificar como protegê-los.
102
Unidade III
5.2 Aspectos e pilares da segurança da informação
Podemos definir que a área computacional é uma subárea importante dentro da TI, já que todos os 
conceitos vistos até aqui são aplicáveis em sistemas de computação, redes e dispositivos móveis como 
smartphones, notebooks e sensores. Porém, em relação à segurança computacional, alguns pontos 
podem ser melhor desdobrados.
5.2.1 Controles de segurança
A segurança computacional pressupõe que controles de segurança devem ser implementados para 
garantir a prevenção, detecção e recuperação de ativos.
Um controle de segurança (ou mecanismo de proteção) é um equipamento, serviço, método, processo, 
modelo ou técnica implementado com o objetivo de proteger um ativo, seja ele computacional ou não.
Quando o controle de segurança possui um caráter de prevenção, ele tem por finalidade evitar a 
exploração de vulnerabilidades. Portanto, as ações são tomadas antes dos acontecimentos nocivos. É a 
melhor forma de proteção e costuma ter o melhor custo-benefício. Entretanto, controles de segurança 
para prevenção costumam ser bem mais difíceis de serem implementados, justamente por envolverem 
previsão e antecipação de decisões.
 Observação
Um sistema que analise o aumento de acessos a um site e disponibilize 
mais memória para suprir a demanda futura é um controle preventivo 
contra a queda dos serviços.
Tendo em vista que computadores têm como base o fluxo e o processamento de bytes em um 
sistema operacional ou equipamento, muitos eventos podem ser detectados a partir de análises 
detalhadas. Sendo assim, mecanismos voltados para a detecção são comuns na computação. Controles 
de segurança assim detectam um evento malicioso no momento em que ele está ocorrendo e tomam as 
medidas que estiverem programadas para execução. Apesar de muito usados, os controles de detecção 
são mais arriscados que os de prevenção, visto que há um risco associado ao fato de o controle funcionar 
justamente quando o problema está acontecendo.
Por exemplo, um antivírus pode até ser considerado um controle de segurança preventivo, já que sua 
instalação prévia busca eliminar a entrada futura de vírus (ameaças). No entanto, perceba que a ação 
do antivírus é de detecção. Ele vasculha os arquivos do computador à procura de traços de programas 
maliciosos. Quando tais traços são detectados em um arquivo, o programa toma uma decisão.
Controles de segurança para recuperação atuam depois que a ameaça já se concretizou.
103
GESTÃO DE BANCO DE DADOS
Isto é, a recuperação de um backup após um dano ao sistema é o melhor exemplo. Evidentemente, 
deve-se levar em conta o fato de o backup ter sido realizado antes do dano. Em geral, a implementação 
de um backup não é algo complicado. Porém, o custo final de recuperar um sistema costuma ser maior 
que o de detectar ou prevenir.
Pode-se afirmar que os controles de detecção e recuperação são os mais usados, principalmente pela 
facilidade de uso e do custo das ferramentas. Porém, as pesquisas na segurança computacional estão 
cada vez mais voltadas para o uso de mecanismos de proteção preventivos.
5.2.2 Serviços de segurança
A imagem a seguir resume o que foi visto até aqui, com destaque para os controles de segurança 
(ou mecanismos de proteção) que fazem um contraponto às ameaças e vulnerabilidades.
Ameaças
Controle de segurança
Vulnerabilidades
Ativos
Figura 53 – A SI usada na proteção dos ativos
Justamente devido à proteção que oferecem, é importante escolher bem os controles de segurança 
que serão utilizados. Uma das formas para determinar com precisão quais são os controles mais 
adequados para um sistema, rede ou organização é por meio do entendimento sobre os serviços de 
segurançaque tais controles oferecem.
Um serviço de segurança pode ser entendido como a classificação do resultado de um controle de 
segurança. Em outras palavras, trata-se do tipo de serviço que um controle de segurança gera.
Exemplo de aplicação
Como exemplo, considere duas situações:
Situação 1: Maria tem uma pequena loja que sofre constantes assaltos à noite. Basicamente, 
trata-se de um acesso não autorizado. Alguns controles de segurança que podem ser sugeridos para 
resolução do problema:
104
Unidade III
• instalação de câmeras;
• compra de um cão feroz;
• pagamento de um seguro contra roubos;
• colocação de uma cerca elétrica.
Todos eles podem minimizar o problema de acesso não autorizado à loja.
Situação 2: Eduardo trabalha em uma empresa cuja rede computacional passa constantemente por 
invasões. Também se trata de um caso de acesso indevido.
Pergunta: é viável sugerir a Eduardo que compre um cão feroz ou instale uma cerca elétrica na 
empresa para conter as invasões à rede computacional?
Resposta: é lógico que não, porque os controles de segurança usados por Maria geram serviços de 
segurança diferentes daqueles que Eduardo necessita. Para a empresa do Eduardo, o ideal seria sugerir 
controles de monitoramento contra intrusões, que geram serviços de segurança mais adequados ao que 
ele precisa. Reflita a respeito.
O conhecimento dos principais serviços de segurança possibilita que o administrador verifique quais 
dos itens são necessários, identifique o quê e como proteger, o nível de segurança que deve ser aplicado, 
o custo e a viabilidade tecnológica, além de ajudar nos processos de auditoria e atualização da segurança.
Há muitos serviços de segurança. Listaremos nove serviços bastante ligados à área de SI.
5.2.2.1 Confidencialidade
Uma informação confidencial deve permanecer secreta. Não pode ser divulgada e precisa ser protegida.
O objetivo de um controle que ofereça o serviço de segurança de confidencialidade é proteger uma 
informação, armazenada ou em trânsito, contra divulgação para uma entidade não autorizada (usuário, 
processo, programa, equipamento ou computador).
Podemos dizer que uma informação, que precisa ser protegida contra a divulgação, necessita de um 
controle que ofereça como resultado o serviço de segurança de confidencialidade.
Por exemplo: para implementar confidencialidade em um sistema de troca de arquivos entre dois 
equipamentos de uma corporação, é possível criptografar os dados (só quem tem a senha consegue ler 
a informação) ou garantir a segurança física do canal de comunicação. No primeiro caso, a criptografia 
é o controle de segurança, enquanto no segundo, a proteção do canal de comunicação é o controle. 
Ambos oferecem o serviço de confidencialidade como resultado.
105
GESTÃO DE BANCO DE DADOS
5.2.2.2 Integridade
Um controle que ofereça o serviço de segurança de integridade deve ser capaz de determinar se 
um arquivo, mensagem, carta, programa, aviso (armazenado ou em trânsito) foi modificado por uma 
entidade não autorizada. Deve-se garantir que caso um recurso seja modificado de forma maliciosa ou 
mesmo acidental, isso seja percebido.
Por exemplo: o usuário A envia uma mensagem para o usuário B. Para confirmar que a mensagem 
chegou correta e sem modificações de qualquer espécie, o usuário B liga para o usuário A e confirma todo 
o conteúdo da mensagem. Todo este processo é um controle para a garantia do serviço de integridade.
 Saiba mais
A integridade de arquivos compartilhados pode ser garantida por meio 
de hashes e assinaturas digitais, assuntos pouco abordados aqui. Porém, 
mais detalhes podem ser encontrados em:
STALLINGS, W.; BROWN, L. Computer security: principles and practice. 
3. ed. New Jersey: Pearson Education, 2014.
5.2.2.3 Disponibilidade
O objetivo do serviço de segurança de disponibilidade é garantir que um determinado recurso 
esteja sempre “disponível” para as entidades autorizadas. De forma básica, é assegurar que um sistema, 
programa, rede ou serviço esteja funcionando ou que um arquivo, ativo ou local esteja acessível. 
O simples fato de um serviço ficar lento já representa problemas de disponibilidade.
Um site que ficou fora de serviço, ou mesmo lento, devido a ataques está com problemas 
de disponibilidade.
Em geral, a solução para a indisponibilidade é a redundância. Aumentar a banda de internet, duplicar os 
links, comprar um gerador e criar um backup são formas de garantir a disponibilidade de alguns recursos.
5.2.2.4 Autenticação
O serviço de segurança de autenticação serve para provar que alguém realmente é quem alega 
ser. Também é usado para provar que algo realmente é de alguém. Quando alguém precisa de um 
controle de segurança que confirme a origem de uma transmissão ou arquivo (quem está transmitindo), 
temos um serviço de segurança de autenticação em funcionamento.
Para provar a identidade de alguém, há muitas formas: confirmação com um documento com foto, 
assinatura, login com senha em um sistema, biometria (confirmação da identidade por meio de uma 
106
Unidade III
característica física da pessoa). Também é possível provar, através de assinatura digital, se um arquivo 
veio realmente do alegado transmissor.
5.2.2.5 Controle de acesso
Este serviço garante que somente as entidades autorizadas consigam acesso a um determinado ativo. 
Em outras palavras, após a autenticação, apenas quem for autorizado poderá acessar um arquivo, sala, 
sistema, pessoa ou recurso.
O controle de acesso deve garantir também que autorizações de acesso a um determinado recurso 
sejam dadas apenas pelos responsáveis e não sejam alteradas indevidamente.
Este serviço de segurança costuma ser confundido com autenticação, pois, em geral, só é possível 
exercer o controle de acesso depois que o indivíduo teve sua identidade confirmada.
Por exemplo: um usuário faz o login (entra com o nome e a senha) em um servidor (este é um 
processo de autenticação). Quando o login é aceito, o sistema vai permitir a ele acesso apenas aos 
recursos (arquivos, diretórios, serviços) que foram previamente autorizados para tal usuário (isto é 
controle de acesso).
Outro modelo são as catracas físicas, muito usadas em prédios e repartições. Depois que alguém passa 
um cartão ou crachá (autenticação) a catraca permite (ou não) o acesso ao local (controle de acesso).
5.2.2.6 Privacidade
Um controle voltado para o serviço de segurança de privacidade deve ser capaz de controlar 
a distribuição e o uso de informações. Há dois detalhes importantes nesse processo: em geral, essas 
informações são fornecidas pelo próprio usuário; e elas não são necessariamente confidenciais, mas não 
há razão para serem divulgadas sem controle algum.
 Lembrete
Privacidade é diferente de confidencialidade. Muitas informações 
privadas não são confidenciais. Não precisam ser divulgadas porque 
interessam apenas ao seu dono, mas não são secretas como as confidenciais.
A garantia de privacidade possibilita que indivíduos, grupos ou instituições determinem, por livre 
arbítrio, quando, como e em que extensão informações a seu respeito são transferidas para outros.
Em tempos de redes sociais e comunicação mobile ubíqua (abrangente e onipresente), muitas vezes 
o compartilhamento indevido de informações representa problemas aos usuários.
107
GESTÃO DE BANCO DE DADOS
 Observação
Um usuário que instala um aplicativo no smartphone e não se preocupa 
com o que o aplicativo vai acessar no seu próprio aparelho pode ter sérios 
problemas de privacidade. Se o aplicativo tiver acesso à agenda do usuário ou 
à galeria de fotos, não há controle sobre para onde essas informações podem 
ser enviadas. Em um futuro próximo, tais dados podem ser utilizados contra 
o usuário em processos judiciais, em ataques contra a reputação ou mesmo 
para envio de propagandas indesejadas. Sempre lembrando que o próprio 
usuário concordou em fornecer acesso às informações mencionadas.
A grande dificuldade de controlar a privacidade na internet vem do fato de asinformações terem sido 
disponibilizadas pelos próprios usuários. Portanto, trata-se de um controle sobre os hábitos das pessoas, 
algo que é imensamente mais complicado que simplesmente adicionar um controle de segurança sobre 
uma rede ou computador.
 Saiba mais
A Lei Geral de Proteção de Dados (LGPD) é uma tentativa de garantir a 
privacidade das informações pessoais. Veja mais em:
BRASIL. Lei n. 13.709, de 14 de agosto de 2018. Dispõe sobre a proteção 
de dados pessoais e altera a Lei n. 12.965, de 23 de abril de 2014 (Marco 
Civil da Internet). Brasília, 2018. Disponível em: http://www.planalto.gov.
br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm. Acesso em: 2 jun. 2020.
5.2.2.7 Irretratabilidade (não repudiação)
O serviço de segurança de irretratabilidade, também conhecido como não repudiação, tem por 
objetivo implementar o caráter irrevogável de uma transação. Em outras palavras, impedir que alguém 
negue um fato ocorrido.
A irretratabilidade de transmissão ocorre quando um controle impede que alguém negue 
que transmitiu um dado. Da mesma forma, a irretratabilidade de recepção impede que alguém 
negue que tenha recebido uma informação ou ativo qualquer.
Por exemplo, quando alguém envia uma carta registrada, o destinatário precisa assinar um protocolo 
confirmando o recebimento. Este protocolo assinado é devolvido ao remetente. A assinatura garante a 
irretratabilidade de recepção, pois caso o destinatário negue que recebeu a carta, o remetente poderá 
exibir a assinatura, confirmando de fato o recebimento.
108
Unidade III
Os certificados digitais servem para uma série de coisas. Entre elas, é possível autenticar um 
arquivo enviado, inclusive com o horário que o arquivo foi criado ou enviado. Caso alguém transmita 
um arquivo a outro usando seu próprio certificado digital, não há como este transmissor dizer depois 
que não transmitiu o arquivo. O certificado digital garante a irretratabilidade de transmissão.
Certificados digitais têm como base processos criptográficos que podem garantir confidencialidade, 
autenticação, integridade e comprovação temporal, entre outros serviços de segurança. Eles podem ser 
utilizados por qualquer pessoa para diferentes funcionalidades.
5.2.2.8 Auditoria
A auditoria é um serviço de segurança que possibilita o rastreamento de eventos que ocorrem 
em um sistema ou equipamento. Para isso é preciso que o sistema tenha algum programa, instalado 
previamente, que colete, armazene e gerencie todos esses logs.
Um log é um registro dos processos e eventos que ocorrem ao longo do tempo em um sistema ou 
equipamento. Praticamente todos os sistemas operacionais possuem gerenciadores de logs que coletam 
e armazenam informações que podem ser utilizadas em uma auditoria.
Processos de auditoria servem para verificar se as regras estão sendo seguidas e se aconteceram 
ataques ou acessos indevidos em um sistema.
Por exemplo, logs recolhidos em um servidor podem indicar a um administrador quais usuários 
tiveram acesso ao sistema, quais arquivos foram modificados e quais são os processos e serviços em 
execução. Além do mais, serve para que o administrador fique sabendo sobre eventuais erros gerados 
pelo sistema.
Além dos mencionados, existem outros serviços de segurança. Contudo, alguns autores costumam 
classificar os serviços de Confidencialidade, Integridade, Disponibilidade e Autenticação (CIDA) 
como os mais importantes. Atualmente, devido à importância do controle de acesso e da privacidade 
nos processos relacionados às nuvens computacionais e às redes sociais, tais serviços também podem 
ser acrescentados à lista.
5.2.3 A família de normas ABNT NBR ISO IEC 27000
As normas podem ser definidas como o conjunto de critérios e sugestões de boas práticas com o 
objetivo de uniformizar o conhecimento e sua execução, ensinar e conscientizar as pessoas e definir as 
formas mais adequadas de trabalho.
Elas são definidas por institutos de normatização, cuja finalidade é justamente estabelecer regras e 
instrumentos de controle que assegurem a conformidade de processos, produtos e serviços. Constam na 
sequência alguns institutos de normatização:
109
GESTÃO DE BANCO DE DADOS
Quadro 7 – Institutos de normatização
Associação Brasileira de Normas Técnicas (ABNT) – Brasil
International Organization for Standardization (ISO) – Suíça – 1946
National Institute of Standards and Technology (NIST) – EUA – 1901
Deutsches Institut für Normung (DIN) – Alemanha
International Electrotechnical Commission (IEC) – Inglaterra -1906
British Standards Institute (BSI) – Inglaterra
Sans – Estados Unidos – 1989
Government Accountability Office (GAO), Federal Information System Controls Audit Manual
Department of Defense Instruction (DoD) 8500.2 – EUA
Director of Central Intelligence Directive (DCID) – EUA
Baseada na norma inglesa BS 7799 de 1995, revisada e unificada pela ISO e pela IEC, a família ABNT 
NBR ISO IEC 27000 é um conjunto de normas que discutem a governança de TI de forma bastante 
ampla, como mostra a figura a seguir:
Figura 54 – Atualizações recentes das normas da família 27000
Vimos na figura anterior os anos de atualização de várias normas que compõem a família 27000, 
sendo que cada uma delas discute um determinado aspecto de segurança. Especificamente, a ABNT NBR 
ISO IEC 27002 trata sobre a prática da gestão da SI com sugestões sobre controles de segurança.
110
Unidade III
Isso é importante porque a partir das recomendações da norma 27002 é possível traçar um mapa 
bastante amplo sobre a proteção de ativos, tendo como base a ótica dos controles de segurança.
A referida norma deve estar aderente à evolução dos ambientes, sistemas, pessoas e cenários, além 
de ser aplicável a qualquer organização. Os benefícios diretos de sua aplicação incluem:
• conformidade dos processos de segurança da informação;
• identificação das responsabilidades na gestão da SI;
• melhora no nível de conscientização sobre segurança;
• possibilidade de medição dos níveis de segurança;
• viabilidade de combinação com outros sistemas de gestão;
• envolvimento da alta direção com a segurança;
• auditorias independentes.
A norma 27002 sugere 11 controles de segurança que são detalhados a seguir.
5.2.3.1 Criar uma política de segurança da informação (PSI)
A norma 27002 recomenda que todas as companhias tenham uma PSI – um conjunto de regras, 
baseadas nas principais normas, mas adaptadas para os cenários da empresa. Os principais objetivos da 
PSI são bastante próximos daqueles da família 27000: proteger os negócios da organização, padronizar 
a segurança da informação e orientar os colaboradores.
A PSI é um documento que deve servir como guia para processos e procedimentos dentro da empresa. 
Suas 10 principais características são:
• Atual: a PSI deve especificar um conjunto de regras, efetivas e atuais (permeáveis às novas 
tecnologias), destinadas a uma comunidade ou empresa. Portanto, ela deve ser constantemente 
auditada e atualizada.
• Controles e processos: é comum que a PSI defina alguns controles e alguns processos da empresa, 
para que fique claro que alguns procedimentos e métodos são padronizados.
• Custo: deve-se levar em conta a viabilidade financeira. O custo de implantação de todas as 
exigências da PSI deve ser justificado pelo valor do ativo e do negócio protegido. A análise de 
risco é uma importante ferramenta para sustentar esse tópico.
111
GESTÃO DE BANCO DE DADOS
 Observação
Processo que busca encontrar e minimizar riscos associados aos ativos 
de uma organização. Tem por base uma função de risco que calcula o 
nível de risco. Uma função de risco leva em conta, entre outras variáveis, 
a probabilidade de uma ameaça/vulnerabilidade acontecer, os controles de 
segurança implementados e o impacto da ameaça.
• Aplicável: as regras da PSI devem ser efetivamente aplicáveis e implementáveis, tendo de fazer 
sentido para aqueles que a ela estarão sujeitos. Regras que são impossíveis de serem cumpridas 
provocam descrédito em todaa política.
• Clareza: a redação da PSI deve ser objetiva, clara, concisa, de fácil leitura e compreensão. Textos longos 
podem suscitar dúvidas de entendimento, além de ser um desestímulo à leitura e memorização.
• Obrigatória: o cumprimento da PSI deve ser obrigatório a todos os colaboradores, independentemente 
do cargo ou importância na organização. Consequências efetivas em casos de descumprimento 
devem ser divulgadas, assim como a indicação quando sua aplicação for restrita a um determinado 
grupo ou qual procedimento precisa ser adotado na impossibilidade de cumprimento.
• Compatível: a política deve estar alinhada com os negócios organizacionais, ambiente da 
corporação, suas práticas, ferramentas e cultura. Não é recomendável a adoção de regras contrárias 
às estratégias da empresa.
• Estratificada: as regras devem evoluir sempre que necessário, mas é importante que sejam 
organizadas de forma hierárquica: definidas pela diretoria, as diretrizes exprimem a estratégia da 
empresa com relação à segurança da informação e se aplicam a toda a companhia; alinhadas com as 
diretrizes, as normas são regras definidas no nível gerencial e representam os processos e métodos 
de trabalho da instituição; e os procedimentos descrevem as ações operacionais tomadas no dia a 
dia para o cumprimento das normas – nem todos eles precisam estar listados na PSI.
• Respaldo: a PSI deve ter suporte e comprometimento total da alta direção. Isso é importante para 
que a política não fique desacreditada.
• Conhecimento: quando a PSI é operacionalizada, as pessoas precisam estar informadas e 
conscientizadas sobre os controles adotados e importância do cumprimento. Portanto, sua divulgação 
é fundamental. Os indivíduos também devem participar do processo de aprimoramento da PSI.
Para o sucesso de uma PSI, vários fatores devem ser levados em conta. Planejamento e foco nas 
pessoas (criação de comitês e conscientização de funcionários) são pontos importantes. Deve-se 
desmistificar a crença negativa de que controles de segurança atrapalham a produtividade – quando 
bem planejados essa influência pode ser mínima.
112
Unidade III
Como a avaliação, medição e aprimoramento da PSI devem ser constantes, mecanismos de auditoria 
devem ser criados. Por fim, a conformidade jurídica também é essencial. Regras da PSI não podem estar 
em desacordo com as leis.
5.2.3.2 Garantir a estrutura organizacional
Cuidados com o ativo da organização são vitais para o gerenciamento da SI. Uma empresa sem 
hierarquia, atribuição de responsabilidades, estratégias e metas claras tende a sucumbir perante as 
ameaças e vulnerabilidades presentes no setor corporativo.
Um setor deve ser responsável pela organização da SI – a implementação dos controles é da alçada 
dele. Comitês podem ser formados com componentes de outros departamentos para discutir, por 
exemplo, aspectos da PSI.
5.2.3.3 Implementar o controle de acesso
Devido à incidência de fraudes, atualmente é importante saber quem acessa e utiliza os ativos da 
empresa. Quem fez, ou deixou de fazer, acaba se tornando um ativo de informação valioso. A simples 
implementação de controles que ofereçam controle de acesso já traz embutido o serviço de autenticação 
e facilita a auditoria e evita fraudes.
Controles de segurança baseados na política de mínimos privilégios e divisão de acessos bem 
definidos são recomendados.
Uma política de mínimo acesso tem como base que os usuários devem ter apenas os acessos básicos 
necessários de um sistema. Na medida que houver necessidade, mais permissões são acrescentadas a 
cada usuário. Isso garante o controle dos usuários com mais privilégios.
Uma boa forma de exercer a divisão de acessos em um sistema é escalonar os usuários em grupos 
e subgrupos. Quando os acessos são então concedidos a tais grupos e subgrupos, em vez dos usuários 
individuais, o controle fica muito mais simples e organizado.
Há muitos sistemas que oferecem controle de acesso. Um exemplo é o Active Directory (AD), sistema 
presente nos servidores Windows. Ele permite, entre outras coisas, a criação de domínios organizacionais 
nos quais é possível a elaboração de diversos níveis de grupos e a aplicação do controle de acesso para 
serviços e arquivos.
5.2.3.4 Controlar as pessoas
As pessoas são suscetíveis à insatisfação, corrupção, suborno, desleixo, erros, sono e engano. Todos 
são ameaças aos negócios da empresa. Portanto, devem ser criados mecanismos para controlar a ação 
delas. É importante frisar que não se trata simplesmente de vigiar funcionários – a ideia é criar controles 
que possam, sem ferir as liberdades individuais, garantir a segurança e o bom o andamento do trabalho.
113
GESTÃO DE BANCO DE DADOS
A simples instalação de câmeras no ambiente inibe uma série de atos não recomendados. Evidentemente, 
nestes casos é importante que a privacidade e a liberdade individual sejam respeitadas.
 Observação
Sistemas que exigem a autenticação prévia (login) permitem o 
rastreamento das ações de um usuário em caso de erros ou fraudes. Logs 
são vitais para tanto.
5.2.3.5 Implementar controles de segurança física
A segurança física diz respeito aos ativos físicos, como: imóveis, salas, ambiente de trabalho, 
elevadores, banheiros, carros, equipamentos e ferramental de trabalho, entre outros. É importante 
proteger os ativos da ação de desgaste, quebra, uso inadequado e acidentes naturais como incêndios, 
enchentes e contaminações etc.
Por exemplo, um extintor é um controle voltado à segurança física, pois pode ser utilizado na 
prevenção de incêndios. Da mesma forma, escadas com porta corta-fogo e saídas de emergência estão 
incluídas como controles desse mesmo tipo.
Adicionar filtros, que protegem contra o excesso de tensão e a queima de computadores na rede 
elétrica da empresa também são exemplos de controles de segurança físicos.
5.2.3.6 Implementar a segurança lógica
A segurança lógica é aquela voltada para proteção de sistemas, redes, programas e dados. Há diversos 
controles de segurança que podem ser utilizados.
Um firewall é um software ou hardware projetado para proteger os recursos de uma rede. Em geral, 
está posicionado entre as redes privadas e a internet.
Internet
Firewall
Rede protegida
Figura 55 – Posicionamento de um firewall na rede privada
114
Unidade III
Um firewall funciona a partir de regras predefinidas com instruções e decisões sobre o que deve ser feito 
com os pacotes de dados que passam por uma rede. Há diversas funções que um controle de segurança 
como este pode desempenhar: análise, bloqueio, redirecionamento, permissão e alteração de pacotes de 
dados que passam pela rede; funções de roteamento e tradução de tráfego de rede; filtro (proxy) e registro 
de tráfego de entrada e saída; e análise avançada de conteúdo do tráfego (next generation) etc.
O sistema de detecção/prevenção de intrusões (SDPI) pode atuar em uma rede ou individualmente 
em um computador. Ele monitora a rede à procura de traços ou indícios que indiquem uma invasão ou 
ocorrência de um evento malicioso. Em geral, esse sistema pode trabalhar a partir de regras predefinidas, 
mas há SDPI que monitora a rede em busca de anomalias que fujam de um padrão normal estabelecido.
Quando encontra tráfego malicioso, o SDPI pode tomar decisões ou apenas alertar os administradores. 
Apesar de extremamente útil e usado ostensivamente, é uma ferramenta que muitas vezes demora para 
atingir um grau de precisão, pois como se baseia em diversas variáveis, os índices de alertas falso-positivos 
e verdadeiro-negativos podem ser altos.
 Observação
Um alerta falso-positivo indica que o SDPI alertou o administrador 
para um evento que não oferecia perigo. Neste caso, acabou chamando a 
atenção para algo que não fazia diferença.
Um alerta verdadeiro-negativo indica que o SDPI não alertou o 
administrador para um evento malicioso que oferecia perigo. Neste caso, o 
SDPI não realizou sua função com precisão.
Um antivírus é um software responsável por monitorarum computador ou ambiente de rede em busca 
de arquivos infectados por vírus (códigos maliciosos inseridos nos arquivos). Como vírus propagam-se 
através da modificação de arquivos, os antivírus fazem um trabalho de leitura e rastreamento nos 
arquivos dos computadores em busca eventuais de trechos de códigos maliciosos inseridos.
Uma virtual private network (VPN) é uma forma de comunicação segura entre dois (ou mais) 
pontos de uma rede. A segurança de uma VPN é estabelecida por meio de criptografia, sendo possível a 
implementação de confidencialidade, autenticação e integridade em um canal de comunicação. É um 
controle bastante usado quando se busca serviços de segurança em uma rede.
Há controles que unificam diversas funções. Um exemplo são os unified threat managements 
(UTM), equipamentos de detecção mais completos que agregam funções de firewall, SDPI e 
monitoramento, além de realizarem algumas análises estatísticas quantitativas e correlações.
A busca e a escolha do controle de segurança mais adequado a cada situação são tarefas bastante 
difíceis algumas vezes. Contudo, entender as funções que cada ativo executa em uma corporação, saber 
o nível de segurança que deve ser empregado na proteção e compreender os serviços de segurança 
requisitados nas situações cotidianas ajuda bastante nesse processo.
115
GESTÃO DE BANCO DE DADOS
5.2.3.7 Garantir a segurança na operação de sistemas
A norma ABNT 27002 orienta para que durante o dia a dia da empresa, as operações que envolvam 
sistemas – ativos de software, hardware, informação, pessoas e organização – estejam seguras. As 
principais recomendações são garantir a CIDA nas operações, processos de auditoria e backups regulares, 
além de regras para comunicação e descarte de informações.
5.2.3.8 Promover o desenvolvimento seguro de sistemas
Devem ser criadas regras claras para o desenvolvimento de sistemas. Como mostra a figura a seguir, 
um sistema possui cinco ciclos de vida (fases).
Projeto Desenvolvimento 
ou compra
Testes Operação Descarte
O sistema está 
sendo pensado e 
planejado
O sistema é 
colocado em testes
Parte-se para o 
desenvolvimento ou 
compra do sistema 
planejado
O sistema entra em 
operação
O sistema precisa 
ser descartado
Figura 56 – Os cinco ciclos de vida de um sistema
A recomendação da norma ABNT 27002 é que em todos os ciclos deve-se levar a cabo a preocupação 
com a segurança. Implementação de controles de segurança, processos contínuos de auditoria, 
treinamento e conscientização, criação de PSI e análise de riscos são algumas das orientações.
5.2.3.9 Arquitetar um plano de continuidade do negócio (PCN)
Um documento que detalhe procedimentos a serem executados após a ocorrência de incidentes 
ou mesmo quando uma vulnerabilidade for explorada é uma recomendação bastante interessante da 
norma ABNT 27002. Este documento é chamado de Plano de Continuidade do Negócio (PCN) e tem a 
função básica de impedir que as operações críticas da empresa sejam interrompidas.
Em geral, trata-se de um arquivo bem organizado que inclui operações de manutenção, teste, 
contingência e backups, entre outras.
Por exemplo, imagine uma empresa que possui uma operação crítica que não pode parar por falta de energia, 
como a UTI de um hospital. Um documento que detalhe a verificação semanal do gerador, assim como os passos 
necessários para seu funcionamento automático e manutenção, são imprescindíveis. Trata-se de um PCN.
5.2.3.10 Treinar um grupo para tratamento de incidentes de segurança
Não adianta ter um PCN pronto na gaveta, se não houver um time treinado e preparado para atuar 
em caso de incidentes de segurança. Além de atuar diretamente no problema, é função deste time 
116
Unidade III
notificar os incidentes de segurança e controlar as estatísticas sobre os problemas ocorridos. Isso ajuda 
na previsão de eventuais falhas e problemas futuros.
Para que seja viável a existência de um grupo assim, a companhia deve investir no treinamento de 
pessoal qualificado que possa atuar em conformidade com a PSI. Por exemplo, funcionários treinados 
da brigada de incêndio ou analistas aptos a colocar uma cópia do site da empresa em funcionamento 
em caso de ataque ou indisponibilidade.
5.2.3.11 Garantir a conformidade legal
É importante que os aspectos legais sejam verificados. Não se deve implementar controles de 
segurança que estejam em desacordo com as leis ou que desrespeitem contratos.
Os colaboradores devem ser alertados para implicações legais em caso de procedimento indevido. 
Além disso, a empresa deve ter um plano para tomada de decisões em caso de crimes cibernéticos 
cometidos por terceiros ou mesmo por colaboradores internos.
6 O DIREITO E AS NOVAS TECNOLOGIAS DA INFORMAÇÃO
6.1 As relações direito versus tecnologia
Este conteúdo procura mostrar como o direito tem importância na manipulação das novas tecnologias 
de comunicação e como o inverso também é verdadeiro. Além disso, ele traça uma linha unindo as leis 
criadas, com destaque para aquelas que tratam sobre a proteção de dados compartilhados e da garantia 
da privacidade dos usuários.
6.1.1 A tecnologia como ferramenta do direito
Um dos maiores problemas no judiciário brasileiro é o longo tempo de tramitação dos processos e 
o custo que isso representa aos cofres públicos. Este cenário se faz sentir principalmente entre aqueles 
que possuem pouca condição educacional ou financeira para acompanhar os processos ou recorrer às 
instâncias superiores.
Atualmente os efeitos do uso e da disseminação da tecnologia se fazem sentir em todas as áreas. No 
direito não é diferente – a tecnologia pode ser uma ferramenta na área.
Acesso a processos, sistemas que auxiliam na decisão, recursos de transferência de informação entre 
diferentes órgãos do judiciário, além dos próprios recursos de comunicação, que facilitam e geram 
rapidez, são ferramentas fartamente utilizadas na área jurídica.
Contudo, recursos tecnológicos mais complexos estão sendo aproveitados. A utilização da 
inteligência artificial em processos decisórios mais simples, que não exigem decisões correlacionadas, é 
uma alternativa que já vem sendo testada no setor jurídico. Da mesma forma, os recursos voltados para 
acessos e reuniões remotas têm sido empregados nas cortes em audiências a distância.
117
GESTÃO DE BANCO DE DADOS
6.1.2 O direito como ferramenta da tecnologia
A democracia pressupõe a liberdade de expressão como um princípio irrevogável dos cidadãos. 
O povo deve estar apto a entender, discutir, delegar, fiscalizar e questionar atos que sejam de seu próprio 
interesse. Menções a este direito no Art. 5° e no Art. 220° da Constituição Federal do Brasil estendem-no 
à toda esfera da sociedade, do público ao privado. O conceito também está presente no Art. 19° da 
Declaração Universal dos Direitos Humanos de 1948.
[...] Toda pessoa tem direito à liberdade de opinião e expressão; este direito 
inclui a liberdade de, sem interferência, ter opiniões e de procurar, receber e 
transmitir informações e ideias por quaisquer meios e independentemente 
de fronteiras [...].
Vem daí o conceito de que a liberdade de imprensa é fundamental nos regimes democráticos. Na verdade, 
o advento das novas tecnologias de comunicação nos fins do século XX (e-mail, internet, smartphones, redes 
sociais) até ampliou o alcance da imprensa, como transmissora de notícias. Contudo, a mesma evolução 
tecnológica dificultou a definição sobre quem exerce a função de transmissor e receptor de notícias.
Ferramentas tecnológicas permitem a comunicação imediata, boa parte dos eventos é gravada em 
tempo real, o comportamento nas redes sociais influencia eleições e depõe governos e pessoas viram 
celebridades instantâneas da noite para o dia.
Diante desses novos comportamentos, é muito importante que surjam mecanismos e leis que 
garantam o direito à liberdade de expressão. Também são imprescindíveis que os direitos trabalhistas na 
era digital e os direitos legais de quem for, de alguma maneira,atingido sejam garantidos judicialmente. 
Em suma, cabe ao Estado brasileiro assegurá-los por meio da promulgação e atualização de leis.
O conceito de direito digital diz respeito ao conjunto de regras que regula as relações sociais e 
virtuais estabelecidas com base no uso da TI. Ele, portanto, está embutido nas novas formas de comércio 
eletrônico, na relação entre pessoas, na comunicação, na gravação de conteúdo multimídia, na criação 
de programas e de conteúdos, enfim, em tudo que diz respeito à tecnologia e ao meio digital.
A adaptação às leis existentes e a elaboração de novas regulamentações são alguns dos maiores 
desafios do direito digital, já que este processo ainda está em andamento no Brasil.
Por exemplo, na reforma trabalhista, ocorrida em 2018, foi necessário abordar o chamado home 
office, estabelecendo regras para quem trabalha de casa. Outro caso é o de empresas que praticam o 
comércio eletrônico. Elas devem cumprir muitas das obrigações que as lojas físicas cumprem, como 
o direito da devolução de produtos em caso de desistência do consumidor.
Outro fator que prejudica a aplicação do direito digital é a dificuldade de aplicação das leis. O mundo 
virtual extrapola fronteiras e pode ser extremamente difícil aplicar as leis para empresas ou indivíduos 
que não estejam em território nacional.
118
Unidade III
 Observação
A adequação, principalmente de pequenas empresas, ao ambiente 
virtual pode ser difícil. Não deve ser descartado o suporte oferecido por 
instituições de consultoria e treinamentos.
6.1.3 Histórico de leis voltadas para a proteção de dados
Ainda há pouca regulamentação do direito digital no Brasil. A figura a seguir traz um histórico com 
datas de criação de leis importantes para regulação do compartilhamento de dados.
2011
Sancionada a Lei de Acesso à Informação – LAI 
(trata sobre dados pessoais de acesso público)
Proposto projeto de lei n. 2126, sobre o marco 
civil da internet (direitos e deveres de usuários e 
provedores)
2010
Consulta pública, do Ministério da Justiça, sobre 
anteprojeto de lei de proteção de dados pessoais
2013
Proposto, no Senado, o projeto de lei (PLS) n. 330, 
sobre a proteção, o tratamento e o uso dos dados 
pessoais
2012
Sancionada a Lei Carolina Dieckman (tipificação 
de crimes cibernéticos, como compartilhar dados 
pessoais sem autorização)
Proposto, na Câmara, o PL n. 4.060 sobre o 
tratamento de dados pessoais
2017
Tramitação no Congresso de dois projetos: o PL 
n. 5.276/2016, na Câmara, e o PLS n. 330/2013, 
no Senado
2016
Promulgação do Regulamento Geral de 
Proteção de Dados (GDPR, na sigla em inglês), 
na Europa
Nova consulta pública, pelo MJ, que resulta no 
PL n. 5.276/16, anexado ao PL n. 4.060/2012
2015
Aprovação, no Senado, do projeto substitutivo ao 
PLS n. 330/13
2014
Entra em vigor o Marco Civil da Internet
2019
Aprovada a criação da Autoridade Nacional de 
Proteção de Dados (ANPD), pela MP n. 869
Em discussão a PEC n. 17, que inclui a proteção 
de dados pessoais, inclusive digitais, entre os 
direitos fundamentais do cidadão
2018
Em março escândalo “Facebook-Cambridge 
Analytica“ (de uso ilícito de dados de usuários 
da rede social pela empresa de consultoria)
Em maio: entra em vigor, o GDPR, na Europa
Em agosto: sancionada a LGDP, após unificação 
dos tectos da Câmara e do Senado no PLC n. 53
2020
Entra em vigor LGDP, em agosto
MP: Medida Provisória
PEC: Proposta de Emenda à Constituição
PLC: Projeto de Lei Complementar
Figura 57 – Linha do tempo com histórico sobre a criação de leis relacionadas ao direito digital
119
GESTÃO DE BANCO DE DADOS
Aqui serão abordadas a Lei de Transparência, a Lei de Crimes Informáticos, a Lei de Informática, o 
Marco Civil da Internet e a Lei Geral de Proteção de Dados (LGPD).
6.1.3.1 Lei de Transparência
Promulgada em novembro de 2011, a lei dispõe sobre os procedimentos que a União, estados, Distrito 
Federal e municípios devem observar para garantir o acesso às informações de interesse público. Ela 
especifica que qualquer indivíduo pode solicitar acesso aos dados, desde que não representem risco ao 
Estado ou à integridade de indivíduos, como disposto no Art. 24° e Art. 25°.
 Saiba mais
A fim de visualizar a Lei de Transparência em sua integralidade, acesse:
BRASIL. Lei n. 12.527, de 18 de novembro de 2011. Regula o acesso a 
informações previsto no inciso XXXIII do art. 5º, no inciso II do § 3º do art. 37 
e no § 2º do art. 216 da Constituição Federal; altera a Lei n. 8.112, de 11 de 
dezembro de 1990; revoga a Lei n. 11.111, de 5 de maio de 2005, e dispositivos 
da Lei n. 8.159, de 8 de janeiro de 1991; e dá outras providências. Brasília, 2011. 
Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/
lei/l12527.htm. Acesso em: 2 jun. 2020.
6.1.3.2 Lei de Informática
É um conjunto de leis que garante incentivos fiscais para as empresas de tecnologia do setor de 
hardware e componentes eletrônicos que investem em Pesquisa e Desenvolvimento (P&D). O objetivo 
é alavancar investimentos na área. A lei estabelece algumas premissas e requisitos para as companhias 
se enquadrarem como beneficiárias dos incentivos, como conformidade com determinadas classes de 
produtos e emissão de relatórios técnicos.
 Saiba mais
A fim de visualizar a Lei de Informática em sua integralidade, acesse:
BRASIL. Lei n. 8.248, de 23 de outubro de 1991. Dispõe sobre a 
capacitação e competitividade do setor de informática e automação, e dá 
outras providências. Brasília, 1991. Disponível em: http://www.planalto.gov.
br/ccivil_03/LEIS/L8248.htm. Acesso em: 2 jun. 2020.
120
Unidade III
6.1.3.3 Lei de Crimes Informáticos
A adequação, principalmente de pequenas empresas, ao ambiente virtual pode ser difícil. Por isso, 
não deve ser descartado o suporte oferecido por companhias de consultoria e treinamentos. Os crimes 
digitais são outra fonte de preocupações que tem de ser levada em conta pelas instituições e pelas leis 
que regulamentam o setor.
Promulgada em novembro de 2012, ela dispõe sobre a tipificação criminal de delitos 
informáticos. Trata, entre outros assuntos, sobre crimes de modificação, observação, fabricação 
e acesso não autorizado a dados. Também engloba crimes sobre falsificações no ambiente digital e 
define as penas.
 Saiba mais
A fim de visualizar a Lei de Crimes Informáticos em sua integralidade, acesse:
BRASIL. Lei n. 12.737, de 30 de novembro de 2012. Dispõe sobre a 
tipificação criminal de delitos informáticos; altera o Decreto-Lei n. 2.848, 
de 7 de dezembro de 1940 – Código Penal; e dá outras providências. Brasília, 
2012. Disponível em: http://www.planalto.gov.br/ccivil_03/_Ato2011-
2014/2012/Lei/L12737.htm. Acesso em: 2 jun. 2020.
6.1.3.4 Marco Civil da Internet
É uma lei sancionada em junho de 2014 que define as diretrizes para o uso da internet no Brasil. Ela 
inovou ao permitir a participação popular em sua elaboração. Basicamente, o marco civil regulamenta 
o uso e a relação da internet entre usuários, operadoras e empresas de serviços.
A lei define direitos e obrigações a cada um dos elementos envolvidos na disponibilização da internet. 
Os provedores de conexão são as empresas responsáveis por fornecer conexão com a internet. Já os 
provedores de aplicação são as companhias que fornecem serviços como sites, nuvem computacional 
e e-mail, por exemplo.
Há três princípios muito bem estabelecidos nela: a neutralidade da rede; a privacidade na 
internet; e a fiscalização de acessos.
A neutralidade da rede busca coibir excessos praticados pelos provedores na prestação dos serviços 
da internet. A ideia é garantir o tratamento igualitário dos usuários.
Por exemplo, antes do marco civil era comum que provedores de conexão oferecessem pacotes de 
acesso que não cobriam todas as aplicações disponíveis na internet. Muitas vezes um usuário comprava 
um pacote de acesso mobile (pacote de dados para smartphones) que permitia um acesso limitado. Caso 
121
GESTÃO DE BANCO DE DADOS
ele quisesse acessarsites não cobertos no pacote, era obrigado a pagar mais. O marco civil pôs fim a este 
tipo de prática.
Apesar de prever algumas exceções na neutralidade, permitindo que, em casos específicos de 
segurança e funcionalidade, as empresas limitem alguns acessos, o funcionamento da lei gerou mais 
competitividade entre as empresas, melhorando os serviços.
O princípio da privacidade da rede busca garantir a inviolabilidade da comunicação através da 
internet. Ela estabelece que os provedores devem garantir o sigilo e a segurança das informações que 
trafegam pela rede. Há exceções, como ordens judiciais que visem elucidar investigações. Mas, o princípio 
é bastante abrangente e se estende a empresas estrangeiras.
A privacidade é um serviço de segurança que busca garantir que uma determinada informação não 
seja usada em desacordo com a vontade do usuário que é o seu dono. A dificuldade está justamente 
no fato de que uma informação privada não é necessariamente confidencial (sigilosa). Em geral, ela 
é fornecida pelos próprios usuários (endereço, data de nascimento, local onde estuda, profissão e 
interesses, entre outras) e é utilizada por terceiros na obtenção de vantagens sem a autorização.
O princípio da fiscalização de acessos determina que um provedor deve armazenar os dados sobre 
o tráfego de rede de um usuário por no mínimo um ano, para fins de solicitação legal. O marco civil 
diferencia os dados que servem para identificar o usuário (nome, endereço, CPF, entre outros) da forma 
como eles serão tratados (classificação, forma de armazenamento, finalidade). Estes, aliás, são princípios 
bastantes discutidos na LGPD.
O marco civil foi quem primeiro estabeleceu a necessidade de autorização do usuário para que 
seus dados sejam utilizados, assim como a liberdade de expressão. Também está incluso na lei a 
responsabilização por ações que estes usuários tomem na rede, como sanções legais contra ofensas 
e fraudes.
Por exemplo, um usuário que postar um comentário preconceituoso ou uma ofensa a alguém em 
um site está sujeito às sanções previstas na lei. A empresa que hospeda e oferece o serviço está isenta.
 Saiba mais
A fim de visualizar o Marco Civil da Internet em sua integralidade, acesse:
BRASIL. Lei n. 12.965, de 23 de abril de 2014. Estabelece princípios, 
garantias, direitos e deveres para o uso da Internet no Brasil. Brasília, 2014. 
Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/
lei/l12965.htm. Acesso em: 2 jun. 2020.
122
Unidade III
6.2 Lei Geral de Proteção de Dados (LGPD) – conceitos e justificativas
A privacidade das informações compartilhadas tem sido bastante discutida nos últimos anos. 
É compreensível, visto que grande parte das atividades da sociedade envolvem de alguma forma a troca 
de dados por meio de recursos tecnológicos. Na verdade, isso se estende desde as corporações, passando 
pela esfera pública, chegando até o cidadão comum. Não é, portanto, uma discussão que deve passar 
alheia ao grande público, mas sim questões que dizem respeito à toda a sociedade, fato que justifica a 
criação de uma lei e levanta algumas perguntas:
• por que é importante proteger as informações?
• como isso pode ser feito?
• quais são as implicações destas práticas?
Para compreendermos tudo isso, antes de estudarmos a LGPD, é preciso entender alguns 
conceitos básicos:
Informação representa conhecimento, algo com significado, que quando formalizada pode ser 
representada e armazenada na forma de dados. Podemos dizer então que um dado é a representação 
formal de um conhecimento, enquanto a informação é o significado do conhecimento armazenado.
Já que dados podem ser armazenados, por exemplo, no formato eletrônico, eles também podem ser 
compartilhados, por meio de transmissão e recebimento de arquivos. Diante disso, a necessidade de 
regular o uso, proteger o compartilhamento e garantir os direitos de liberdade e privacidade dos dados 
justifica a criação da LGPD.
A preocupação com o assunto já gera movimentações políticas há um certo tempo, com destaques 
para a Lei de Acesso à Informação em 2011, o Marco Civil da Internet em 2014 e a sanção da LGPD em 
2018. Nesse tempo entre o início das discussões e a promulgação da LGPD fica clara a evolução das 
propostas e o amadurecimento do debate entre empresas, setor público e sociedade.
Prova dessa evolução são as próprias restrições da LGPD, que não se aplicam a todos os tipos de 
dados – na verdade, se restringem aos chamados dados pessoais, excetuando, por exemplo, dados 
anônimos ou não relacionados às pessoas. Mesmo neles, há diferenças na aplicação da lei de acordo com 
o uso ou a importância dos dados.
Outro ponto importante é a função de conscientização que a LGPD possui. Nas corporações isso abre 
caminho para treinamentos e certificações que possam garantir os rumos e a conformidade da empresa 
junto aos termos da lei. Além disso, as ações proativas podem significar vantagens competitivas em um 
mundo no qual os clientes estão cada vez mais conscientes dos próprios direitos, sem contar que isso 
contribui para livrar a empresa de multas.
123
GESTÃO DE BANCO DE DADOS
Da mesma forma que as corporações, com o advento da LGPD, o cidadão comum também precisa 
se inteirar sobre o que a lei dispõe, para que consiga exigir direitos ao mesmo tempo em que cumpre 
obrigações estipuladas.
O conteúdo aqui disponibilizado busca discorrer sobre os artigos da LGPD (reproduzidos em quadros) 
e enfatizar seus principais aspectos e aplicações.
6.2.1 Introdução à LGPD
A Lei n. 13.709, de agosto de 2018, chamada de LGPD, é dividida em 9 capítulos: I – Disposições 
Preliminares; II – do Tratamento de Dados Pessoais; III – dos Direitos do Titular; IV – do Tratamento de 
Dados Pessoais pelo Poder Público; V – da Transferência Internacional de Dados; VI – dos Agentes 
de Tratamento de dados Pessoais; VII – da Segurança e das Boas Práticas; VIII – da Fiscalização; 
e IX – da Autoridade Nacional de Proteção de dados (ANPD) e do Conselho Nacional de Proteção de 
Dados Pessoais e da Privacidade.
Vale mencionar que as regras da lei são aplicáveis não somente aos dados compartilhados na 
internet, mas a qualquer tipo de coleta ou análise pela qual um dado pessoal possa passar. Não é a 
intenção mostrar aqui todos os artigos da lei, mas, sim, resumir os principais pontos e regras que devem 
ser aplicadas.
A LGPD tem como foco o controle e a garantia de privacidade dos dados pessoais. Já no primeiro 
artigo, essa preocupação é clara:
Art. 1º: Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive 
nos meios digitais, por pessoa natural ou por pessoa jurídica de direito 
público ou privado, com o objetivo de proteger os direitos fundamentais de 
liberdade e de privacidade e o livre desenvolvimento da personalidade da 
pessoa natural.
Os dados pessoais são definidos no Art. 5º e dizem respeito a um indivíduo (pessoa física) que possa 
ser identificado. O Art. 1º denota com clareza a ideia de proteger os dados pertencentes a um indivíduo. 
Por exemplo, pode-se perceber como a lei é voltada para o aspecto pessoal.
O Art. 2º estabelece os fundamentos da proteção dos dados pessoais:
Art. 2º: A disciplina da proteção de dados pessoais tem como fundamentos:
I – o respeito à privacidade;
II – a autodeterminação informativa;
III – a liberdade de expressão, de informação, de comunicação e de opinião;
124
Unidade III
IV – a inviolabilidade da intimidade, da honra e da imagem;
V – o desenvolvimento econômico e tecnológico e a inovação;
VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII – os direitos humanos, o livre desenvolvimento da personalidade, a 
dignidade e o exercício da cidadania pelas pessoas naturais.
Na verdade, a ligação entre a pessoa e os dados pessoais do indivíduo pode ser vista ao longo de 
todo o texto da LGPD, sendo esse um dos seus principais aspectos.
6.2.2 Algumas definições
Para que fiquem claros os objetivos da lei, algumas definições (Art. 5º) sãoimprescindíveis:
• Dado pessoal: informação relacionada à pessoa natural identificada ou identificável. Por exemplo, 
o prontuário médico, a idade, uma foto ou a opinião de alguém. Também existem os dados 
pessoais diretos, que podem identificar diretamente um indivíduo, como a impressão digital 
ou uma foto. Já os dados pessoais indiretos são aqueles que se vinculam indiretamente a um 
indivíduo e permitem seu rastreamento, como uma placa de carro ou um número de CPF.
• Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião 
política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado 
referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa 
natural. Estes dados só devem ser coletados mediante necessidade legítima e com o consentimento 
expresso do titular (dono da informação). Há exceções legais e de saúde. Por exemplo, um dado 
sensível sobre a condição médica de um paciente, que não quer disponibilizá-lo, talvez precise ser 
compartilhado com médicos caso o indivíduo esteja com problemas de saúde ou à beira da morte.
• Dado anonimizado: dado relativo ao titular que não possa ser identificado, considerando a 
utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. A ideia é que 
a coleta de dados anonimizados sobre um mesmo indivíduo não permita a identificação desta 
pessoa. Os dados são realmente considerados anônimos se não permitem o reconhecimento da 
identidade original. Um exemplo de dados pessoais anônimos são as pesquisas de opinião, que 
apesar de coletar dados não permitem que uma convicção seja diretamente ligada a um indivíduo. 
Também existem os dados pseudoanonimizados, que têm por objetivo proteger a identidade de 
um indivíduo com o uso de pseudônimos.
• Tratamento: toda operação realizada com dados pessoais, como as que se referem à coleta, 
produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, 
processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, 
modificação, comunicação, transferência, difusão ou extração.
125
GESTÃO DE BANCO DE DADOS
• Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
• Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as 
decisões referentes ao tratamento de dados pessoais. É um agente de tratamento que gerencia 
o acesso e uso dos dados. Entre outras funções, um controlador deve saber qual a finalidade dos 
dados pessoais coletados. Isso implica que ele tem a responsabilidade de apenas coletar o que for 
necessário, adequado e relevante para a atividade requisitada.
• Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento 
de dados pessoais em nome do controlador. Assim como o controlador, trata-se de um agente 
de tratamento.
• Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o 
tratamento de seus dados pessoais para uma finalidade determinada.
Autoridade Nacional de Proteção de Dados (ANPD) é órgão da administração pública federal 
responsável por zelar, implementar e fiscalizar o cumprimento da LGPD. Vinculada à presidência da 
República com natureza transitória, autonomia técnica e decisória, a ANPD possui diversas competências 
e particularidades, todas listadas com detalhes no Art. 55°. A seguir consta um resumo com os principais 
tópicos, que deixa clara a função do órgão:
Art. 55-J. Compete à ANPD:
I – zelar pela proteção dos dados pessoais, nos termos da legislação;
II – zelar pela observância dos segredos comercial e industrial;
III – elaborar diretrizes para a Política Nacional de Proteção de Dados 
Pessoais e da Privacidade;
IV – fiscalizar e aplicar sanções;
V – apreciar petições de titular não solucionadas no prazo;
[...]
IX – promover ações de cooperação com autoridades de proteção de dados 
pessoais de outros países;
X – dispor sobre as formas de publicidade das operações de tratamento de 
dados pessoais;
[...]
XIII – editar regulamentos relatórios e procedimentos sobre proteção de 
dados pessoais e privacidade;
[...]
126
Unidade III
XVI – realizar auditorias;
[...]
XVIII – editar procedimentos diferenciados para que empresas de pequeno 
porte possam adequar-se à lei;
Nas próximas seções serão explicadas e discutidas as principais características e objetivos da LGPD. 
Além disso, são sugeridas formas de adequação das empresas à nova lei.
6.2.3 Abrangência da LGPD
A abrangência geográfica da lei também é importante e está descrita no Art. 3º, no qual fica claro 
que a LGPD vale para dados e atividades gerados ou executados no território nacional. Ainda se aplica 
quando os dados pessoais forem coletados no país, estiverem relacionados a indivíduos presentes 
no país e quando oferecer serviços ou produtos ao público brasileiro. Por exemplo, uma empresa de 
marketing, sediada no exterior, que manipula dados sobre consumo coletados no Brasil, está sujeita 
aos termos da LGPD.
Há exceções à manipulação de dados pessoais descritas no Art. 4º. Basicamente, ficam de fora os 
dados pessoais usados para fins artísticos, jornalísticos, acadêmicos (com algumas exceções listadas 
nos Art. 7º e 11º) ou que não tenham objetivos econômicos. Por exemplo, quando um indivíduo gera 
dados sem preocupações econômicas que só servem mesmo para seu uso particular. Também exclui da 
proteção dados relacionados à segurança na esfera pública, gerados fora do país, de pessoas jurídicas e 
de pessoas físicas falecidas.
Existe a possibilidade de um jornal citar dados pessoais de um político sem estar sujeito aos 
termos da lei.
Outro exemplo pode ser o de uma mãe que anota os horários que os vizinhos saem e voltam para 
casa após o trabalho. A intenção é incentivar que seus próprios filhos saiam e voltem para casa nos 
mesmos horários, evitando os períodos menos movimentados do bairro. Neste caso, ela não inflige a lei, 
visto que os dados gerados são para uso próprio, sem interesse econômico.
 Observação
A LGPD se sujeita a normas setoriais que regulamentam dados. Portanto, 
eventuais normas setoriais podem moldar as determinações da LGPD.
• Sugestões de adequação: o ideal é que empresas, entidades, pessoas físicas, órgãos públicos e 
militares, entre outros, que lidem com dados pessoais se adequem às regras da lei. Isso pode ser 
feito por meio da contratação de consultorias e treinamentos.
127
GESTÃO DE BANCO DE DADOS
6.2.4 Fundamentos e propósitos
Os fundamentos e os propósitos do tratamento de dados são tratados no Art. 6º e buscam limitar a 
forma como os dados pessoais podem ser apresentados. Os fundamentos são os seguintes:
• Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e 
informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com 
essas finalidades.
• Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo 
com o contexto do tratamento.
• Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas 
finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação 
às finalidades do tratamento de dados.
• Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração 
do tratamento, bem como sobre a integralidade de seus dados pessoais.
• Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos 
dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.
• Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis 
sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos 
comercial e industrial.
• Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais