11 . 12 . 2019

PRIVACIDADE E PROTEÇÃO DE DADOS — OS DADOS SÃO O NOVO PETRÓLEO DO SECULO XXI

Nos últimos anos a tecnologia cresceu de forma exponencial trazendo grandes benefícios para várias áreas do conhecimento, com as vastas ferramentas tecnológicas, grande quantidade de dados são geradas e disponibilizadas para extração do conhecimento, que são usados por empresas para obter vantagem no mercado. Esses dados são explorados através de um conjunto de ferramentas e técnicas como a ciência de dados, mineração de dados, tomada de decisão baseada em dados. Ganhando cada vez mais atenção nos negócios, os dados mostram que, estatisticamente, quanto mais orientada uma empresa, mais produtiva ela é.

O volume de dados criados, compartilhados e analisados de consumidores e empresas cresce exponencialmente. Os pessoais são tidos como o novo petróleo, têm um valor ainda maior. As pessoas ainda não têm ideia de quanto valem suas informações. A privacidade e a segurança digital tornaram-se requisitos fundamentais para estabelecer a confiança com os clientes.

Os dados pessoais são qualquer informação que permite identificar um indivíduo. Pode ser o nome, o apelido, informações sobre renda, consumo, hábitos de navegação, preferências, cidade e endereço residencial, um endereço de IP, dados de localização etc.

Nos próximos anos as empresas terão que priorizar a privacidade, proteção de dados, transparência, portabilidade e acesso para seus clientes, criando e estabelecendo programas de treinamento e sensibilização sobre privacidade e segurança da informação para seus colaboradores. Bem como por reavaliar políticas e procedimentos diante das novas exigências da LGPD (Lei Geral de Proteção de Dados), para estar em compliance e demostrar que os dados de seus clientes estão protegidos.

PERGUNTAS

O que é uma tomada de decisão baseada em dados?

São decisões baseadas em uma grande quantidade de dados para uma maior precisão e sucesso nos resultados. É decidir sem se basear em “achismo”, a tomada de decisão mostra que, estatisticamente, quanto mais orientada por dados a empresa for, mais ela é produtiva.

O que é informação?

Informação é um recurso especial para toda organização. Gestores utilizam a informação para tomada de decisão fazendo com que a organização alcance seus objetivos e melhorem seu desempenho. Assim, a informação tem importância estratégia, e impulsionada com a utilização de tecnologia da informação.

Como as empresas podem proteger os dados?

Existem vários frameworks (modelo para atingir uma funcionalidade específica) de segurança da informação, assim como as recomendações de segurança pela família ISO (Organização Internacional de Normalização), NIST (Instituto Nacional de Padrões e Tecnologia), implementação de ferramentas (Criptografia de Disco, Firewall, Mobile Device Management, Prevenção de Perda de Dados, Endpoint:, Proxy, IPS/ IDS entre outras), tanto em software como hardware, treinamento dos colaboradores da empresa, atualização dos manuais e das políticas, criação de plano de gerenciamento de risco, e os processos de segurança da informação, tais processo norteiam o gestor de cada organização acerca de controles comuns que devem ser considerados. Um dos documentos fundamentais para a proteção da informação é a política de segurança da informação. As políticas são diferentes das normas e procedimentos na medida em que se constituem no alicerce para elaboração dos demais documentos.

Falhas na segurança da informação comprometem a informação e podem representar tanto prejuízos financeiros como danos à imagem das organizações (POSTHUMUS; VON SOLMS, 2004), reforçando a necessidade de sua proteção.

O que uma política de segurança da informação deve conter?

A política de segurança da informação deve conter declarações sobre o comprometimento da direção da organização, responsabilidades gerais e específicas, conscientização, gerenciamento de riscos, objetivos de controle e consequências da violação da política. Os controles têm um papel relevante na segurança da informação, pois é por meio deles que a segurança é obtida e de alguma forma devem ser referenciados na política. O controle possibilita o gerenciamento dos riscos de proteção da informação por meio de procedimentos.

O que são controles?

Procedimento padrão sistemático implementado para atenuar vulnerabilidades, bem como para proteger ativos através de medidas preventivas e corretivas.

O que é vulnerabilidade?

Situação caracterizada pela falta de medidas de proteção adequadas. Uma vulnerabilidade possui um grau de severidade associado, por exemplo, crítico, moderado ou baixo. Pode ser uma vulnerabilidade de origem administrativa, técnica ou física.

O que são ameaças?

Possibilidade de dano aos ativos da empresa, a qual afeta atributos de segurança específicos e exploração de vulnerabilidades. Pode ser de origem humana ou natural, e ter como fonte um evento acidental ou uma ação deliberada.

Qual é o objetivo da conscientização e treinamento?

A maioria dos incidentes de segurança conta com a participação dos usuários — marcada pela expressão “o elo mais fraco” — seja pela imperícia ou a indução ao erro pelo atacante, por exemplo, engenharia social. É importante a necessidade da criação de uma cultura de segurança que deve ser incorporada pelos usuários de tecnologia em toda a empresa.

Adefinição de segurança da informação pode ser resumida como a proteção da informação, de modo a preservar as suas propriedades de confidencialidade, integridade, disponibilidade, autenticidade e não repúdio, evitando que as vulnerabilidades dos ativos a ela relacionados sejam exploradas por ameaças e possam ocasionar perdas para os negócios.

Thiago Magalhães — Analista de Segurança