Segurança da Informação: Mecanismos de Proteção Dentro das Organizações

Por Thaís Netto - 27/04/2024 as 12:14

A Segurança da Informação é fundamental para que sejam protegidos os dados e as informações das organizações. Com a crescente utilização dos dispositivos digitais e de transações digitais aumentam os riscos de perda de dados, de roubo de informações, de vazamentos de dados e de indisponibilidade de serviços. Salienta-se que a Segurança da Informação pode ser alcançada pela implementação de controles, de políticas, de procedimentos, de processos, assim como, de estruturas de software e de hardware. 

Este artigo objetiva tratar dos mecanismos de proteção dentro das organizações. Para tanto, inicia-se a exposição indicando as formas de ataques de segurança, que comprometem a integridade das informações e têm ocorrido de maneira cada vez mais frequente. Posteriormente, serão abordados os mecanismos de segurança e de proteção, bem como, serão indicados alguns aspectos importantes sobre a Lei Geral de Proteção de Dados - LGPD. 

Ataques de Segurança 

Os ataques de segurança são ações que comprometem a disponibilidade, a integridade, o sigilo e a autenticidade de uma informação pertencente a determinada organização. Segundo Alexandre Guimarães et al. (2006) os ataques de segurança podem ser divididos em quatro categorias: interrupção, interceptação, modificação e falsificação. 

O ataque de interrupção objetiva destruir ou interromper o serviço oferecido, um dos exemplos desse ataque é o Denial of Service - DoS ou negação de serviço, que se refere ao envio de grande número de requisições para determinado computador, de maneira que o respectivo computador não consiga responder a todas elas. 

O ataque de interceptação pretende capturar o que está sendo transmitido sem que o sistema perceba, ou seja, ataca-se a privacidade das informações. Com esse ataque são geradas cópias de informações, de arquivos e de programas não autorizados. 

O ataque de modificação acontece quando há alteração da informação que está sendo transmitida, ou seja, ataca-se a integridade da informação. O ataque de falsificação ocorre quando o atacante se passa pelo usuário do sistema, com o intuito de obter informações para transmitir dados na rede.

Princípios fundamentais de segurança e os Mecanismos de Segurança 

A gestão de segurança engloba os princípios da confidencialidade, da integridade e da disponibilidade. A confidencialidade também conhecida como exclusividade ou sigilo está relacionada com a limitação de quem pode acessar os tipos de informação. A confidencialidade está preocupada com o sigilo da informação e pode ser obtida pela criptografia de dados à medida em que os dados são armazenados e transmitidos (HINTZBERGEN, 2018).

A integridade está relacionada com a proteção da informação contra alterações não autorizadas. Exemplos de medidas de integridade: segregar funções, indicando a necessidade de duas pessoas para realizar modificações significativas e gravar as ações dos usuários, permitindo que seja possível identificar quem realizou a alteração. Destaca-se que também pode ser assegurada a integridade pela criptografia. 

A disponibilidade, por sua vez, objetiva garantir que um recurso esteja disponível sempre que necessário (CERT, 2012). A disponibilidade engloba a oportunidade, a continuidade e a robustez. Exemplos de medidas de disponibilidade: gestão e armazenamento de dados com o intuito de perder o mínimo de informações, bem como, os procedimentos de backup. 

A Cartilha de Segurança para Internet (2012) traz outros princípios além dos indicados acima, quais sejam, a autenticação, a identificação, a autorização e o não repúdio. A autenticação é utilizada para verificar se a entidade é realmente quem se diz ser; a identificação para permitir que a entidade possa se identificar; a autorização para determinar as ações que podem ser executadas pela entidade e o não repúdio com o objetivo de evitar que a entidade negue que ela executou determinado ato quando de fato executou. 

Para garantir que os princípios delimitados sejam adotados pela organização podem ser utilizados mecanismos de segurança, para auxiliar na proteção de dados e garantir que a informação não seja violada. Para tanto, é imprescindível que as organizações elaborem políticas de segurança que deverão ser seguidas por todos os colaboradores, assim como, deverão ser implementados outros mecanismos de proteção. 

Os mecanismos de segurança podem ser entendidos como “mecanismos projetados para detectar, prevenir ou se recuperar de um ataque de segurança” (GUIMARÃES et al, 2006). De acordo com a Cartilha de Segurança para  Internet (2012), os principais mecanismos de segurança são: a política de segurança, a notificação de incidentes e abusos, as contas e senhas, a criptografia, as cópias de segurança, as ferramentas antimalware, firewall e filtro antispam. 

A política de segurança define o conjunto de normas e de diretrizes que devem ser respeitadas por todos os integrantes da organização, nela são elencadas as responsabilidades e as penalidades às quais os colaboradores estão sujeitos caso descumpram as normas e as diretrizes da referida política de segurança. Pode-se dizer que a política de segurança abarca outras políticas, tais como a política de senhas, de backup, de privacidade, de confidencialidade e de uso aceitável (PUA). 

Com relação à notificação de incidentes e abusos, cabe informar que é importante para a organização se proteger e ajudar outras pessoas / organizações a detectarem problemas, como computadores infectados e violações de políticas de segurança. No que se refere às contas e às senhas aponta-se que são utilizadas para controlar o acesso a sites oferecidos na internet. 

Proteção de Dados

O mundo na atualidade está cada vez mais dependente de dados pessoais e do tratamento de dados, tanto no meio digital quanto no meio físico. O Regulamento Geral de Proteção de Dados pretende reforçar a proteção de dados pessoais em todos os Estados membros da União Europeia. 

A Lei Geral de Proteção de Dados - LGPD se inspirou no Regulamento indicado, que surgiu após a ocorrência de diversos escândalos de vazamentos de dados e de informações sem o consentimento do titular do dado na Europa. A LGPD prevê medidas aptas para proteger os dados pessoais, em especial, os dados sensíveis, tornando necessário que se estabeleça a governança de dados. Pode-se dizer que a governança de dados está relacionada com a gestão e o controle das informações da organização. 

Na LGPD são previstas sanções administrativas para os agentes de tratamento de dados nos casos de infrações às disposições da lei indicada. Assim, as organizações que incorrerem em vazamentos de dados e de informações, ainda que de forma acidental, serão punidas. 

O artigo 48 da LGPD prevê que o controlador - pessoa responsável pelas decisões sobre o tratamento de dados -  deve comunicar em prazo razoável à Autoridade Nacional  e ao titular do dado pessoal a ocorrência do incidente de segurança, que possa acarretar risco ou dano relevante ao titular. 

Além disso, o controlador deve mencionar a descrição da natureza do dado afetado, as informações sobre os titulares envolvidos, indicar medidas de segurança para proteger os dados, os riscos relacionados ao incidente, os motivos da demora - quando a comunicação não for imediata - e as medidas que foram ou serão adotadas para mitigar ou reverter o prejuízo causado. 

A LGPD é benéfica para o titular dos dados pessoais e para a própria organização, pois prevê a utilização de medidas técnicas e administrativas para proteger os dados pessoais de acessos não autorizados, bem como, de situações acidentais ou ilícitas de destruição, de perda, de alteração, de comunicação ou de difusão de dados. 

A LGPD aponta ainda, a necessidade de comprovar a observância e o cumprimento das normas de proteção de dados pessoais - prestação de contas. Salienta-se que podem ser implementados programas de governança em privacidade, que contenham, por exemplo, políticas e salvaguardas adequadas com base em processo de avaliação de impactos e riscos à privacidade, além de contar com planos de resposta a incidentes e remediação. 

Muitos dispositivos da LGPD ainda carecem de regulamentação pela Autoridade Nacional de Proteção de Dados. Cabe informar que no dia 26 de agosto de 2020 foi publicado o Decreto nº 10.474, que aprova a Estrutura Regimental e o Quadro Demonstrativo dos Cargos em Comissão e das Funções de Confiança da Autoridade Nacional de Proteção de Dados. 

Diante do exposto, percebe-se a importância da LGPD e como a referida lei pode contribuir para garantir a proteção de dados e a segurança da informação nas organizações. A LGPD além de trazer a preocupação com a proteção de dados dos usuários e dos clientes, possibilita que a organização esteja em harmonia com o mercado interno e externo, o que interferirá nas transações e nas negociações, que devem ser pautadas na confiabilidade, na transparência, na segurança e na integridade. 

Observação:

Conforme indicado na página institucional do Senado, foi considerado prejudicado o artigo 4º da Medida Provisória nº 959 de 2020, que adiava o início da vigência da LGPD, dessa forma, o adiamento previsto não acontecerá. Cabe indicar que a LGPD entrará em vigor após a sanção do Presidente. 

Referências:

Cartilha de Segurança para Internet. Cert. 2 ed. São Paulo: Comitê Gestor da Internet no Brasil, 2012.

Decreto nº 10.474 de 26 de agosto de 2020.

Guia de Boas Práticas LGPD. Governo Federal. Abril de 2020. 

GUIMARÃES, Alexandre Guedes.; LINS, Rafael Dueire.; OLIVEIRA, Raimundo. Segurança em Redes Privadas Virtuais - VPNs. Rio de Janeiro: Brasport, 2006. 

HINTZBERGEN, Jule. et al. Fundamentos em Segurança da Informação: com base na ISO 27001 e na ISO 27002. Tradução Alan de Sá. Rio de Janeiro: Brasport, 2018. 

Lei nº 13.709 de 14 de agosto de 2018.

NOTA de esclarecimento - Vigência da LGPD. Senado. 26 ago. 2020.