Lei Geral de Proteção de Dados: observar os dados pode ser uma boa forma de iniciar a adequação | WeLiveSecurity

Lei Geral de Proteção de Dados: observar os dados pode ser uma boa forma de iniciar a adequação

Faltando pouco mais de um ano para que a Lei Geral de Proteção de Dados (LGPD) no Brasil entre em vigor, muitas empresas ainda tem dúvidas se essa lei se aplicará a elas. Entenda por que quase todas as empresas devem procurar se adequar e confira formas de abordagem sobre a proteção dos dados.

Faltando pouco mais de um ano para que a Lei Geral de Proteção de Dados (LGPD) no Brasil entre em vigor, muitas empresas ainda tem dúvidas se essa lei se aplicará a elas. Entenda por que quase todas as empresas devem procurar se adequar e confira formas de abordagem sobre a proteção dos dados.

Certo tempo atrás falamos sobre seis aspectos da Lei de Proteção de Dados que empresas devem saber para poderem se adequar as novas regras. Ainda assim muitas dúvidas surgiram sobre o que se deve fazer, se é necessário ou não procurar uma adequação de ambiente, se a empresa pode ou não ser escopo desta lei que visa devolver o poder dos dados aos próprios usuários.

Como mencionamos na publicação anterior sobre o assunto, a Lei geral de Proteção de Dados é baseada na lei europeia denominada General Data Protection Regulation, que dá origem a sigla GDPR como é amplamente conhecida.

Abaixo mostramos alguns pontos de comparação entre as duas leis.

LGPD GDPR
MULTA Até 2% do faturamento com limite de R$ 50 milhões De € 10 milhões, ou o máximo de 2% do faturamento anual, podendo chegar a € 20 milhões, com o máximo de 4% do faturamento anual
INÍCIO DA VIGÊNCIA Agosto de 2020 25 de Maio de 2018
ABRANGÊNCIA Nacional Nacional e Internacional
PROPÓSITO Dar direitos dos dados aos proprietários
ENCARGOS DA PROTEÇÃO DE DADOS Controlador e Operador/Processador
AUTORIZAÇÃO EXPRESSA PARA COLETA DE DADOS Sim
USO DOS DADOS PARA UMA ÚNICA FINALIDADE Sim
NÃO COMPARTILHAMENTO DE DADOS Sim

Caso queira conferir as duas leis na íntegra:

O ponto que normalmente desperta dúvidas é: “quais tipos de empresas devem ficar atentas a estes pontos e se adequar?” Todas as empresas devem estar adequadas.

Dizer que todas as empresas de um país precisam se adequar parece muita coisa, não é mesmo? Mas não é.

Todas as empresas, independente do porte, tratam dados pessoais, mesmo aquelas que não tem exposição direta a Internet. Esses dados pessoais normalmente vem de um ponto comum a todas as empresas, os funcionários. Minimamente haverão dados de funcionários que devem ser adequadamente protegidos.

Certamente as medidas adotadas para proteger os dados de uma pequena empresa serão menos robustas do que as medidas adotadas por uma multinacional, mas em caso de não conformidade com a lei ambas estarão sujeitas a sanções.

IMPORTANTE: Sempre que mencionamos a lei brasileira também destacamos a lei europeia e isso não acontece somente devido a semelhança entre elas. Entendemos que diversas empresas hoje têm uma ou mais áreas para acesso de seus usuários e, como sabemos que a Internet não possui fronteiras, nada impede que um cidadão europeu acesse ou se cadastre em um site de uma empresa brasileira. Em caso de vazamento da empresa brasileira as sansões europeias também podem ser aplicadas. Devido a semelhança, adequando o ambiente à LGPD as empresas estarão preparadas também para a GDPR, isso diminui consideravelmente a exposição a sansões.

Para que tenhamos uma maior dimensão ao falar da proteção de dados, abordaremos o tema da forma mais abrangente possível, não só falaremos do dado em si, mas também sobre das formas que ele pode ser encontrado*.

*Este esclarecimento sobre a forma de apresentação dos dados e possíveis formas de tratamento visa complementar os pontos que sugerimos em nossa publicação anterior.

Sobre os dados

Quando tratamos de proteção de dados em segurança da informação adotamos algumas posturas para tratá-los, uma das mais abrangentes é tratar o dado nas três formas que ele pode se apresentar, em descanso (at rest), em uso (in use) e em trânsito (in transit).

Daremos algumas sugestões de interpretação dos dados nessas três formas no intuito de estimular ideias para adequação ou adaptação de ambientes a fim de atender as exigências da nova lei. São elas:

#Em descanso (at rest)

O que é: É considerado dado em descanso todo dado armazenado, independentemente de onde ele esteja.

Onde é encontrado: HDs, pendrives, bancos de dados, notebooks e computadores, DVDs, Blu-ray, documentos impressos e quaisquer meios que armazenem o dado enquanto ele não estiver sendo usado ou trafegado de nenhuma forma.

Como proteger: A proteção de dados em descanso normalmente é abordada com segurança física, como mostram os exemplos:

  • Proteção do acesso ao local onde as mídias ou servidores estão, por meio de sala cofre ou cofre com acesso restrito, checkpoints com validação por um agente de segurança ou outros meios equivalentes.
  • Criptografia completa ou parcial utilizando algoritmo robusto e confiável da mídia, sempre protegido por senha robusta para que, caso o criminoso tenha acesso físico a ela não seja capaz de ter acesso aos dados armazenados. É possível também criptografar campos do banco de dados, caso necessário.
  • Quando as mídias não forem mais necessárias um descarte adequado deve ser feito, tornando os conteúdos das mídias irrecuperáveis. Há diversos meios da própria equipe responsável pelo descarte promover esta destruição, bem como há empresas que trabalham especificamente com esse descarte.

#Em trânsito (in transit/motion)

O que é: É considerado dado em transito todo dado que está em deslocamento entre dois pontos.

Onde é encontrado: Quase todas as formas de interação com meios digitais envolvem dados em trânsito. As interações mais comuns são:

  • Acessar páginas de Internet
  • Download ou upload de arquivos seja por FTP, página de internet ou outros meios equivalentes.
  • Envio e recebimento de e-mails
  • Colocar arquivos em um servidor na rede
  • Envio de informações através de aplicativos de celular
  • Envio de documentos ou mídias digitais, como HDs, DVDs equivalentes para uma outra localidade física.

Como proteger: Proteger dados em trânsito exige que uma avaliação seja feita por todos os caminhos que o dado, que será protegido, irá passar.

Vamos citar como exemplo uma empresa fictícia que possui uma página de Internet onde seus usuários podem fazer um cadastro para ter acesso a mais funcionalidades.

O site todo, ou minimamente em sua parte autenticada, deve possuir um protocolo seguro para que os usuários possam inserir seus dados de usuário e senha sem o risco de que alguém os intercepte no meio do caminho. Isso pode ser obtido utilizando o protocolo HTTPS para hospedar a página e utilizar certificados de segurança adequados como o TLS 1.3. Meios seguros para transferências de arquivos podem ser adotados utilizando o SSH ao invés do FTP.

Supondo que a empresa coloque as informações de usuário e senha em um banco de dados, o mesmo deve estar atualizado com os devidos patches de segurança e o campo de senha deve estar criptografado. Todas as formas de acesso ao banco de dados devem ser controladas, para que criminosos não tenham acesso indevido a ele através de SQL Injection ou ataques equivalentes.

Uma boa programação do site aumenta consideravelmente o nível de segurança da aplicação. Dispositivos destinados a proteção de aplicações também podem ser usados, como WAFs e DBFs.

Esta empresa fictícia possui alguns fornecedores e parceiros de confiança e precisa enviar e receber arquivos constantemente, uma boa alternativa é a utilização de VPN, que mantém um túnel criptografado estabelecido entre duas ou mais localidades e permite um tráfego de informações mais direto entre os usuários.

Nossa empresa precisa de documentos impressos ou mídias, há a possibilidade de lacrar a bolsa ou recipiente que irá conter os documentos transportados. Contando sempre com um funcionário de confiança ou empresa destinada a esse tipo de transporte. Para mídias é possível utilizar os meios de proteção como criptografia em conjunto a segurança do transporte.

Para aplicativos, em caso de desenvolvimento de apps pela empresa que busca adequação é necessário programá-los utilizando as melhores práticas de segurança, protegendo-a em todos os aspectos possíveis. Para utilização de apps para transferência de informações, certifique-se de que o aplicativo é desenvolvido de forma adequada por uma empresa conhecida.

Um breve exemplo nos traz diversos desdobramentos no que tange Segurança da Informação e este mesmo tipo de análise pode ser aplicada a qualquer ambiente, seja para adequação à LGPD ou para melhoria contínua de ambiente.

#Em uso (in use)

O que é: É considerado dado em uso todo dado que esta alocado na memória ou que está sendo processado de alguma forma pelo processador ou meio equivalente

Onde é encontrado: Quando uma pessoa ou sistema interage com um dado, ele é considerado em uso. Dos exemplos clássicos estão a abertura de um arquivo, a consulta de usuários no AD, um SELECT sendo feito no banco de dados, tudo isso é considerado dado em uso.

Como proteger: Dados em uso são considerados difíceis de se proteger devido a sua volatilidade. Apesar de existirem soluções com tecnologias que conseguem fazer uma análise de memória, como alguns DLPs por exemplo, diversas empresas optam por proteger apenas os outros tipos de dados. Isso pode ser um grande equívoco quando se trata de evasão de dados, pois não se sabe quais ferramentas ou pessoas os criminosos tem à disposição, e o atacante pode já estar inserido em nossa empresa fictícia a fim de roubar dados. Além do DLP outras soluções são capazes de fazer varredura de memória, mas com fins diferentes, como é o caso das soluções de proteção de endpoint.

Mesmo faltando pouco tempo para que a lei brasileira entre em vigor ainda é possível buscar adequações de ambiente para que a empresa inicie em conformidade com a lei. Recomendamos não deixar o início das adequações para o último momento para que análises mais robustas possam ser feitas e hajam menos pontos ou nenhum ponto a ser adequado em agosto do ano que vem.

Discussão