Quando começamos a estudar sobre Privacidade e Proteção de Dados é bastante comum escutarmos que é uma área multidisciplinar e que o profissional que pretende trabalhar com isso deve ter conhecimentos, principalmente, em assuntos como Direito, Tecnologia da Informação, Segurança da Informação, Gestão, dentre outras. E é natural que, com base nesta informação, o estudante ou profissional do Direito ou de outra área que seja ligada à TI comece a ficar um tanto quanto desesperado, ou até desestimulado, por não ter familiaridade ou domínio técnico com tecnologia. Começam a surgir indagações como “eu não sei nada de informática, o que eu vou fazer?” ou “vou ter que aprender a programar para trabalhar na área?”. Se pudéssemos compilar todas as dúvidas em uma única pergunta, esta talvez fosse: o que eu preciso saber sobre Segurança daInformação para trabalhar com a Lei Geral de Proteção de Dados?
A resposta para esta pergunta não é simples e nem é a pretensão deste artigo determinar uma via única como salvação para quem tem todas essas dúvidas. A ideia é tentar dar um norte para quem está começando a trilhar seu próprio caminho nessa área tão complexa e interessante.
É óbvio, também, que uma pessoa que domine estas diversas áreas de conhecimento tem nas mãos ferramentas para se destacar profissionalmente, mas isto não lhe garante absolutamente nada, pois é necessário dedicação e estudos constantes. Isso também não significa que quem não tem pleno domínio de alguma dessas áreas não possa se destacar. Os caminhos estão abertos para todo tipo de profissional, cabe a cada um definir aquele que mais se identifica e estudar.
Veremos daqui em diante alguns conceitos básicos que espero que sirvam de ajuda para quem está iniciando nos estudos.
O que é segurança da informação?
O primeiro passo é entender que Segurança da Informação e Tecnologia daInformação não são sinônimos. Segundo a empresa de consultoria Gartner, uma das mais respeitadas na área, Tecnologia da Informação “é um termo comum para definir todos os recursos de tecnologia para o processamento de informações, incluindo softwares, hardwares, tecnologias de comunicação e serviços relacionados”.
Já a Segurança da Informação está mais voltada para a forma como as informações e dados de uma empresa são protegidos de ataques ou ameaças, lembrando, porém, que nem todas estas informações estão em formato digital e podem não estar sob o guarda-chuva da área de TI. As informações podem estar impressas em um papel em qualquer departamento da empresa, assim como podem estar na cabeça de cada colaborador que ali trabalha, podendo ocorrer vazamentos de dados através de uma simples conversa no elevador do prédio.
Dado e informação
Informação é o dado ou um conjunto de dados que tem significado em algum contexto para aquele que a está recebendo. O número de um apartamento de uma pessoa, se obtido de forma isolada, é apenas um dado. Porém quando juntamos este dado a outros dados, como a cidade, a rua e o nome do edifício nós podemos ter a informação de onde esta pessoa reside. Esta informação pode ser falada, processada ou armazenada. Mesmo que não esteja inserida em um banco de dados da organização, alguém pode ter esta informação armazenada em sua mente e passar para outra pessoa simplesmente falando.
As normas da família ISO/IEC 27000:2018
Em termos gerais, estas formam um conjunto de normas voltadas para aGestão da Segurança da Informação nas organizações. Dentre elas, podemos destacar a norma ISO/IEC 27001:2013, que, segundo o próprio site da ISO, define requisitos para estabelecer, implementar, manter e melhorar continuamente umSistema de Gestão de Segurança da Informação no contexto da Organização. O entendimento de “sistema” aqui neste caso não é no sentido apenas de um software utilizado para este fim, mas de todo um conjunto de procedimentos a ser implementado em uma área específica ou em toda a organização. Vamos tratar este sistema pela sigla SGPD.
Segundo esta família de Normas, a Segurança da Informação está baseada no tripé CID (em inglês, CIA), que são as siglas para Confidencialidade, Integridade e Disponibilidade. Estes três atributos orientam a análise, planejamento e implementação de todo e qualquer SGPD. A maioria das literaturas da área incluem ainda Autenticidade e o Não-repúdio entre os atributos. Todos estes atributos determinam e garantem a confiabilidade das informações da organização.
Confidencialidade, segundo a ISO 27000, é a propriedade que determina que a informação não é disponibilizada ou divulgada a indivíduos, entidades ou processos não autorizados. É a confidencialidade, portanto, quem garante que as informações estejam com o acesso restrito a apenas um grupo predeterminado de pessoas.Se uma pessoa de fora deste grupo acessar tal informação, há uma quebra da confidencialidade e, por conseguinte, uma falha na segurança da informação daquela organização.
Integridade é “a propriedade da exatidão e completeza da informação”.Significa que a organização deve se preocupar em não ocorrer mudanças não autorizadas no conteúdo da informação. A integridade garante que os dados estejam completos, corretos e exatos, tornando-os verdadeiros. Quando uma informação ou um dado é alterado de forma não autorizada, tornando-o um dado não condizente com a realidade, há uma quebra da integridade.
Já a disponibilidade significa “a propriedade de ser acessível e utilizável sob demanda por uma entidade autorizada”. É fazer com que o dado esteja disponível no momento que uma pessoa ou um software que tenha autorização para isso possa acessá-lo naquele momento em que se faz necessário.Se um funcionário de uma organização tentar acessar os dados, por exemplo, doCPF de um cliente no momento de uma venda de um produto e o sistema por algum motivo ficar fora do ar, ou a internet cair, este será um exemplo de uma quebrada disponibilidade.
Supondo uma situação hipotética de um ataque de um hacker à rede ou aos sistemas de uma organização, onde este indivíduo acessa o banco de dados dos clientes.No momento em que ele acessa os dados, há uma quebra da confidencialidade, pois ele é uma pessoa não autorizada visualizando aqueles dados. Se este hacker altera algum dado de algum cliente, tornando-o incorreto, quebra-se a integridade.Se ele, para piorar ainda mais a situação, criptografa estes dados impedindo o acesso pelo sistema ou pelos funcionários autorizados, há uma quebra da disponibilidade.Ou seja, podemos ter um único incidente de segurança envolvendo a quebra de um atributo isoladamente ou de um destes atributos em conjunto.
Autenticidade é “a propriedade que garante que a informação é proveniente da fonte anunciada e que não foi alvo de mutações ao longo do processo”. Quando esta definição é lida pela primeira vez parece se confundir um pouco com a integridade, mas na verdade a autenticidade trata da fonte da informação.Se aquela informação que ali está é proveniente de tal pessoa. Exemplificando, suponhamos que uma determinada informação circula em uma organização como sendo uma determinação de um diretor executivo, mas, na verdade, não foi este diretor quem deu tal ordem, há uma quebra da autenticidade desta informação, pois a fonte anunciada é falsa.
Em complementação à Autenticidade, temos o Não-repúdio, que é “a propriedade que garante a impossibilidade de negar autoria em relação a uma transação anteriormente feita”. Quando utilizamos um caixa automático de banco e colocamos nossa digital para nos identificarmos de forma biométrica, estamos dando ao banco uma prova de não-repúdio, pois não poderemos questionar a transação bancária realizada naquele momento, assim como estaremos também dando uma prova de Autenticidade, pois é o titular da conta que está utilizando o caixa eletrônico naquele momento.
Ameaças, riscos e vulnerabilidades
Ameaça, segundo a ISO 27000, é algo que tem o potencial de causar um incidente indesejado que pode resultar em dano a um sistema ou organização. A ameaça pode ser um atacante ou um evento que explora uma vulnerabilidade. A entidade que tira vantagem de uma vulnerabilidade é conhecida como um agente de ameaça.
Vulnerabilidade é uma fraqueza de um ativo ou controle que pode ser explorada por uma ou mais ameaças. A vulnerabilidade caracteriza a ausência de uma garantia que pode ser explorada.
Um hacker que invade um sistema de forma não autorizada é um agente de ameaça. O fato de um computador não ter um antivírus ou um firewall protegendo a rede é uma vulnerabilidade. Ameaça é o simples fato desse hacker (agente de ameaça) tentar invadir o sistema, se utilizando dessa vulnerabilidade.
Já o risco é a probabilidade de um agente de ameaça tirar proveito de uma vulnerabilidade e do impacto no negócio correspondente. Está ligado, portanto, à quantificação dessa probabilidade. A organização pode assumir este risco ou tentar mitigar o risco. Se uma organização tem uma filial no Brasil ela dificilmente vai se preocupar com o risco de um terremoto de larga escala destruir todos os seus equipamentos, pois a probabilidade de acontecer este tipo de desastre aqui no país é extremamente baixa. Já se esta mesma organização possui outra filial no Chile, ela vai ter uma preocupação maior comeste tipo de evento, já que o risco de uma ocorrência é muito maior naquele país.
Incidente, de acordo com a ISO 27000, é indicado por um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. O fato de ocorrer um incidente nem sempre significa que um problema grave ocorreu. Um hacker ético pode invadir uma rede explorando uma vulnerabilidade, mas não acessar nenhum dado e nem gerar danos para a empresa, apenas com a intenção de mostrar para a organização que a vulnerabilidade existe. Neste caso, houve um incidente, mas não existiram consequências graves. Ou um colaborador do RH de uma empresa imprime a folha de pagamento de determinada pessoa e deixa, por descuido, o papel na impressora à mostra por uma hora, porém ninguém vê e, depois de uma hora, este papel é descartado pelo colaborador. Houve, nesta situação, um incidente de segurança, poisos dados ficaram expostos, mesmo sem haver um vazamento de dados.
Desastre é um grande incidente que ameaça a continuidade do negócio, se ocorrer. Cabe à empresa implementar, se possível, medidas alternativas caso um desastre ocorra, como é o caso de um terremoto ou um furacão destruir uma de suas unidades.
As organizações devem, então, implementar uma política de segurança da informação para mitigar os riscos e eliminar as ameaças ao seu negócio. Estas políticas devem estar sempre atualizadas e sendo revistas periodicamente. Podem ser feitas através de documentos, regulamentos e normas internas.
Existem diversas outras definições e termos vinculados à segurança da informação, mas os expostos acima nos dão uma visão introdutória sobre a área. Quase todas as definições que vimos aqui foram extraídas das normas ISO/IEC27000:2018 e sua família. Portanto, fica evidente que um bom caminho para aprofundar os conhecimentos na área é estudar todas estas normas.
_____________________________________________________________________________________________________________________________________________
