• Alan Duarte

05 principais medidas de segurança de dados pessoais para Startups.


gif

A Segurança da Informação passou a ser uma das preocupações centrais ultimamente, principalmente devido aos diversos incidentes de segurança que são divulgados pela mídia e por portais especializados. Há um corriqueiro ditado entre os profissionais da Segurança da Informação que diz: não é questão de “se”, mas de “quando” você sofrerá um ciberataque. Esta pode ser uma verdade angustiante demais de se ler, mas é um dos preços que pagamos pelas facilidades oferecidas pela digitalização e com o qual temos que nos acostumar e adotar medidas necessárias a fim de reduzir os prejuízos. E com o advento das Leis de Proteção de Dados (em especial a LGPD) as exigências de segurança dos dados pessoais ganharam contornos ainda mais significativos e urgentes.


Você pode argumentar que exigir mecanismos extremamente rigorosos para manter a Segurança dos Dados Digitais é um fardo pesado demais para as empresas, principalmenteas de pequeno porte e as startups. Mas isso não precisa ser assim! A Autoridade Nacionalde Proteçãode Dados (ANPD), considerando as peculiaridades dessas empresas, publicou recentemente um Guia Orientativo destinado a esses tipos de empresas.


Das medidas previstas nesse documento, além do conhecido antivírus e firewall, ressaltamos e detalhamos algumas, tanto técnicas quanto administrativas. Essas medidas não exigem esforços desproporcionais pelas empresas, mas são capazes de promover um ambiente minimamente seguro.


1. Conscientização e Treinamento: mais que um conjunto de normas proibitivas, a LGPD busca a criação de uma cultura de privacidade e proteção de dados. Portanto, medidas educativas, voltadas à conscientização e ao treinamento das pessoas é, talvez, o primeiro passo a ser dado. Ainda que se adote as medidas técnicas mais avançadas e robustas para manter a segurança dos ativos, se não houver uma conscientização das pessoas e um adequado treinamento acerca de boas práticas de segurança, o flanco que é aberto na proteção da informação é suficientemente grande para ser explorado por pessoas mal intencionadas. Sendo assim, não apenas as questões técnicas devem ser consideradas, mas também os elementos da conhecida “engenharia social” devem ser abordados. Para tanto, sugere-se que algumas informações sejam passadas a todos os que interagem, ou podem interagir, com dados, sobretudo pessoais, tais como:

  • i) utilizar controles de segurança dos sistemas de TI relacionados ao trabalho diário (como senhas robustas, não anotar senhas em post-its colados no monitor);

  • ii) não clicar em links recebidos na forma de pop-up de ofertas promocionais ou em links desconhecidos que chegam por e-mail;

  • iii) manter em gavetas ou em lugares afins documentos físicos que contenham dados pessoais;

  • iv) bloquear a máquina sempre que se afastar do local de trabalho, para evitar acesso de terceiros; e

  • v) promover a participação em eventos abordando a política de segurança da informação da empresa.

2. Gerenciamento de contratos: ainda no âmbito administrativo, é imprescindível a elaboração e a revisão de contratos, de modo a prever responsabilidades relacionadas à confidencialidade das informações, transparência no tratamento de dados e condutas que devem ser adotadas, como não divulgar informações, principalmente dados pessoais a que se tenha acesso. Assim, elaborar termos de confidencialidade (non-disclosure agreement-NDA) que devem ser assinados com os colaboradores, bem como termos e cláusulas contratuais afins são medidas sugeridas.


3. Controle de acessos: também chamado de segmentação lógica de acessos, esta talvez seja uma das primeiras (para não dizer a mais importante) das medidas técnicas a ser adotada a fim de manter níveis seguros da informação, especialmente no âmbito digital. Trata-se, basicamente, de conceder acesso apenas a quem necessita ter acesso, isto é, estabelecer graus de privilégios: se um colaborador não realiza atividades tratando dados pessoais dos outros colaboradores, não se deve permitir que ele tenha acesso a esses dados. A premissa que deve ser adotada é a do need to know, isto é, o princípio do menor privilégio; e do privacy by default, ou seja, por padrão o acesso a dados pessoais e a estruturas relacionadas deve ser restringido ao máximo, considerando as particularidades de cada usuário. Uma medida que aumenta o nível de segurança em relação aos acessos (além das senhas robustas) são os múltiplos fatores de autenticação, os quais se utilizam de tokens enviados para dispositivos móveis, via de regra, a fim de confirmar a identidade do usuário (exemplo disso são as mensagens de texto que os aplicativos de bancos costumam enviar para confirmar o acesso).


Em suma, conforme destacado pela ANPD, essa medida consiste em processos de autenticação, autorização e auditoria.

  • i) a autenticação identifica quem acessa o sistema ou os dados;

  • ii) a autorização determina o que o usuário identificado pode fazer; e

  • iii) a auditoria registra o que foi feito pelo usuário.

4. Minimização da coleta de dados: previsto também como um princípio da proteção de dados, disposto no art. 6º da LGPD, essa medida diz respeito ao cuidado que se deve terem relação à quantidade e à natureza dos dados que são tratados. Não havendo necessidade de tratar um certo tipo ou volume de dados, escolha-se não tratá-lo. Essa medida é importante tanto para cumprir com uma determinação legal (e assim evitar quaisquer tipos de sanções), quanto para evitar que se compre ônus desnecessários, pois quanto mais dados são tratados maiores são as chances de incidentes e maiores são as responsabilidades e medidas que devem ser tomadas.


5. Gerenciadores de senhas: por fim, uma medida bastante eficaz para a qual chamamos atenção diz respeito aos controles e cuidados que se deve ter com as senhas. Para atender às exigências de criação de senhas fortes: criação de senhas longas, com caracteres especiais e até aparentemente aleatórias, é preciso mecanismos para guardar a senha, pois nesses casos a memória humana não é a opção mais adequada. Para solucionar esse problema existem os gerenciadores de senhas, os quais são basicamente sistemas destinados a armazenar senhas e gerenciar seus acessos de forma segura, estabelecendo mecanismos de criptografia, monitoramento de acessos, dentre outras medidas. A título de exemplo, tem-se os gerenciadores que já são oferecidos pelos softwares de antivírus, bem como softwares avulsos, tais como Nordpass, Dashline e RoboForm.


Essas são apenas algumas medidas de segurança da informação que se amoldam à realidade das empresas de pequeno porte e startups, pois não exigem grandes times de profissionais da área ou adoção de tecnologias de ponta e ampla estrutura. Outras medidas podem ser associadas a estas, mas apontamos as cinco medidas acima como um ponto de partida, para atender tanto às expectativas dos titulares de dados pessoais e parceiros empresariais, quanto para observar as diretrizes legais estabelecidas pela LGPD. Para implementar essas medidas e buscar outras mais adequadas a cada empresa, é sempre importante buscar profissionais especialistas em LGPD e Segurança da Informação.


Continua interessado em saber mais sobre o tema? Clique aqui e explore mais sobre esse e outros assuntos inovadores e importantes.