DIA 28 DE JANEIRO, É O DIA INTERNACIONAL DA PROTEÇÃO DE DADOS PESSOAIS

A escolha da data foi instituída no dia 26 de abril de 2006 pelo Comitê de Ministros do Conselho da Europa (CE), como forma de celebrar a Convenção 108, uma das primeiras normas escritas com o objetivo de garantir o direito à privacidade e especificar boas práticas no tratamento automatizado de dados pessoais.

A intenção da criação desta data é para conscientizar os usuários sobre a importância da proteção dos dados que são transmitidos online e estimular as empresas a serem mais responsáveis sobre esse tema.

Vale lembrar, porém, que o direito à privacidade é considerado fundamental desde 1948, quando a Organização das Nações Unidas (ONU), proclamou a Declaração Universal dos Direitos Humanos. NO artigo 12, lê-se: “ninguém será sujeito a interferências em sua vida privada, em sua família, em seu lar ou em sua correspondência, nem a ataques à sua honra e reputação. Todo ser humano tem direito à proteção da lei contra tais interferências ou ataques”.

No Brasil, a discussão sobre a Proteção de Dados Pessoais já dura mais de uma década e com a publicação da LGPD (Lei Geral Proteção de Dados) o Brasil se enquadra no grupo de países com legislação específica de proteção de dados pessoais, trazendo maior segurança jurídica nas relações comerciais, inclusive internacionais.

Hoje é dia de lembrar a importância da LGPD e da sua adequação em todas as empresas brasileiras, bem como é dia de lembrar a importância de se manter um ambiente seguro para receber os dados dos titulares.

Assim, segue abaixo algumas recomendações de segurança que devem ser consideradas para a proteção do ambiente que receberá os dados dos titulares, segundo a LGPD:

• Avaliar o ambiente – Este é um ótimo ponto inicial, pois avaliar o ambiente permitirá ter o conhecimento de quais caminhos o dado fará, quem lidará com o dado e onde ele permanecerá em descanso, tornando a tarefa de protegê-lo bem menos complexa.

• Usar um Data Loss Prevention – Esta solução de segurança permite que regras sejam criadas visando impedir que dados saiam do ambiente sem o consentimento dos responsáveis. Caso não seja possível espalhar versões de DLP por estações de trabalho e servidores, a avaliação do ambiente mostrará quais pontos devem ser analisados por ele. Vale lembrar que boa parte dos vazamentos de dados ocorre por funcionários insatisfeitos ou por descuidos.

• Atualizar os softwares – Manter softwares atualizados e com a última versão dos patches de segurança instalados é essencial, não apenas para o sistema operacional, mas também para as eventuais aplicações e serviços instalados no ambiente. Não é possível focar apenas nos dispositivos que irão tratar os dados, independente da forma desse tratamento.

• Manter os hosts seguros – As estações de trabalho costumam ser as principais portas de entrada para malware, sendo necessário sempre torná-las o mais seguras possível. Optar por soluções mais robustas que contenham recursos além do antivírus. Estas soluções devem estar presentes em todos os hosts da rede, estações de trabalho, servidores e dispositivos móveis.

• Segregar as redes – Como em geral as estações de trabalho são os pontos de entrada utilizados por cibercriminosos para comprometer uma rede, é importante mantê-las separadas dos servidores e demais dispositivos. Essa separação não deve ser apenas física, o ideal é que elas estejam em redes distintas, a comunicação entre elas seja protegida por firewall e com regras restritas para a comunicação.

• Realizar backups de forma periódica – Caso o ambiente tenha sido comprometido e os atacantes não tenham conseguido seu objetivo principal, por exemplo, ter acesso aos dados, é possível que eles procurem causar algum dano ao ambiente, tornando certos dispositivos inacessíveis. Ter um backup recente dos dados fará com que quase não haja danos reais ao ambiente. A execução do backup em uma periodicidade aceitável para o negócio é tão importante quanto a validação do arquivo após a execução do processo. Afinal o backup só e útil se ele estiver disponível e íntegro.

• Revisar as permissões de acesso – É uma boa prática conceder os acessos visando manter os usuários com o mínimo possível para que consigam exercer suas funções cotidianas, e apesar deste ponto ser muitas vezes menosprezado pelas empresas, ele é de suma importância. Vamos supor que o ambiente foi protegido e as regras antivazamento e proteções estão voltadas para todos os dispositivos das áreas responsáveis por manipular os dados, mas um erro de concessão de acesso foi cometido e toda a equipe de estagiários ou funcionários terceirizados têm os mesmos privilégios de acesso que as equipes que contam com autorização para manipular os dados. Não há cenário tecnológico em que isso não seja considerado uma catástrofe, além de aumentar drasticamente as chances de vazamento dos dados.

• Conscientizar os usuários – Manter todos os usuários da rede, sem exceção, bem instruídos sobre os riscos que eles e a empresa correm, ensiná-los o mínimo de segurança da informação para que eles possam saber o que fazer ao lidarem com e-mails, anexos ou links suspeitos. Deixando-os à vontade para reportarem qualquer acontecimento atípico no ambiente para as equipes responsáveis.

Para a proteção de sua empresa, consulte sempre um advogado.