Proteção de Dados: Legislação e Realidade

Alexandre Vasconcelos

Introdução

É indiscutível que, já no início de 2020, as leis de proteção de dados deixaram de ser apenas propostas de logo prazo para efetivamente se tornarem parte importante da rotina das organizações na Europa, América do Norte e Brasil. Como cada região tem suas particularidades, uma lei ou regulamento único dificilmente funcionaria para todos. No entanto, a GDPR (General Data Protection Regulation) liderou o movimento de proteção de dados na Europa. 

Em maio de 2018 a legislação europeia entrou em vigor, e as demais regiões acenderam uma luz de alerta, sentindo-se pressionadas a fazer o mesmo: criar regras para proteção de dados. Daí nasceram a LGPD (Lei Geral de Proteção de Dados) no Brasil e CCPA (California Consumer Privacy Act) na Califórnia, Estados Unidos. Certamente, no próximos anos, surgirão novas legislações em outras regiões do mundo, com propósitos semelhantes.

Benefícios da Proteção de Dados

Apesar das regras mais voltadas para a proteção e controle de dados por parte de seus donos – os usuários – as organizações podem se beneficiar em contrapartida. Uma cultura corporativa que privilegia a proteção de dados acaba ganhando com os efeitos colaterais deste tipo de estratégia, constituindo sistemas mais robustos, estáveis e seguros. Isto aumenta sua disponibilidade e qualidade de serviço, e ainda evita problemas judiciais devido a vazamento de dados, criando impactos para marca e para o negócio. Os resultados de uma pesquisa da Cisco (Data Privacy Benchmark Study, 2019) [1] revela que as empresas em conformidade com a GDPR são mais seguras, comparadas as demais.

Após um considerável tempo em vigor da GDPR, muitas empresas (europeias e que possuem negócios na união europeia) ainda não estão em conformidade com a legislação, portanto sujeitas a multas altíssimas (até 20 milhões de euros ou 4% de seu faturamento anual). Até o final de janeiro de 2020, o regulamento gerou 114 milhões de euros na União Europeia, desde que entrou em vigor; e no momento da escrita deste artigo, pode chegar a 329 milhões de euros, se as multas contra a British Airways e Marriot forem confirmadas.

Considerando as penalidades, estar em conformidade com os regulamentos de proteção de dados já confere um benefício significativo: ficar longe das multas. Além disso, existem outros efeitos colaterais na conformidade, como uma quantidade menor de dados afetados, menor tempo fora de atividade em decorrência de ataques, e menores perdas financeiras. 

Um outro benefício da conformidade com as leis de proteção de dados é a forma como passa lidar com as informações de terceiros. A GDPR, por exemplo, exige que a organização conheça os detalhes a respeito dos dados que obteve, como por quanto tempo permanecerão retidos, onde estão armazenados, como podem ser recuperados e quem possui acesso. Uma vez que se tenha isso mapeado torna-se muito mais intuitivo o início do processo de proteção.

Como Proteger?

A preparação de uma organização exige a adoção de ferramentas adequadas para suportar o processo. Boa parte destas ferramentas estão relacionadas ao mundo de cibersegurança, como por exemplo um gerenciador de acessos privilegiados, permitindo que a empresa – em caso de vazamento de informações – cumpra a regra de informar em 72h que tipo de dados e os responsáveis por isso. Portanto, é um requisito básico possuir uma ferramenta de gerenciamento de credenciais.

A autenticação de multi-fator (MFA – Multi Factor Authentication) também é um aliado importante para mitigar vários tipos de ataques, entre eles os de engenharia social, muito comuns por serem dificilmente endereçados pelo uso de tecnologia. Existem vários tipos de MFA, como o recebimento de códigos por SMS ou e-mail. Tecnologias que privilegiam métodos de autenticação que não dependam da dupla nome do usuário e senha e que mantenham o token de autenticação protegido, devem ser escolhidas. Autenticar usuários por meio de um aplicativo como segundo fator também é fundamental. Além disso, ainda que as credenciais de usuário sejam comprometidas, é altamente desejado que seja possível bloquear o acesso aos dados. Organizações e governos, que possuem dados críticos, devem buscar este tipo de produto.

O armazenamento adequado também é fundamental. Obter dados de usuários ou clientes faz parte de praticamente todos os processos de negócios, pois o relacionamento tem início entre duas partes: fornecedor e cliente. A obtenção de dados pode ser automatizada (com o uso de sistemas ou aplicativos que armazenam dados em bancos de dados, cenário mais comum), ou manualmente, colhendo informações por meio de formulários em páginas web. Neste segundo caso, os dados nascem desestruturados, já acrescentando uma camada de complexidade para sua proteção. 

Considerando dados já estruturados, o próximo desafio é armazena-los utilizando métodos que – mesmo que ocorra um evento de vazamento – estes dados tenham pouca ou nenhuma utilidade. As técnicas utilizadas para promover esta proteção são a tokenização e criptografia. A primeira é uma técnica onde um dado sigiloso é substituído por símbolos. Existem várias abordagens para criação de tokens, mas o importante é que em sua maioria são criados aleatoriamente e sem nenhuma relação matemática com o dado original, por isso é muito difícil decifra-los. A segunda é uma técnica bem conhecida e amplamente aplicada; criptografar dados tornou-se um processo relativamente simples, pois existem muitas soluções prontas para colocar em prática. No entanto, é preciso saber bem o que se está aplicando e se a tecnologia é a mais adequada, como criptografia simétrica e assimétrica, por exemplo.

Conclusão

O artigo 32 da GDPR é bem didático ao recomendar as principais abordagens de segurança ligadas ao regulamento, tais como:

  • Tokenização e criptografia de dados
  • Assegurar a confidencialidade, integridade e disponibilidade das informações
  • Garantir a recuperação dos dados de forma rápida e segura, após um incidente técnico
  • Proceder com testes e avaliações periódicas para garantir a efetividade das medidas técnicas e organizacionais na manutenção da segurança das informações.

Ainda há uma longa estrada para que as organizações estejam em completa conformidade com as leis de proteção de dados, sejam as existentes ou as que ainda estão por vir. No entanto, é crucial compreender que os benefícios são bem substanciais e que deixar para depois ou simplesmente fazer ajustes somente adiará problemas futuros.

Mais do que uma solução tecnológica, somos uma decisão estratégica para as organizações.

Nossa missão é redefinir a relação das empresas com a cibersegurança e a experiência dos usuários no processo de autenticação e acesso a ativos tecnológicos.