Segurança da informação – Parte 2: qual o mínimo necessário?

*Por Guilherme Guidi* e Rodrigo Pôssas**

Tornou-se certo jargão, por vezes repetido à exaustão, de que o básico bem feito funciona. Sem adentrar na procedência dessa afirmação – que quase sempre tem seus méritos -, é comum (e pertinente) se indagar: ok, mas o que seria o básico, então? Em cenários de startups e demais negócios limitados pela escassez de recursos, especialmente orçamentários, a pergunta adquire especial relevância – e, juntamente com ela, a sua resposta.

Em um contexto corporativo cada vez mais penetrado pela tecnologia, tornou-se cada vez mais importante buscar proteger os seus ativos da maneira descrita acima, ou seja, fazendo o básico, mas de forma eficiente. E é nesse contexto que a temática da Segurança da Informação se insere: como posso proteger os meus ativos fazendo o básico?

Antes de responder a essa pergunta, apenas um lembrete importante: esse artigo faz parte de série de outros artigos sobre a temática de segurança da informação. Caso ainda não tenha tido oportunidade, recomendamos fortemente que acesse o nosso primeiro artigo aqui para que consiga acompanhar, com maior profundidade, o tema. Continuemos.

Do que estamos falando, mesmo?

No primeiro artigo da nossa série, falamos sobre o conceito de segurança da informação, sua relevância e de que forma as organizações precisam se preocupar com o tema. No final, finalizamos com a seguinte proposição: demonstrar que a adoção de medidas simples e que superam as barreiras orçamentárias de qualquer startup podem ser extremamente eficazes na defesa dos seus ativos.

Na tentativa de responder a essa pergunta e buscar orientação externa, é comum se deparar com verdadeiro “mar” de opções: (i) frameworks nacionais e internacionais, (ii) normas ISO, (iii) guidelines, (iv) normas e leis internacionais, dentre tantos outros. Um cenário complexo e, por vezes, indecifrável.

Diante desse panorama, a Autoridade Nacional de Proteção de Dados (ANPD) publicou o Guia de Segurança da Informação para Agentes de Tratamento de Pequeno Porte com o objetivo de direcionar startups e pequenas empresas na aplicação de medidas de segurança da informação mínimas.

Segundo a ANPD, essas são sugestões de medidas mínimas e cada empresa deve avaliar seu próprio contexto para decidir quais são os controles de segurança adequados para seu caso. No entanto, especialmente se a sua startup está apenas começando a se preocupar com o tema, esse guia é um excelente ponto de partida.

No primeiro artigo da nossa série, destacamos que as medidas de segurança (também chamadas de “controles”) usualmente se dividem em três diferentes categorias, podendo esses controles serem técnicos, administrativos e físicos.

Comportamento e segurança

As medidas administrativas, também chamadas organizacionais, são direcionadas justamente a influenciar o comportamento dos colaboradores da organização. Nesse sentido, a ANPD traz alguns exemplos abaixo que podem ser bastante eficazes:

Política de Segurança da Informação (PSI): Elaborar e implementar uma política de segurança que estabeleça diretrizes para proteção dos ativos da empresa, especialmente dados pessoais, sistemas, dispositivos e redes. A política deve incluir tópicos como senhas, backups, compartilhamento de dados, atualizações de software, uso de antivírus, e-mails corporativos, dentre outros. No entanto, o mais importante é deixar claras as responsabilidades dos colaboradores na proteção das informações da empresa, sejam elas dados pessoais de clientes ou informações estratégicas e segredos de negócio.

Conscientização e Treinamento: Promover treinamentos regulares para os funcionários sobre proteção de dados e segurança da informação, incluindo boas práticas e orientações sobre riscos em várias temáticas. Esses treinamentos geralmente focam em deixar claras as responsabilidades dos colaboradores mas também conscientizar (e ajudar a prevenir) ataques e erros, como phishing e engenharia social.

Gerenciamento de Contratos: Ainda na seara de medidas administrativas, a ANPD destaca a importância de se firmar termos de confidencialidade com funcionários e incluir cláusulas de segurança em contratos com fornecedores. Estas devem abordar, dentre outros, o compartilhamento de dados, a responsabilidades das partes e as regras claras para a proteção de informações (caso queira saber um pouco mais, também já escrevemos sobre esse tema aqui).

Barreiras tecnológicas

Ao contrário das medidas administrativas, que possuem cunho mais jurídico e são voltadas para regulamentar as ações das pessoas, as medidas técnicas (também chamadas de medidas lógicas) são implementadas diretamente em dispositivos, redes e sistemas. Apesar de parecer um tema extremamente complexo, muitas vezes medidas eficientes podem ser implementadas por qualquer pessoa com mínima familiaridade com tecnologia. Alguns exemplos:

Controle de Acesso: (i) garantir que apenas pessoas autorizadas possam acessar os dados pessoais (por exemplo, estabelecendo níveis de acesso e permissão para acesso a diferentes pastas de arquivos digitais); (ii) implementar senhas fortes, evitando que uma conta de usuário seja utilizada por mais de uma pessoa; e (iii) sempre que possível, adotar autenticação multifator.

Segurança dos Dados Armazenados: coletar e armazenar apenas dados realmente necessários para seus objetivos e ativar funções de criptografia nos dispositivos de armazenamento.

Segurança das Comunicações: (i) assegurar que as transmissões de dados sejam realizadas por conexões criptografadas (TLS/HTTPS) e (ii) proteger serviços de e-mail com ferramentas anti-spam e antivírus, além de criptografar documentos sensíveis antes do seu envio.

Gerenciamento de Vulnerabilidades: (i) manter sistemas e aplicativos atualizados, instalando correções de segurança assim que disponíveis e (ii) utilizar softwares antivírus atualizados para prevenir ameaças e realizar varreduras regulares nos dispositivos.

Uso de Dispositivos Móveis: separar dispositivos pessoais dos institucionais e, quando aplicável, implementar controles de segurança, como autenticação multifator e gerenciamento remoto de dados.

Serviços em Nuvem: (i) contratar serviços que atendam aos requisitos de segurança estabelecidos e incluir cláusulas de proteção de dados nos contratos e (ii) utilizar autenticação multifator para acesso a sistemas em nuvem que armazenem informações sensíveis.

Um ponto de partida

Essas são as principais medidas sugeridas pela ANPD para pequenas organizações e essas medidas podem ser extremamente eficientes na proteção contra qualquer tipo de incidente. A implementação, por exemplo, do duplo fator de autenticação (controle técnico) tem o potencial de impedir diversos ataques e dos mais diversos atores. Essas medidas, aliadas às regras definidas pelos controles administrativos, podem garantir um sistema simples, mas bastante robusto, para proteção dos seus ativos.

Mas lembremos: essas são medidas básicas, destinadas a empresas de pequeno porte e por isso nem sempre serão suficientes para proteger dados sensíveis ou sistemas tecnológicos mais complexos. O importante então é lembrar que este é um ponto de partida e que a jornada para proteger informações estratégicas/confidenciais e seus sistemas contra ataques é um esforço contínuo, que precisa estar atento ao seu contexto: características da sua operação, regulações setoriais, riscos particulares, entre outros.

Caso tenha ficado interessado em saber mais sobre o tema da Segurança da Informação e como ele pode impactá-lo na sua organização, entre em contato conosco.

Teremos o maior prazer em atendê-lo(a).

Para saber mais sobre o Freitas Ferraz Advogados, consulte nosso site e não deixe de nos acompanhar no LinkedIn e no Instagram!

* Guilherme Guidi é head de Direito Digital do Freitas Ferraz Advogados, Doutor e Mestre em Direito pela USP e Professor da PUC-Minas.

** Rodrigo Pôssas é advogado associado de Direito Digital do Freitas Ferraz Advogados, bacharel em Direito pela Faculdade de Direito Milton Campos e pós-graduado em Direito Digital, Proteção de Dados e Cibersegurança pela PUC-PR.

Assuntos