Privacidade de dados versus segurança de dados na nova era, por Christian Melendez*
/ Para que a empresa possa se adequar à LGPD é preciso compreender quais informações devem ser protegidas e quais as ferramentas básicas para isso
/ A atual pandemia da Covid-19 trouxe um novo cenário, onde as empresas estão sofrendo um aumento de ataques cibernéticos que têm como objetivo encontrar vulnerabilidades em seus sistemas. Independentemente do tamanho, toda empresa é um potencial alvo dos invasores. E quando os sistemas estão coletando dados pessoais de usuários, a privacidade se torna crucial. Se esses dados pessoais forem expostos ou caírem em mãos erradas, consequentemente podem prejudicar a reputação do titular ou suas finanças, bem como a da empresa que coletou esses dados. Assim, é hora de adotar uma abordagem proativa e se adequar à Lei Geral de Proteção de Dados (LGPD), que está prevista para entrar vigor em maio de 2021, conforme a MP 959/2020.
Inspirada na legislação europeia (General Data Protection Regulation), em vigor desde maio de 2018, a LGPD foi criada para trazer mais segurança e transparência quanto ao uso dos dados pessoais compartilhados pelos usuários brasileiros, estabelecendo deveres de quem coleta a informação, direitos do cidadão e penalidades aplicáveis. Outros países e estados americanos, como a Califórnia, seguiram o mesmo caminho.
Como funciona a privacidade de dados hoje? E o que você pode fazer para garantir a segurança de dados confidenciais? Antes de fazer algumas recomendações, vamos conhecer a fundo o que é privacidade de dados e como ela difere da segurança dos dados.
Privacidade de dados x segurança de dados
Os sistemas de privacidade de dados supervisionam o processamento adequado dos dados coletados dos usuários e o modo como eles são compartilhados com terceiros, se for necessário ou permitido pelas regulamentações locais. Enquanto a segurança de dados protege todos os dados contra o acesso não autorizado e a corrupção de dados ao longo de seu ciclo de vida, a privacidade de dados utiliza as mesmas proteções que a segurança. No entanto, a privacidade de dados exige uma mentalidade diferente, pois, nesse caso, há um foco em proteger as informações de um indivíduo, não todos os dados em geral. Você precisa especificar quais dados serão protegidos e quem é o titular. Por exemplo, você pode começar perguntando, “a quem pertencem os dados?”; são aspectos importantes porque, como empresa, você provavelmente está coletando mais dados do que o necessário e é essencial estar ciente do perfil de cada um deles.
Além disso, a perspectiva do invasor é diferente na privacidade de dados. Um invasor pode visar seu sistema apenas como parte de um ataque mais importante. Veja algumas recomendações para melhorar a sua política de privacidade de dados:
Criptografando dados em trânsito e em repouso
Um bom método é pensar primeiro que os dados que seus sistemas coletam podem cair em mãos erradas, mesmo que você conte com um nível de segurança adequado. Nunca se sabe quando os dados de um usuário podem ser expostos; então, você deve dificultar a leitura dos dados pelos invasores. Isso é possível implementando uma remediação para ameaças como identificação ou divulgação de informações, o que pode reduzir as consequências.
A criptografia dos dados é crucial. Você deve proteger dados em trânsito e em repouso. Por exemplo, é essencial executar a autenticação de segurança da camada de transporte mútua (TLS) ou usar um protocolo HTTPS em todas as comunicações entre sistemas, porque os dados podem estar transitando no mundo selvagem da internet pública – especialmente agora que a maioria de nós está trabalhando em casa e usando uma conexão com a internet para transferir dados. Além disso, você pode criptografar dados antes de salvá-los em um banco de dados ou em um disco. Pode haver casos em que você precise replicá-los entre ambientes, o que pode gerar vulnerabilidades. Por exemplo, certifique-se de não salvar dados pessoais confidenciais, como informações de cartão de crédito, dentro de um ambiente de desenvolvimento.
Comunicação privada entre ativos
Outra recomendação é manter suas comunicações privadas longe da internet pública para limitar a superfície de ataque e reduzir os riscos. Não é difícil fazer uma conexão privada entre seus sistemas, e isso é possível até mesmo na cloud pública. No entanto, com uma topologia híbrida, como uma infraestrutura on-premise que precisa interagir com um serviço baseado em cloud de terceiros, como você mantém a privacidade?
Uma solução rápida é usar uma rede virtual privada (VPN); no entanto, se você estiver usando a internet pública entre os dois ambientes, em algum momento a performance de rede se degrada. O trabalho remoto aumentou o consumo da VPN, o que pode causar interrupções e atrasos devido à baixa largura de banda e à alta latência por conta do congestionamento do tráfego. O uso da interconexão privada entre todos os seus sistemas pode aumentar a largura de banda disponível e diminuir a latência.
Áreas de trabalho virtuais para trabalho remoto
O aumento inesperado do trabalho remoto ampliou os riscos de segurança de muitos negócios ao depender da internet pública para se comunicar, trocar dados e acessar aplicações. As empresas estão confiando no êxito da implementação das políticas de segurança em relação a computadores pessoais e redes domésticas. Uma infraestrutura de área de trabalho virtual (VDI) é uma estratégia recomendada para reduzir os riscos de segurança em casa. Em vez de usar computadores pessoais para que os usuários realizem todo o trabalho, eles são usados apenas para se conectar a um computador virtual dedicado. Isso dá às empresas o mesmo controle sobre suas comunicações e sobre a troca de dados que elas possuem em seus escritórios corporativos.
Dentre os exemplos de soluções VDI baseadas em cloud estão AWS e Amazon Workspaces, Microsoft Azure e Windows Virtual Desktops, e para a implantação independente na cloud, existe o Citrix. Assim que você tiver uma solução de VDI funcionando, pode configurar conexões privadas e seguras para recursos de terceiros na cloud pública ou em uma infraestrutura on premise.
Adote uma abordagem de segurança proativa
Não há dúvida de que o novo normal incluirá o home office ou o trabalho em outros locais fora do escritório. As empresas podem não ser capazes de cobrir todas as vulnerabilidades e riscos, mas é importante contar com segurança em tudo o que fizerem. Estruturas para modelagem de ameaças especificamente voltadas à privacidade de dados oferecem boas orientações e ideias sobre o que as empresas devem considerar para proteger os dados de usuários. Em última análise, considere investir o máximo possível em criptografia dos dados e em interconexão privada entre seus sistemas.