Lgpd - Lei Geral de Proteção de Dados Pessoais: Manual de Implementação - Ed. 2021

Capítulo 9. Gestão de Vulnerabilidades - IV – Segurança da Informação

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

IV – SEGURANÇA DA INFORMAÇÃO

Domingo Montanaro

Cofundador da Ventura Enterprise Risk Management, empresa de prestação de serviços com expertise em atendimentos reativos (pós-incidente) e da Ventura Academy, escola brasileira especializada em risco cibernético. Coautor e coordenador da obra Cyber Risk: Estratégias nacionais e corporativas sobre riscos e segurança cibernética (2020) e coautor em mais dois livros relacionados à proteção de dados no Brasil ( LGPD – Manual de Implementação, 2019; Data Protection Officer: Teoria e Prática de Acordo com a LGPD e o GDPR 2020). Perito em informática e especialista na elucidação de delitos que envolvem tecnologia da informação, detém 20 anos de experiência no gerenciamento de risco cibernético para grandes corporações. Pioneiro em Inteligência Cibernética no território brasileiro, em 2013 inovou construindo em sua startup plataforma de coleta e análise de ameaças, que em 2017 recebeu selo EED (“Empresa Estratégica de Defesa”) do Ministério da Defesa do Brasil. Palestrou sobre suas pesquisas e experiências em 16 países, treinando forças policiais e militares no Brasil e no exterior. É professor convidado em cursos de pós-graduação de escolas como Insper, Escola Paulista de Direito, POLI-USP, FGV e FAAP.

1. Introdução

Se olharmos para a definição de “vulnerabilidade” no conjunto de diretrizes e definições da norma ISO/IEC 27001: 2005 – Tecnologia da informação – técnicas de segurança – sistemas de gerência da segurança da informação 1 , encontraremos que esse termo representa uma fraqueza de um ativo ou de um grupo de ativos que pode (m) ser explorada (s) por uma ou mais ameaças.

Uma das primeiras importantíssimas definições que urge ser esclarecida na explicação anterior é a de “ativo”. Naturalmente, esse termo pode ser interpretado de diferentes maneiras, a depender do “background” de quem lê. Quem se dedica profissionalmente à área de Tecnologia da Informação tende a ler “fraqueza de um ativo ou de um grupo de ativos” e pensar, espontaneamente, num ativo de TI: algum equipamento, tangível, que carrega software, assim compondo a infraestrutura de tecnologia da informação daquela instituição. Ou seja, algo dentro do “parque de TI”, sendo esse “algo” um servidor, uma estação de trabalho, um roteador ou um Access Point.

Já para alguém com background na área de finanças ou até mesmo para o empresário/empreendedor, tudo que pode ser utilizado para gerar valor e retorno ao acionista de uma corporação pode ser considerado um ativo.

Mas, independentemente das nuances de definição, o que se faz necessário trazer à luz é como a primeira definição – focada em ativos de TI – remonta apenas a uma parte da questão: a tecnologia.

Como já se sabe, o triângulo de ouro da transformação de qualquer empresa é composto por pessoas, processos e tecnologia. Se estamos preocupados com gestão de vulnerabilidades, e assim olhamos para vulnerabilidade como “fraqueza (s) de ativo (s)”, temos, portanto, duas opções:

1. Enfocar estritamente sob a ótica de um dos vértices do triângulo: a tecnologia;

2. Olhar para o conceito mais amplo de “ativo” e gerir vulnerabilidades em todos os vértices do triângulo: pessoas, processos e tecnologia.

Eu prefiro zelar pelo excesso, até mesmo porque sempre acreditei que tecnologia, por si só, não torna uma organização segura. Nas quase duas décadas de experiência que tenho trabalhando com investigação e elucidação de delitos praticados por meios eletrônicos, não foi incomum encontrar empresas vítimas de cyber crime que detinham aparato tecnologicamente avançado para conter ameaças cibernéticas. Elas foram vítimas de golpes digitais, ora porque processos de segurança não existiam ou falhavam, ora porque seus colaboradores não estavam aptos (ou seja, capacitados) a lidar com esse tipo de situação.

Nesse ponto torna-se relevante salientar também que existe uma falsa crença, bastante comum no meio empresarial, de que há uma relação direta entre volume de investimento financeiro e eficácia em segurança da informação. Certamente, ter os appliances 2 mais modernos e que constam no quadrante mágico da Gartner 3 pode auxiliar bastante a organização a combater ameaças oriundas do ambiente digital, no entanto, como já salientado, mesmo com toda essa tecnologia de ponta, as instituições corriqueiramente falham em:

1. Configurar toda essa tecnologia corretamente;

2. Implementar processos de verificação;

3. Treinar os profissionais para extrair o máximo de valor dessa tecnologia;

4. Simular incidentes para testar todos os controles ao extremo.

Portanto, neste capítulo deste livro, vamos abordar as melhores práticas para ter um programa eficaz de gestão de vulnerabilidades, dividindo-as em três seções:

Tecnologia;

Processos;

Pessoas.

Essa temática não é algo que a LGPD exclusivamente traz à tona, visto que vulnerabilidades nas corporações existem há décadas, e por meio dessas se dão os mais variados golpes e cyber ataques.

O que mudou, portanto?

A área de Tecnologia da Informação, na grande maioria das corporações globais, viabilizou essas instituições a alcançarem novos patamares de eficiência operacional, aumentando assim o lucro ao acionista. Isso se vê nas mais diferentes áreas de negócio das empresas: produção, logística, marketing, comercial, compras etc. Essas áreas, quando demandam sistemas de informação para a área de Tecnologia da Informação, costumam apenas visualizar o bônus das funcionalidades que necessitam.

Exemplos:

• Se enviarmos um e-mail com os detalhes do pedido para a área de logística, eles já podem adiantar a separação do material e a entrega será feita no endereço do cliente ainda mais rápido. Bônus: entrega mais rápida, maior satisfação do cliente;

• Se habilitarmos pagamento via WhatsApp, podemos converter a venda ainda mais …

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
19 de Maio de 2022
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1197026535/capitulo-9-gestao-de-vulnerabilidades-iv-seguranca-da-informacao-lgpd-lei-geral-de-protecao-de-dados-pessoais-manual-de-implementacao-ed-2021