Práticas de privacidade e segurança de dados em TI: considerações e como fazer!

A cibersegurança tem se tornado uma das principais áreas da TI, sobretudo por causa do crescimento acelerado das ameaças virtuais no meio corporativo. Por isso, adotar práticas de privacidade e segurança de dados eficientes passa a ser uma prioridade para a maior parte das empresas. Você sabe como fazer isso?

De acordo com o relatório da Uni42, unidade de pesquisa da Palo Alto Networks, o Brasil registrou o maior índice de ataques cibernéticos da América Latina em 2023, destacando-se como o epicentro dessas práticas criminosas na região.

O estudo identificou, ainda, que o país foi o mais vulnerável a ataques hackers entre os representantes latinos pelo terceiro ano consecutivo, com o registro do aumento dessas inconsistências em 56,4% de 2021 a 2023.

Entre as inúmeras formas de comprometimento das tecnologias dos negócios, sejam elas em superfície física ou em nuvem, algumas chamam a atenção dos especialistas pela sofisticação e escalabilidade. É o caso, por exemplo:

• Da crescente exploração de vulnerabilidades de softwares e APIs;
• Das credenciais comprometidas; 
• Do phishing que, embora aplicado em menor frequência, ainda se apresenta como uma ameaça persistente, com métodos de infiltração mais avançados tecnologicamente;
• Do uso de IA para ataques de engenharia social;
• Do roubo indiscriminado de dados; 
• De ataques de grupos hackers e com ransomwares, como Knight, Rhysida, Trigona, Royal, Ragnar Locker, Nokoyawa, NoEscape, Medusa, Mallox, INC, CrossLock, Cactus, BlackSuit, Black Basta, BianLian e Akira. 

Diante desse cenário, os times de TI precisam desenvolver, com agilidade, uma gestão de dados e compliance robusta, adequando as atividades das empresas ao que orienta as principais regulamentações do mercado, como a LGPD, DORA, GDPR, CCPA, SOX, PCI e HIPAA, entre outras.

Além disso, um bom exemplo dessa exigência é a inteligência artificial (IA) e seus contornos, tendo em vista que ela não representa mais uma tecnologia do futuro, já que está transformando vidas e negócios agora, no presente. Mais de 25% das organizações já utilizam cinco ou mais aplicativos de IA diariamente, desse modo, para as equipes de tecnologia, é necessária uma atenção plena às novas tecnologias e demandas de mercado.

Como se sabe, a inteligência artificial (IA) e a proteção de dados estão intimamente relacionadas, pois o treinamento de algoritmos de IA muitas vezes demanda grandes volumes de dados, incluindo dados pessoais.

Assim, o objetivo por trás da estratégia de fortalecer esses campos – o da privacidade e ética no uso de dados, além da segurança da informação – é claro: minimizar os prejuízos que as organizações enfrentam quando passam por eventos cibernéticos adversos. 

Empresas que possuem a proteção de dados e o respeito à privacidade e ética dos dados consolidados, tendo a tecnologia da informação (TI) como parceira, usufruem de uma série de benefícios em relação àquelas que não se preparam para o novo contexto digital. Agora, os usuários estão mais atentos a como os negócios utilizam suas informações, assim como há um aumento exponencial das superfícies de ataque e dos pontos de vulnerabilidade suscetíveis aos mais variados cibercrimes. Ou seja, privacidade, ética e adequação no uso de dados, além de campos em ascensão na TI – como a inteligência artificial –, são a demanda do presente e do futuro dentro das empresas.

Neste conteúdo, vamos conversar mais sobre regulação, gestão e segurança de dados, além da privacidade dessas informações.

Por que é importante que empresas e profissionais de TI se especializem em privacidade, segurança e ética no uso de dados?

Ter um olhar cuidadoso para a privacidade e a ética no uso das tecnologias, sobretudo as relacionadas com o tratamento de dados, é uma demanda urgente dos negócios.

As novas dinâmicas sociais, que se destacaram com a transformação digital acelerada pela pandemia de Covid-19, não só exigem um posicionamento das organizações diante do uso de dados, como enfraquecem o branding de empreendimentos que não possuem políticas de transparência em suas operações. 

A partir de 2020 e da necessidade de distanciamento social, a digitalização das empresas e das transações cresceu de forma exponencial. De acordo com a 33ª edição da Pesquisa Anual sobre o Mercado Brasileiro de TI e Uso nas Empresas, divulgada pela FGV, por exemplo, a antecipação do processo de transformação digital por causa dos contornos da crise sanitária foi o equivalente ao esperado para o período de um a quatro anos.

Na época, computadores, notebooks, tablets e smartphones superaram, somados, a expressiva marca de 447 milhões de unidades no país. Ou seja, a demanda por redes e soluções digitais cresceu significativamente. Com isso, foi preciso viabilizar novos modelos de negócios que exigiam também investimento em TI.

Diante de tantas mudanças, as empresas passaram a ser cada vez mais confrontadas com a demanda de adaptação a políticas de uso e tratamento de dados adequadas. Afinal, esses insumos agora apresentavam-se em quantidades inéditas e impressionantes.

Assim, ao optar por caminhar com as transformações do contexto, priorizando processos, ações, planejamento estratégico e indicadores voltados para a ética, a transparência e a proteção de dados, as empresas gozam de inúmeras vantagens, como: 

1. Fortalecem a conexão com os usuários, demonstrando um compromisso genuíno com a proteção de suas informações;
2. Estabelecem uma relação mais próxima e de confiança com a base de usuários, fomentando a lealdade e a satisfação;
3. Enfatizam a transparência nas práticas comerciais, evidenciando o compromisso ético da empresa;
4. Comunicam, de maneira clara, as políticas de privacidade, proporcionando aos usuários uma compreensão abrangente sobre como suas informações são tratadas;
5. Reforçam a reputação da marca, tornando-a uma escolha confiável para parcerias comerciais;
6. Garantem a integridade e a segurança dos dados compartilhados com parceiros e fornecedores, estabelecendo uma base sólida para colaborações estratégicas;
7. Evitam possíveis penalidades legais e multas por causa da falta de conformidade com as normativas de privacidade;
8. Mitigam riscos jurídicos associados ao manuseio inadequado de informações, prevenindo custos desnecessários.

Além dos benefícios previamente mencionados, o reconhecimento e a ênfase na privacidade, na ética e na segurança da informação resultam na preservação de ativos valiosos dos negócios, tanto internos quanto externos, mitigando gastos com redução de danos e respostas a incidentes.

Nesse contexto, torna-se indispensável contar com setores de TI altamente sistematizados e focados no contínuo desenvolvimento dos princípios de segurança da informação e em sua diferenciação entre privacidade e proteção de dados. 

Qual a diferença prática entre privacidade, proteção de dados e segurança da informação?

Ao nos aprofundarmos na essência da “privacidade, proteção de dados e segurança da informação”, é crucial que compreendamos como esses conceitos se entrelaçam e, ao mesmo tempo, se distinguem em práticas cotidianas da TI.

A “privacidade”, como destacado anteriormente, refere-se ao direito de um indivíduo de controlar suas informações pessoais e de decidir como, quando e onde essas informações podem ser acessadas e compartilhadas. É um conceito intimamente associado à proteção dos dados pessoais, especialmente no contexto das tecnologias digitais. 

Na prática, seus principais aspectos incluem:

• Controle sobre a informação – capacidade do indivíduo de decidir o que compartilhar e com quem;
• Confidencialidade dos dados – garantia de que informações pessoais não sejam acessadas sem a autorização do titular;
• Anonimidade e sigilo – muitas vezes, é o direito de manter anônimo algum dado ou comportamento, sem que este seja rastreado ou monitorado.

Já a “proteção de dados pessoais (ou privacidade de dados)” é definida como um subconjunto da privacidade, que se concentra especificamente na proteção das informações pessoais identificáveis (PII). É regida por legislações específicas, como a General Data Protection Regulation (GDPR), na Europa, e a Lei Geral de Proteção de Dados (LGPD), no Brasil, e tem como aspectos essenciais os discriminados a seguir: 

• Consentimento informado – a coleta de dados pessoais deve ser realizada apenas com o consentimento do titular, e este deve estar ciente de como seus dados serão usados;
• Minimização dos dados – coleta apenas os dados estritamente necessários para a finalidade pretendida;
• Transparência – os responsáveis pelo tratamento de dados precisam ser claros sobre como, por que e por quanto tempo os dados são coletados e usados;
• Segurança dos dados – implementa medidas técnicas e administrativas para proteger os dados pessoais contra acessos não autorizados, como criptografia e controle de acesso.

Por fim, a “segurança da informação” envolve a proteção dos dados contra ameaças, garantindo a integridade, confidencialidade e disponibilidade da informação. Abrange a implementação de medidas e práticas que assegurem que os dados sejam acessados somente por pessoas autorizadas e que estejam protegidos contra perdas ou modificações.

Seus três principais pilares são conhecidos pela sigla CIA:

• Confidencialidade – a garantia de que a informação só será acessada por pessoas autorizadas. Envolve criptografia, controle de acesso e autenticação;
• Integridade – assegura que a informação não seja alterada de maneira não autorizada ou acidental, preservando sua precisão e consistência;
• Disponibilidade – certifica que os dados e sistemas estejam disponíveis quando necessário por aqueles que têm o direito de acesso. Inclui proteção contra ataques de negação de serviço (DDoS), planos de recuperação de desastres e redundância de sistemas.

Além disso, a segurança da informação também envolve gestão de riscos, plano de resposta a incidentes e auditorias de segurança, estratégias para minimizar possíveis ameaças e lidar com elas.

O entendimento prático desses conceitos contribui para a construção de uma abordagem holística em TI.  

Seja para fornecer suporte eficaz aos usuários em suas necessidades de privacidade e proteção de dados, seja para resguardar os ativos mais preciosos de uma empresa, o profissional de TI desempenha um papel estratégico, sendo o responsável por perfectibilizar as ações e políticas de proteção e por estruturar uma segurança da informação eficiente.

E como identificar a efetividade da segurança da informação de um negócio? É o que vamos destrinchar agora.

Resumo das diferenças e relações entre os conceitos

Para detalhar o que conversamos anteriormente, podemos resumir as diferenças e as relações existentes entre os três conceitos: privacidade, proteção de dados pessoais e segurança da informação.  

• A privacidade está focada no direito do indivíduo de controlar seus dados pessoais e na capacidade de manter certos aspectos de sua vida privada.
• A segurança da informação abrange uma visão mais ampla, incluindo a proteção de qualquer tipo de informação (não só pessoal) de ameaças e acessos não autorizados, assegurando a integridade e disponibilidade dos dados.
• A proteção de dados pessoais é uma parte da privacidade que se refere especificamente à proteção das informações pessoais dos indivíduos e é frequentemente regulamentada por leis específicas.

Todos os conceitos se interligam, de modo que a privacidade é protegida por meio de boas práticas de segurança da informação, e a proteção de dados pessoais garante que os direitos individuais, em relação aos seus dados, sejam respeitados e assegurados.

As 5 principais regulações do mercado

Nessa perspectiva de desenvolvimento de recursos que se preocupam com a privacidade e a segurança dos dados, diversas normatizações e regulamentações globais foram estruturadas, definindo padrões para o tratamento e a proteção de dados pessoais.

Conhecê-las é essencial para quem deseja trabalhar com privacidade e segurança de dados.

1. Lei Geral de Proteção de Dados (LGPD) – Brasil

Inspirada no GDPR europeu, a LGPD regulamenta o tratamento de dados pessoais de indivíduos no Brasil, estabelecendo princípios como transparência, segurança e o consentimento dos titulares dos dados.

Foi implementada em agosto de 2018, mas entrou efetivamente em vigor em 2020. Desde então, as empresas precisam garantir a conformidade da sua gestão de dados com o que está disposto na norma, principalmente para potencializar a segurança da informação e a não aplicação de penalidades.

2. General Data Protection Regulation (GDPR) – União Europeia

Uma das regulamentações mais rigorosas do mundo, a GDPR protege a privacidade dos dados pessoais dos cidadãos da UE, impondo severas penalidades a seu não cumprimento e exigindo práticas robustas de confidencialidade da informação.

3. California Consumer Privacy Act (CCPA) – Estados Unidos (Califórnia)

O CCPA é uma lei estadual que oferece aos residentes da Califórnia, por exemplo, o direito de saber como seus dados pessoais são coletados e utilizados, bem como o direito de acessar e excluir suas informações pessoais

4. Princípios Atualizados sobre a Privacidade e a Proteção de Dados Pessoais – OCDE

Os Princípios Atualizados sobre Privacidade e Proteção de Dados Pessoais, como instrumento de soft law interamericano, visam servir aos estados-membros da organização como pontos de referência para o fortalecimento de seus respectivos marcos legais na matéria e orientar o desenvolvimento coletivo da região rumo a uma proteção harmônica e eficaz dos dados pessoais.

5. Health Insurance Portability and Accountability Act (HIPAA) – Estados Unidos

Essa regulamentação protege informações de saúde sensíveis, exigindo padrões de segurança rigorosos para salvaguardar dados médicos e pessoais, além de estabelecer parâmetros para uso, divulgação e proteção de informações de integridade individualmente identificáveis.

Como implementar práticas de privacidade e segurança de dados em TI em conformidade com as regulações?

Implementar práticas robustas de proteção de dados, privacidade e segurança de dados é essencial para cumprir as regulamentações e salvaguardar as informações sensíveis de ameaças. 

Existem algumas dicas que podem facilitar esse processo, e você encontra todas elas no novo ebook gratuito da Escola Superior de Redes. 

>> Baixe agora o ebook “9 passos para implementar práticas de privacidade e segurança de dados em TI em conformidade com as regulações” <<