Diretrizes da Segurança da Informação e Comunicações

INTRODUÇÃO

Diante do crescente avanço tecnológico apresentado nos últimos anos, verifica-se que é fundamental ter uma segurança da informação sólida, pois ter eficiência nos seus três pilares – integridade, disponibilidade e confidencialidade, tornou-se indispensável para continuidade de negócio de uma organização. É correto afirmar que a informação, é o ativo mais importante dentro de uma organização, pois é com ela que os níveis da pirâmide organizacional irão tomar suas decisões para que a mesma continue sustentável.

A segurança da informação nada mais é que o ato de proteger os dados da empresa (especialmente aqueles confidenciais) contra diversos tipos de ameaças e riscos — espionagens, sabotagens, incidentes com vírus ou códigos maliciosos e até acidentes, como incêndio e inundação.

A segurança da informação é, então, obtida pela implantação de uma gama de controles que incluem procedimentos de rotina (como as verificações de antivírus), infraestrutura de hardware e software (como a gestão de soluções para assinatura eletrônica de documentos), além da criação de uma política devidamente documentada.

DESENVOLVIMENTO

Em 2018, o então presidente Michel Temer, promulgou a Lei nº 13.709/2018 – Lei Geral de Proteção de Dados (LGPD). A lei possui o objetivo de regular todas as atividades de tratamento de dados pessoais que são coletados e mantido por empresas, independente da sua atividade, em suas redes de computadores. Tudo isso para garantir uma maior privacidade das informações pessoais que circulam pela internet.

A legislação brasileira segue as diretrizes da lei de proteção de dados europeia, a General Data Protection Regulation (GDPR), e também as regras da norma de regulação de dados do Estado da Califórnia, que determina os limites de privacidade dos dados que são coletados e utilizados por empresas.

A segurança de dados passou a ser foco de normas mais rígidas após casos de vazamento de informação pessoais, como ocorreu com o Facebook, que foi em 2018 foi alvo de investigação no Estados Unidos por suspeita de ter vendido, a grandes empresas, os dados coletados dos usuários de suas redes sociais. Mensagens privadas, áudios, as buscas feitas na rede social e até a lista de amigos foi liberada para outras empresas que utilizam as redes sociais para fazer suas propagandas.

A LGPD protege dados que identifiquem as pessoas, ou seja, dados pessoais, como o seu nome, RG, CPF, CNH, e-mail, etc. Não apenas os dados de pessoas físicas, mas também os dados que identificam as pessoas jurídicas como o CNPJ, razão social, endereço comercial, entre outros.

A lei é muito clara em seu texto quando trata de alguns conceitos, como por exemplo, o “controlador”, ou seja, pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais ( art.5º, inciso IV da LEI Nº 13.709, DE 14 DE AGOSTO DE 2018).

No âmbito da Administração Pública Federal, o avanço tecnológico trouxe mais facilidade e precisão a inúmeros processos. Com isso, todos os dias, milhares de dados são gerados e compartilhados.

O setor público vem se modernizando, utilizando tecnologias avançadas e sistemas mais confiáveis e integrados que geram mais dados e, com isso, mais informações. Em outras iniciativas e projetos, como o de Cidades Inteligentes, as informações são compartilhadas e integradas, visando oferecer ainda mais serviços aos contribuintes de forma rápida, confiável e que atendam as demandas locais, utilizando diversas tecnologias e equipamentos conectados.

Porém, mesmo diante disso, ainda não é possível verificar investimentos significativos em segurança da informação nos órgãos públicos. Frequentemente, vemos sistemas indisponíveis em função de ataques. Ações simples, como backup de dados, ainda não são tratados de forma adequada.

O investimento, quando acontece, é limitado a equipamentos e não contempla o processo de segurança. Políticas, normas e campanhas de conscientização de usuários, infelizmente, não são prioridade.

Medidas simples como zelo com as senhas. São pessoais e não devem ser compartilhadas. Parece óbvio, mas, infelizmente, não é uma regra seguida. A senha é a garantia de que aquele funcionário e somente aquele, está mesmo utilizando um dispositivo ou sistema. Ela deve ser forte, mas de fácil memorização, com mais de oito caracteres, incluindo letras maiúsculas, minúsculas, números e caracteres especiais. Não se deve, nunca, anotá-las e evitar números sequenciais, nomes ou qualquer referência óbvia.

Não basta fazer backup, é preciso testá-lo para ver se está tudo certo. Algumas prefeituras já tiveram meses de dados que não foram recuperados por conta de backups corrompidos ou mídias danificadas. Não adianta ter todas as proteções se os dados não estiverem disponíveis quando necessário.

Em relação a links em mensagens de e-mails não solicitados, a melhor recomendação é: não abrir, nunca! É comum as pessoas receberem mensagens não solicitadas, tais como promoções imperdíveis, ou estar com seu nome em órgãos de proteção ao crédito e mensagens de banco. Eles podem levar a sites maliciosos, idênticos ao original, e, assim, “descobrir” informações como senhas bancárias e outras informações pessoais, além de, em muitos casos, instalar programas que monitoram suas ações e copiam seus dados.

...