O Modelo Artigo

FACULDADE IGUAÇU

CLÁUDIO MORENO RIBEIRO

A APLICAÇÃO DE SEGURANÇA DA INFORMAÇÃO E LGPD PARA CRIAÇÃO DE SOFTWARES DE SEGURANÇA

MANAUS- AMAZONAS

2023

FACULDADE IGUAÇU

CLÁUDIO MORENO RIBEIRO

A APLICAÇÃO DE SEGURANÇA DA INFORMAÇÃO E LGPD PARA CRIAÇÃO DE SOFTWARES DE SEGURANÇA

Artigo Científico apresentado à FACULDADE IGUAÇU, como parte das exigências para a obtenção do título de Pós-graduação (MBA executivo em segurança privada: Safety e Security).

MANAUS- AMAZONAS

2023

A APLICAÇÃO DE SEGURANÇA DA INFORMAÇÃO E LGPD PARA CRIAÇÃO DE SOFTWARES DE SEGURANÇA

Cláudio Moreno Ribeiro

RESUMO

O objetivo principal deste artigo é descrever as práticas das empresas desenvolvedoras de software de segurança da informação e LGPD (Lei Geral de Proteção de Dados) na criação e manutenção de aplicações seguras. Foi realizada uma revisão da literatura para entender melhor o contexto. A partir da observação das práticas de segurança, foi elaborado um modelo temático, cujos eixos foram Tecnologia, Cultura/Pessoal e Direito, que se dividiu nas seguintes áreas: Desenvolvimento, Produto e TIC (no eixo técnico), Interno e Externo, (Cultural/Pessoal). O eixo legal não foi dividido em subseções. Foram identificadas 2 políticas, algumas das quais foram introduzidas apenas para fins de segurança com foco na LGPD, e algumas já estavam em vigor e modificadas conforme necessário. Por fim, foi elaborado um resumo das melhores práticas.

Palavras-chave: desenvolvimento de software. segurança da informação. LGPD.

Introdução

Um ambiente de desenvolvimento seguro depende, entre outras coisas, da existência de espaço físico suficiente e ambiente lógico ISO 15.408 (2009), que as pessoas estejam cientes da necessidade de adotar práticas seguras e que as práticas existam e sejam constantemente revisadas.

Albuquerque (2002, p. 5) em seu livro “Segurança no Desenvolvimento de Software” explica que “é impossível ter um sistema seguro em um ambiente inseguro”. Na verdade, essa deveria  ser a preocupação de toda organização de software, tanto pública quanto privada, pois esse ponto de vista garante a segurança tanto para ela quanto para clientes, fornecedores e funcionários.

Vários requisitos são necessários para manter a segurança da informação, Fontese (2006 p. 11), “segurança da informação é um conjunto de instruções, normas, procedimentos, práticas e outras ações destinadas a proteger os recursos de informação e permitir que a organização cumpra suas atividades e missão de negócios”. Resumindo, dizemos que segurança é uma série de camadas interconectadas que juntas fornecem o maior nível de segurança possível. A frequência desses procedimentos varia para cada fonte de dados, alguns  diariamente, outros com menos frequência.

Em 2015, a IPM Sistemas Ltda formalizou o comitê interno de segurança da informação e, em seguida, foi elaborada a PSI (Política de Segurança da Informação). Desde então, a empresa realizou diversas atividades, como participação em eventos relacionados ao assunto, treinamento interno para programadores, designers, testadores e consultores técnicos, comunicação de informações a membros  e clientes externos, por exemplo.

Em 2018, com a validação da LGPD e pelo fato de a empresa ser classificada como antecessora, foi identificada a necessidade de  maior comprometimento, sendo que uma das primeiras medidas nesse foco foi a contratação de advogado, seu treinamento e participação na técnica da equipe. Hoje, essa equipe jurídica já conta com três pessoas dedicadas apenas a atender lojistas e clientes.

O principal objetivo desta pesquisa é conhecer e listar as medidas ou camadas de segurança da informação que foram introduzidas na empresa para manter a privacidade das informações das pessoas sob sua posse e cuidado. Os funcionários dessas unidades inserem essas informações nos sistemas administrativos de prefeituras, câmaras e outras unidades municipais por meio do software Atua.net, operado pela Internet, e a empresa as armazena em um data center privado.

Com base na definição do Artigo 5º Título VII da LGPD (Lei Geral de Proteção de Dados), a IPM Sistemas Ltda se qualifica como operadora porque a entrega do software de seu autor está relacionada à aquisição e armazenamento de dados diretamente em seu data center.

Para atingir o objetivo, este trabalho está dividido em cinco partes. Partindo de uma seção introdutória 1, procedemos a uma revisão de literatura na seção 2, que visa descrever os aspectos gerais do tema central deste estudo: segurança da informação e a aplicação da LGPD ao desenvolvimento de software. A seção 3 apresenta o procedimento metodológico, que envolve investigar e observar as práticas de segurança aplicadas na empresa. Na Seção 4, são apresentados os principais resultados obtidos com essas abordagens. Por fim, na Seção 5, são apresentadas as considerações finais.

2. Revisão de literatura

2.1 LGPD – LEI GERAL DE PROTEÇÃO DE DADOS

Em suma, com esse arcabouço legal, o legislador brasileiro pretende coibir ataques à privacidade de pessoas físicas ou dados pessoais cadastrados, conforme definido na própria lei. É importante observar que as empresas prestadoras de serviços, manutenção ou licenciamento de software têm um papel importante perante a lei, podendo ser contatadas para assuntos que vão desde a revisão das práticas e medidas de segurança das informações que detêm até a responsabilidade por violações de dados. Para tanto, o art. 50, algumas das práticas exigidas dos operadores e controladores responsáveis ​​são claras. Arte.

O artigo 5.º da referida lei trata do "tratamento: todas as operações realizadas sobre os dados pessoais, tais como as operações relacionadas com a recolha, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, transmissão, tratamento, arquivo, armazenamento, eliminação, avaliação ou gerenciamento de informações, transformação, transmissão, distribuição ou mineração” LGPD (2018).

No mesmo artigo, dados pessoais sensíveis são também definidos como: "origem racial ou étnica, convicções religiosas, opiniões políticas, organização sindical ou religiosa, filosófica ou política, informações referentes à saúde ou à vida sexual, dados genéticos ou dados biométricos, se pertinente à pessoa física" LGPD (2018).

...