Dados são o novo petróleo. Quão segura está essa nova riqueza?
“Dados são o novo petróleo”. Esta expressão refere-se à forma de mineração de riquezas informacionais a partir da coleta e análise de massivas quantidades de dados. Seguindo essa linha de analogia, os dados vêm se tornando até mais interessantes do que o petróleo, uma vez que virtualmente ao contrário deste, nunca se esgotam e assistimos com o passar do tempo cada vez mais o custo de toda a cadeia de processamento, desde a coleta até o descarte, vir diminuindo. E de quem são esses dados? São dados sobre cada um de nós, sobre nossos hábitos de vestir, de andar, de comprar. Dados fornecidos despretensiosamente, por nós mesmos, ou por outros, ao aceitar sem ler os Termos e Condições ou Política de Privacidade de um aplicativo “gratuito” baixado no celular, mas também dados capturados ou inferidos a partir de outros serviços ou dispositivos, que talvez nem tenhamos idéia que estejam “nos espiando”.
Segundo Carl Sagan, “Vivemos em uma sociedade intensamente dependente da ciência e da tecnologia, em que quase ninguém sabe nada sobre ciência e tecnologia”. Estamos a todo momento cercados por uma variedade crescente de aparelhos que se propõem a tornar nossa vida mais fácil, mais saudável, mais interativa. Tudo isso ao custo de um rápido olhar naquilo que nos define como únicos, nossa privacidade. Atualmente, carregamos mais poder computacional no bolso de nossa calça que todo o aparato computacional que levou o homem à lua (Apollo 11, em julho de 1969). Em nossa vida cotidiana estamos cercados por câmeras e sensores capazes de rastrear nosso deslocamento a cada momento do dia, e com isso identificar nossa rotina. Elevadores de prédios residenciais que conseguem distinguir o padrão de horário de sua utilização, de forma a “predizer” quando serão usados, deslocando-se antecipadamente para o andar correto. Geladeiras que identificam a falta de determinados produtos, e são capazes inclusive de solicitar a compra da nossa “lista de itens mais consumidos”. Câmeras especiais que identificam, com uma precisão sobre-humana, mudanças sutis em nossa expressão facial, e classificam o conteúdo apresentado em uma variedade de perfis de emoções, conseguindo inclusive detectar uma mentira. Aplicativos baseados em geolocalização que auxiliam na escolha de melhores rotas, ajudando-nos a driblar engarrafamentos. Aparelhos de entretenimento que registram o que se fala junto deles de forma tão precisa que já existem casos de intimação de alguns deles, para depoimento em disputas jurídicas.
Mesmo que o mapeamento das sutilezas de nossa privacidade seja o custo para a melhoria da qualidade de vida e aprimoramento dos serviços, entre outras benesses, é essencial a necessidade do conhecimento e consentimento, bem como um esclarecimento inequívoco sobre com quem esses dados eventualmente podem vir a ser compartilhados. Sem isso, nada impede que estes mesmos dados sejam usados de forma indiscriminada, em projetos que inclusive atentem contra nossos interesses particulares.
E se na vida pessoal do indivíduo este nível de exposição já é pelo menos desconfortável, para as empresas que utilizam e manipulam estes dados, a responsabilidade sobre a guarda segura deste bem valioso, traz desafios gigantes. Considerar “Dados como o novo petróleo”, como disse Humby, talvez não represente o tamanho do desafio que recai agora sobre as corporações, que precisam garantir a segurança dessas informações — afinal, tal como o petróleo, “danos ao ecossistema” de dados são uma realidade. No evento de um furto, ou subtração de qualquer quantidade de petróleo, a ausência deste bem pode ser visualmente determinada, pois o barril não estará mais no lugar onde estava, ou o volume armazenado será menor. No caso do furto de dados isto não acontece. O conjunto original pode ser mantido exatamente como estava, dificultando a identificação do evento de cópia e extração. Roubam-se cópias, que são igualmente preciosas. A conhecida tríade de Confidencialidade, Integridade e Disponibilidade está sob constante risco, pois à medida que dados pessoais ou de negócios aumentam no volume captado e processado, eleva-se para as empresas o valor deles, bem como os riscos envolvidos.
Quanto aos dados de titularidade de corporações, um bom sistema de governança corporativa de dados ajuda e muito a identificar e mitigar esses riscos. Nem todas empresas, porém, dispõem de recursos financeiros e humanos para tal, e, no final do dia, muitas tendem a enxergar o compliance apenas como um “custo adicional” — quando deveria ser visto como algo que efetivamente traz retorno financeiro e de imagem perante o mercado e os consumidores, sem esquecer que evita exposições legais. Em resumo, algo extremamente recomendável, mas não exigido de modo absoluto. Todavia, após a aprovação da Lei Geral de Proteção de Dados Pessoais ocorrida em agosto deste ano, todos os dados pessoais passaram a contar com uma legislação regulatória específica que contempla, entre outras coisas, a aplicação de pesadas multas caso não seja evidenciado formalmente que as medidas previstas na lei tais como um relatório de impacto, detalhamentos sobre as bases legais para a coleta e processamento dos dados pessoais e até a incorporação por parte da equipe de engenharia de software (também) de conceitos como Privacy by Design, para citar apenas algumas das demandas previstas. Ou seja, olhando para os dados pessoais, estar em conformidade com a lei não é mais uma opção. É uma necessidade concreta e urgente.
Um aspecto importante desta nova legislação que precisa ser bem compreendido está na diferença entre segurança e privacidade. É muito importante estabelecer corretamente a distinção desses dois conceitos, uma vez que um mal entendimento desta diferença pode levar a políticas, planos e processos falhos ou mal escritos.
Segurança da informação trata da tecnologia, ferramentas e processos, utilizados para proteger, neste contexto, a informação pessoal, quanto aos seus princípios fundamentais de Confidencialidade, Disponibilidade (Availability) e Integridade, também conhecido como CIA. Por sua vez, a Privacidade se relaciona aos aspectos da informação pessoal, e o que define sua diferença para a Segurança das Informações, para as corporações que armazenam dados pessoais, é que agora faz-se necessário responder perguntas, como:
(i) Localização dos dados: onde são armazenadas as informações pessoais, e qual o mecanismo de proteção utilizado para impedir que extrações, ou cópias não autorizadas, revelem qualquer tipo de dado armazenado? A informação armazenada precisa estar segura de forma que mesmo no evento de uma cópia não autorizada, o conteúdo deste processo de duplicação resulte em algo que ainda esteja inacessível ao agente ofensor. Este aspecto deve ser tratado com um esquema adequando de Encriptação de Dados
(ii) O que exatamente são seus dados: a legislação é direcionada mais especificamente às informações relacionadas a um indivíduo vivo, identificado ou identificável. Aqui, técnicas de Classificação da Informação, associadas a ferramentas de Prevenção à Fuga de Dados (Data Leak Prevention), são fatores desejados que ajudam a prevenir incidentes.
(iii) Quem pode acessar seus dados: garantir que o acesso aos dados só pode ser realizado por pessoas autorizadas, e corretamente identificadas, com seu papel atrelado ao seu nível de acesso. De forma que nenhum agente ofensor possa assumir uma outra identidade. A utilização de controles fortes de auditoria, bem como múltiplos fatores de autenticação, são bons exemplos de técnicas e ferramentas de segurança, utilizados nesta questão de Privacidade.
Responder a estas perguntas, apenas, não é suficiente para que se toque a ponta do iceberg, mas ajuda a entender o tamanho do desafio que as empresas têm pela frente. Atualmente, não existe uma fórmula mágica, ou uma bala de prata, que resolva todos as exigências de conformidade da nova legislação. A segurança da informação nas organizações deverá ser tratada daqui para frente como um processo constante e incessante em busca do melhoramento contínuo. Os programas de conformidade e aderência a melhores práticas e padrões deverão ganhar força e importância cada vez maior. O estudo e implantação de sistemas de avaliação da maturidade, e o melhoramento da gestão da segurança da informação se apresentam neste momento como a primeira linha de ação em direção à adequação a nova norma. Ferramentas e sistemas de tecnologia neste momento podem ser grandes aliados, mas não podem ser vistos como a solução definitiva. Áreas de competências desejadas neste primeiro momento devem incluir, mas não se limitar a:
– Gerenciamento de Identidades e Acessos;
– Proteção e Classificação de Dados (Backups e Encriptação de Dados);
– Recuperação de Desastres;
– Antivirus e Proteção Avançada de Malwares; e
– Next Generation Firewalls, e equipamentos de Detecção/Prevenção de Intrusão.
Esta nova legislação vem com a dura missão de mudança cultural, e precisa do envolvimento de todos, a começar em especial pela alta gestão das corporações. A equipe responsável pela disseminação da cultura de segurança e proteção de dados tem que ser multidisciplinar, e abranger todos os setores da organização. Minimamente, as principais atividades que precisam ser avaliadas como ponto de partida para uma preparação de adequação a nova legislação, passam por:
– Desenvolvimento e revisão periódica de políticas específicas de privacidade de dados;
– Constituição de uma equipe multidisciplinar para gestão de conformidade com a LGPD;
– Descrição formal de onde os dados estão armazenados e qual o mecanismo de proteção utilizado;
– Desenvolvimento das competências de auditoria e implantação de processos de monitoramento da conformidade;
– Implementação e documentação de sistemas e processos para garantir a segurança da informação (técnica, fisica, planos e processos);
-Desenvolvimento da conscientização corporativa — Treinamento.
Essas são algumas das muitas exigências legais que passam a valer efetivamente a partir de fevereiro de 2020. Pode parecer muito tempo até lá, mas na Europa, onde já há uma cultura corporativa bem mais robusta do que a nossa quanto à proteção de dados pessoais em virtude de uma legislação específica datada de 1995 e que foi alterada com a entrada em vigor em maio deste ano do Regulamento Geral sobre Proteção de Dados, a realidade nos mostra que a missão está longe de ser simples ou rápida. Um estudo recente apontou que por lá, apenas 20% das empresas já se encontram em conformidade com a RGPD, 53% estão em meio ao processo de implementação e 27% sequer começaram. Isso considerando que eles tiveram dois anos para se adequarem à lei mais recente em vigor, nossos agora 16 meses restantes até o deadline soam como um verdadeiro desafio. Um desafio que só pode ser superado com a devida preocupação e, principalmente, ação. Imediata.
Ainda existem muitos outros desafios que precisam ser trabalhados nesta interface entre Segurança e Privacidade sob a luz da nova legislação. Vários pontos ainda precisam de respostas, tais como: Como fica o “direito ao esquecimento” em sistemas que usam técnicas de proteção forte à integridade, como é o caso do Blockchain? Já que é impossível apagar um registro anterior, uma vez que ele já foi divulgado na cadeia, pela simples natureza desta tecnologia.
Por fim, porém longe de querer abordar este assunto em sua completude, o relatório anual da IBM sobre ameaças e previsões de vetores de ataque de 2018, aponta para o fator humano como sendo o principal responsável pelo comprometimento de dados. Se somarmos ataques do tipo Engenharia Social (Phishing) com eventos de Divulgação Inadvertida, chegamos a um total de 51% dos eventos registrados por este estudo da IBM. Desta forma, vemos que o processo de aderência à nova política de proteção de dados, deve passar obrigatoriamente pelo treinamento e conscientização do colaborador nos aspectos da privacidade de dados pessoais e corporativos.
Carlos Sampaio é graduado em Engenharia Elétrica pela UPE, com Pós Graduação em Segurança da Informação pela AESO Barros Melo, é o CIO e Executivo Chefe de TI do @CESAR e atua com Segurança da Informação a mais de 15 anos.
Segundo Carl Sagan, “Vivemos em uma sociedade intensamente dependente da ciência e da tecnologia, em que quase ninguém sabe nada sobre ciência e tecnologia”. Estamos a todo momento cercados por uma variedade crescente de aparelhos que se propõem a tornar nossa vida mais fácil, mais saudável, mais interativa. Tudo isso ao custo de um rápido olhar naquilo que nos define como únicos, nossa privacidade. Atualmente, carregamos mais poder computacional no bolso de nossa calça que todo o aparato computacional que levou o homem à lua (Apollo 11, em julho de 1969). Em nossa vida cotidiana estamos cercados por câmeras e sensores capazes de rastrear nosso deslocamento a cada momento do dia, e com isso identificar nossa rotina. Elevadores de prédios residenciais que conseguem distinguir o padrão de horário de sua utilização, de forma a “predizer” quando serão usados, deslocando-se antecipadamente para o andar correto. Geladeiras que identificam a falta de determinados produtos, e são capazes inclusive de solicitar a compra da nossa “lista de itens mais consumidos”. Câmeras especiais que identificam, com uma precisão sobre-humana, mudanças sutis em nossa expressão facial, e classificam o conteúdo apresentado em uma variedade de perfis de emoções, conseguindo inclusive detectar uma mentira. Aplicativos baseados em geolocalização que auxiliam na escolha de melhores rotas, ajudando-nos a driblar engarrafamentos. Aparelhos de entretenimento que registram o que se fala junto deles de forma tão precisa que já existem casos de intimação de alguns deles, para depoimento em disputas jurídicas.
Mesmo que o mapeamento das sutilezas de nossa privacidade seja o custo para a melhoria da qualidade de vida e aprimoramento dos serviços, entre outras benesses, é essencial a necessidade do conhecimento e consentimento, bem como um esclarecimento inequívoco sobre com quem esses dados eventualmente podem vir a ser compartilhados. Sem isso, nada impede que estes mesmos dados sejam usados de forma indiscriminada, em projetos que inclusive atentem contra nossos interesses particulares.
E se na vida pessoal do indivíduo este nível de exposição já é pelo menos desconfortável, para as empresas que utilizam e manipulam estes dados, a responsabilidade sobre a guarda segura deste bem valioso, traz desafios gigantes. Considerar “Dados como o novo petróleo”, como disse Humby, talvez não represente o tamanho do desafio que recai agora sobre as corporações, que precisam garantir a segurança dessas informações — afinal, tal como o petróleo, “danos ao ecossistema” de dados são uma realidade. No evento de um furto, ou subtração de qualquer quantidade de petróleo, a ausência deste bem pode ser visualmente determinada, pois o barril não estará mais no lugar onde estava, ou o volume armazenado será menor. No caso do furto de dados isto não acontece. O conjunto original pode ser mantido exatamente como estava, dificultando a identificação do evento de cópia e extração. Roubam-se cópias, que são igualmente preciosas. A conhecida tríade de Confidencialidade, Integridade e Disponibilidade está sob constante risco, pois à medida que dados pessoais ou de negócios aumentam no volume captado e processado, eleva-se para as empresas o valor deles, bem como os riscos envolvidos.
Quanto aos dados de titularidade de corporações, um bom sistema de governança corporativa de dados ajuda e muito a identificar e mitigar esses riscos. Nem todas empresas, porém, dispõem de recursos financeiros e humanos para tal, e, no final do dia, muitas tendem a enxergar o compliance apenas como um “custo adicional” — quando deveria ser visto como algo que efetivamente traz retorno financeiro e de imagem perante o mercado e os consumidores, sem esquecer que evita exposições legais. Em resumo, algo extremamente recomendável, mas não exigido de modo absoluto. Todavia, após a aprovação da Lei Geral de Proteção de Dados Pessoais ocorrida em agosto deste ano, todos os dados pessoais passaram a contar com uma legislação regulatória específica que contempla, entre outras coisas, a aplicação de pesadas multas caso não seja evidenciado formalmente que as medidas previstas na lei tais como um relatório de impacto, detalhamentos sobre as bases legais para a coleta e processamento dos dados pessoais e até a incorporação por parte da equipe de engenharia de software (também) de conceitos como Privacy by Design, para citar apenas algumas das demandas previstas. Ou seja, olhando para os dados pessoais, estar em conformidade com a lei não é mais uma opção. É uma necessidade concreta e urgente.
Um aspecto importante desta nova legislação que precisa ser bem compreendido está na diferença entre segurança e privacidade. É muito importante estabelecer corretamente a distinção desses dois conceitos, uma vez que um mal entendimento desta diferença pode levar a políticas, planos e processos falhos ou mal escritos.
Segurança da informação trata da tecnologia, ferramentas e processos, utilizados para proteger, neste contexto, a informação pessoal, quanto aos seus princípios fundamentais de Confidencialidade, Disponibilidade (Availability) e Integridade, também conhecido como CIA. Por sua vez, a Privacidade se relaciona aos aspectos da informação pessoal, e o que define sua diferença para a Segurança das Informações, para as corporações que armazenam dados pessoais, é que agora faz-se necessário responder perguntas, como:
(i) Localização dos dados: onde são armazenadas as informações pessoais, e qual o mecanismo de proteção utilizado para impedir que extrações, ou cópias não autorizadas, revelem qualquer tipo de dado armazenado? A informação armazenada precisa estar segura de forma que mesmo no evento de uma cópia não autorizada, o conteúdo deste processo de duplicação resulte em algo que ainda esteja inacessível ao agente ofensor. Este aspecto deve ser tratado com um esquema adequando de Encriptação de Dados
(ii) O que exatamente são seus dados: a legislação é direcionada mais especificamente às informações relacionadas a um indivíduo vivo, identificado ou identificável. Aqui, técnicas de Classificação da Informação, associadas a ferramentas de Prevenção à Fuga de Dados (Data Leak Prevention), são fatores desejados que ajudam a prevenir incidentes.
(iii) Quem pode acessar seus dados: garantir que o acesso aos dados só pode ser realizado por pessoas autorizadas, e corretamente identificadas, com seu papel atrelado ao seu nível de acesso. De forma que nenhum agente ofensor possa assumir uma outra identidade. A utilização de controles fortes de auditoria, bem como múltiplos fatores de autenticação, são bons exemplos de técnicas e ferramentas de segurança, utilizados nesta questão de Privacidade.
Responder a estas perguntas, apenas, não é suficiente para que se toque a ponta do iceberg, mas ajuda a entender o tamanho do desafio que as empresas têm pela frente. Atualmente, não existe uma fórmula mágica, ou uma bala de prata, que resolva todos as exigências de conformidade da nova legislação. A segurança da informação nas organizações deverá ser tratada daqui para frente como um processo constante e incessante em busca do melhoramento contínuo. Os programas de conformidade e aderência a melhores práticas e padrões deverão ganhar força e importância cada vez maior. O estudo e implantação de sistemas de avaliação da maturidade, e o melhoramento da gestão da segurança da informação se apresentam neste momento como a primeira linha de ação em direção à adequação a nova norma. Ferramentas e sistemas de tecnologia neste momento podem ser grandes aliados, mas não podem ser vistos como a solução definitiva. Áreas de competências desejadas neste primeiro momento devem incluir, mas não se limitar a:
– Gerenciamento de Identidades e Acessos;
– Proteção e Classificação de Dados (Backups e Encriptação de Dados);
– Recuperação de Desastres;
– Antivirus e Proteção Avançada de Malwares; e
– Next Generation Firewalls, e equipamentos de Detecção/Prevenção de Intrusão.
Esta nova legislação vem com a dura missão de mudança cultural, e precisa do envolvimento de todos, a começar em especial pela alta gestão das corporações. A equipe responsável pela disseminação da cultura de segurança e proteção de dados tem que ser multidisciplinar, e abranger todos os setores da organização. Minimamente, as principais atividades que precisam ser avaliadas como ponto de partida para uma preparação de adequação a nova legislação, passam por:
– Desenvolvimento e revisão periódica de políticas específicas de privacidade de dados;
– Constituição de uma equipe multidisciplinar para gestão de conformidade com a LGPD;
– Descrição formal de onde os dados estão armazenados e qual o mecanismo de proteção utilizado;
– Desenvolvimento das competências de auditoria e implantação de processos de monitoramento da conformidade;
– Implementação e documentação de sistemas e processos para garantir a segurança da informação (técnica, fisica, planos e processos);
-Desenvolvimento da conscientização corporativa — Treinamento.
Essas são algumas das muitas exigências legais que passam a valer efetivamente a partir de fevereiro de 2020. Pode parecer muito tempo até lá, mas na Europa, onde já há uma cultura corporativa bem mais robusta do que a nossa quanto à proteção de dados pessoais em virtude de uma legislação específica datada de 1995 e que foi alterada com a entrada em vigor em maio deste ano do Regulamento Geral sobre Proteção de Dados, a realidade nos mostra que a missão está longe de ser simples ou rápida. Um estudo recente apontou que por lá, apenas 20% das empresas já se encontram em conformidade com a RGPD, 53% estão em meio ao processo de implementação e 27% sequer começaram. Isso considerando que eles tiveram dois anos para se adequarem à lei mais recente em vigor, nossos agora 16 meses restantes até o deadline soam como um verdadeiro desafio. Um desafio que só pode ser superado com a devida preocupação e, principalmente, ação. Imediata.
Ainda existem muitos outros desafios que precisam ser trabalhados nesta interface entre Segurança e Privacidade sob a luz da nova legislação. Vários pontos ainda precisam de respostas, tais como: Como fica o “direito ao esquecimento” em sistemas que usam técnicas de proteção forte à integridade, como é o caso do Blockchain? Já que é impossível apagar um registro anterior, uma vez que ele já foi divulgado na cadeia, pela simples natureza desta tecnologia.
Por fim, porém longe de querer abordar este assunto em sua completude, o relatório anual da IBM sobre ameaças e previsões de vetores de ataque de 2018, aponta para o fator humano como sendo o principal responsável pelo comprometimento de dados. Se somarmos ataques do tipo Engenharia Social (Phishing) com eventos de Divulgação Inadvertida, chegamos a um total de 51% dos eventos registrados por este estudo da IBM. Desta forma, vemos que o processo de aderência à nova política de proteção de dados, deve passar obrigatoriamente pelo treinamento e conscientização do colaborador nos aspectos da privacidade de dados pessoais e corporativos.
Carlos Sampaio é graduado em Engenharia Elétrica pela UPE, com Pós Graduação em Segurança da Informação pela AESO Barros Melo, é o CIO e Executivo Chefe de TI do @CESAR e atua com Segurança da Informação a mais de 15 anos.