O que Donald Trump tem a ver com LGPD e os Pilares da Segurança da Informação? A gente te explica: meses depois de Trump ser eleito Presidente dos Estados Unidos, veio à tona que a empresa Cambridge Analytica utilizou dados pessoais de usuários do Facebook para orientar campanhas publicitárias a favor de Trump.

Mark Zuckerberg, CEO do grupo que hoje é chamado de Meta (e que detém Facebook, Instagram e WhatsApp) prestou depoimento. O caso judicial ganhou repercussão mundial. A situação deixou claro que faltava uma regulação específica para definir o que é feito com os dados de usuários de redes sociais. 

Por fim, essa discussão chegou ao Brasil. Em setembro de 2020, a Lei Geral de Proteção de Dados Pessoais entrou em vigor. Neste texto, vamos te explicar o que é a LGPD, por que ela é tão importante para as empresas e o que ela tem a ver com os 5 pilares da Segurança da Informação. Vamos lá?

pilares da segurança da informação

O que é a Lei Geral de Proteção de Dados Pessoais

A LGPD é um marco legal que regulamenta a proteção, o tratamento e a utilização de dados pessoais. A Lei trouxe 10 artigos em 65 capítulos e determinou a forma como as empresas devem tratar as informações recebidas pelos usuários — e a Lei se aplica tanto para companhias do setor público quanto para as do setor privado.

Após o debate causado pelo vazamento de dados dos usuários do Facebook nas eleições norte-americanas, a LGPD surgiu, diretamente influenciada por outro conjunto de Leis: a General Data Protection Regulation (GDPR).

Já em vigor na União Europeia, a GDPR afeta companhias brasileiras que negociam no exterior.

Para esclarecer o que a GPDR e a LGPD protegem, precisamos definir o que é “dado pessoal”: trata-se de qualquer tipo de informação de um indivíduo que possa definir sua identidade (esteja essa informação isolada ou junto de outros dados).

Pareceu difícil compreender? A gente ajuda com alguns exemplos práticos do que são dados pessoais:

  • nome;
  • endereço residencial;
  • e-mail;
  • documentos (RG, CPF, CNH etc.);
  • dados cadastrais;
  • telefones de contato.

Já os dados sensíveis são informações que podem gerar discriminação ao titular e por isso devem ser tratados com maior cuidado e coletado apenas com consentimento. Por exemplo:

  • opinião política;
  • origem racial;
  • convicção religiosa.
  • dado referente à saúde;
  • orientação sexual.

Para que serve a LGPD

Agora você já entendeu o que é a LGPD e quais informações ela busca proteger. Mas como ela faz isso? E quais são os objetivos dessa Lei que tem tudo a ver com a Segurança da Informação?

Funciona assim: a regulamentação da LGPD exigiu um controle maior de coleta e utilização de informações pessoais em campanhas de marketing, exigindo que as opções do usuário autorizar o uso, alterar ou excluir seus dados esteja visível.

Ou seja: a Lei serve para proteger nossa privacidade e regulamentar como as empresas utilizam os dados que coletam de nós. Vamos entender o que isso tem a ver com os 5 Pilares da Segurança da Informação?

Os 5 Pilares da Segurança da Informação

1. Pilar da Confidencialidade

O primeiro pilar da Segurança da Informação é a Confidencialidade, ou Princípio da Privacidade. Essa é a propriedade de um sistema que tem como objetivo limitar o acesso à informação por pessoas não-autorizadas.

Vamos esclarecer: esse pilar é aquele que garante que os dados recolhidos pelas empresas sejam revelados apenas aos usuários legitimamente autorizados pelo proprietário desses dados. Esse pilar impede acesso de usuários desautorizados, mas também evita que processos, sistemas e máquinas processem os dados recolhidos.

Esse pilar tem tudo a ver com a LGPD, porque seu objetivo também é o de proteger a privacidade.

Quando um dado seu é acessado sem sua autorização (seja por um ataque ou por um descuido de algum detentor dessas informações), podemos dizer que há, nesse caso, a violação do Princípio da Confidencialidade ou da privacidade da comunicação.

Agora vamos pensar nesse princípio aplicado ao universo corporativo: imagine que uma empresa quer conseguir informações internas de companhias concorrentes. Se as informações do concorrente forem violadas, a empresa lesada pode ter prejuízos. 

Os clientes da empresa também podem ter seus dados indevidamente revelados no processo. O primeiro dos Pilares da Segurança da Informação, o da Confidencialidade, evita que isso aconteça.

2. Pilar da Integridade

O segundo pilar de segurança que analisaremos é o da Integridade. Essa propriedade assegura que, no processo de transferência da informação, os dados não sejam violados, alterados ou corrompidos.

Com isso, a Integridade busca manter a fidedignidade e correção, fazendo com que todas as características originais daqueles dados recolhidos/transferidos sejam mantidas durante as operações. Esse pilar quer garantir que os dados não sejam indevidamente alterados, seja sem intenção ou maliciosamente. Viu só como ele se relaciona com a LGPD?

Se a Confidencialidade busca assegurar a não-violação das informações, a Integridade protege essas informações de qualquer alteração indevida: gravação, inserção, manipulação ou exclusão, por exemplo.

Vamos imaginar a situação em que um remetente envia dados para um destinatário, como em um e-mail. Se essa transferência for interceptada e alterada indevidamente, há violação desse princípio. Isso pode gerar inconveniências para o usuário e consequências legais para a empresa que infringiu o princípio da Integridade.

3. Pilar da Disponibilidade

O princípio da Disponibilidade busca que a informação esteja sempre disponível e acessível. Esse pilar é o que permite aos usuários autorizados ter acesso a informações que sejam necessárias, para o seu uso autorizado.

Um bom exemplo da Disponibilidade da informação pode ser observado nas transações bancárias. Em situações de emergência, pode ser necessária a transferência financeira imediata, o que implica em o sistema de pagamento ter acesso aos dados dos usuários.

Muitas dessas transações bancárias são feitas pelos apps de bancos. Para que o pagamento ocorra, o aplicativo precisa estar em pleno funcionamento, garantindo o acesso à conta do usuário. Mas aposto que você já teve dificuldades porque o app estava fora do ar, certo?

Nessa situação, podemos dizer que o Pilar da Disponibilidade foi violado, já que as informações não estavam disponíveis ao correntista quando ele necessitou delas. Quando esse princípio da Segurança da Informação não é cumprido, o usuário enfrenta dificuldades e pode ter seus processos atrasados. Ninguém gosta dessa dor de cabeça!

4. Pilar da Autenticidade

A partir daqui, você conhecerá alguns dos Pilares que nem sempre são lembrados nas discussões sobre Segurança da Informação, mas que são fundamentais! Os 3 primeiros princípios são comumente discutidos por profissionais de cibersegurança — mas a Strema vai além e traz informações detalhadas sobre o assunto. Vamos conhecer o Pilar da Autenticidade!

A Autenticidade assegura que o emissor da informação seja realmente quem alega. Isso garante que o dado é proveniente da fonte declarada. Ou seja, esse princípio serve para identificar o remetente da informação.

Bom, para exemplificar, podemos pensar nos certificados digitais ou na biometria — você já utilizou na sua agência bancária ou para acessar seu escritório, certo? Com a análise do certificado ou da digital, o sistema pode concluir se o usuário é quem alega ser.

Ah, e não pense que certificado digital só serve para assinar documentos, viu! Um tipo de certificação que faz parte do seu dia a dia é aquela que pode ser encontrada na barra de endereço do seu navegador quando você acessa site seguro. Já reparou naquele cadeado perto da URL?

O princípio desse certificado é o mesmo das contas verificadas da Instagram: o selinho azul é um certificado digital que assegura que o proprietário da conta é, de fato, quem ele diz ser. Nada de cair em catfish!

5. Pilar da Irretratabilidade (ou Legalidade)

Chegamos ao último dos Pilares da Segurança da Informação. Esse Princípio pode ser chamado de Não-Repúdio, Irrefutabilidade, irretratabilidade ou Legalidade.

Ufa! São muitos nomes, mas o conceito não é difícil de compreender: esse pilar impede um emissor de negar a autoria sobre alguma informação proferida. O Pilar de Legalidade une tudo o que aprendemos até aqui. Esse princípio é tão importante que é utilizado até mesmo no âmbito criminal!

Imagine só: Maria sofre comentários preconceituosos nas redes sociais. Então, Maria decide incriminar os autores dos ataques cibernéticos — e tem amparo legal para isso. O Pilar da Irretratabilidade garante que o internauta que proferiu as ameaças não possa negar as injúrias que cometeu.

Mas, como ele funciona na prática? Unindo, principalmente, os princípios da Autenticidade e da Integridade, que você já aprendeu. Se há a garantia de que a pessoa acusada é a remetente da mensagem (Autenticidade) e se há a comprovação de que a mensagem enviada não sofreu violação (Integridade), Maria consegue comprovar a autoria dos ataques virtuais e ter justiça.

Esse princípio, muitas vezes não citados quando falamos nos Pilares da Segurança da Informação, é muito importante. Ele permite que as determinações da LGPD sejam cumpridas. E aí, quer entender mais sobre proteção de dados? Clique aqui e aprenda de uma vez por todas os detalhes da LGPD!