Valor Econômico, 28/04/2020, Segurança digital, p. F3
Exigência de privacidade desafia provedor
Ana Luiza Mahlmeister
Os provedores de serviços de computação em nuvem que armazenam dados de clientes têm diversos desafios na adequação às normas da Lei Geral de Proteção de dados (LGPD), que entra em vigor em janeiro de 2021. Um vazamento de dados pessoais de clientes, além de comprometer a imagem das empresas, impõe multas que podem variar de 2% do faturamento, limitado a R$ 50 milhões.
A lei garante ao cliente a possibilidade de transferir seus dados para outro provedor e o direito de ser esquecido, ou seja, ter seus dados eliminados. Para atender às novas exigências é necessário ter mais controle sobre as informações, ferramentas para localizar os dados pessoais, saber como são acessados e definir como informar problemas ao detectar vazamentos. “Boa parte das quebras de privacidade são causadas por acessos indevidos de colaboradores das próprias companhias e falhas de segurança e gestão”, diz Arley Brogiato, diretor da SonicWall América Latina.
A definição de dado pessoal inclui desde um endereço de residência até um número de IP usado para identificar um computador conectado a uma rede. “Para informar os órgãos responsáveis sobre incidentes e detalhar providências é necessário um controle estrito sobre os pedidos de acesso aos dados”, afirma Alexandre Gomes Ferreira, diretor regional de segurança da Avanade.
A lei não exige a criptografia, mas ela pode ser usada como um recurso a mais de proteção contra acessos não autorizados. Mesmo nas aplicações nas quais não se identifica o titular, como análise de tendências e sistemas de inteligência de negócios, a lei define que os dados pessoais devem ser anonimizados, barrando a associação com o titular, seja de forma direta ou indireta, destaca Yanis Stoyannis, gerente de consultoria e inovação de cybersecurity da Embratel.
A empresa desenvolveu uma metodologia para dar transparência a todas as etapas de tratamento de dados por meio da análise de indicadores e conta com recursos de segurança com os SOCs (security operation centers) cognitivos que empregam técnicas baseadas em inteligência artificial para enfrentar ameaças cibernéticas.
A Logicalis deu prioridade ao conhecimento do fluxo de dados para acompanhar a origem, captura e armazenamento da informação para definir quem pode acessar. “Para isso usamos um inventário dos dados com a descrição de seu proprietário, local de armazenamento, classificação de confidencialidade e avaliação de risco, e então desenvolvemos controles de proteção”, explica Rodrigo Suzuki, diretor de segurança da informação da Logicalis Latin America.
Outro recurso é o uso de tecnologias como data loss prevention (DLP), com a criação de regras de limitação de uso das informações, o bloqueio do compartilhamento e a verificação da presença de arquivos com dados pessoais em estações de trabalho e servidores. “Recentemente migramos parte de nossa operação para a nuvem, permitindo maior visibilidade das informações pessoais mesmo fora dos nossos datacenters”, afirma.
A responsabilidade pela segurança no ambiente da nuvem é compartilhada entre o provedor e os clientes. Uma das falhas mais comuns é o acesso indevido à lista de usuários e senhas. Por meio de robôs, os criminosos automatizam tentativas de validar aplicações e invadem os sistemas. A criptografia dificulta a quebra de privacidade, mas muitas empresas ainda usam sistemas antigos, com tecnologias fáceis de ser burladas. “As novas aplicações desenvolvidas para a nuvem têm camadas de segurança em todas as etapas para evitar vulnerabilidades”, afirma Beethovem Dias, engenheiro de soluções da F5 Networks.
Os dados tornados anônimos devem voltar ao estado original para que os clientes possam acessá-los e o desafio é equilibrar a necessidade de usar estes dados para processos e análises de negócios com a proteção e confidencialidade contra ataques ou vazamentos acidentais, diz Alexandre Brandi Patarra, líder de segurança de dados da IBM América Latina.