Artigo
01/03/2023
Atualizado em 10/04/2026

Principais Pontos de Atenção Relacionados a Segurança da Informação e a Proteção de Dados Pessoais

Aborda a importância da segurança da informação e proteção de dados pessoais, destacando treinamentos, cláusulas contratuais e medidas para evitar ataques e garantir conformidade com LGPD e GDPR.

Imagem de capa do artigo

O jornal Valor publicou um artigo bem interessante sobre segurança da informação e proteção de dados pessoais escrito pelo Caio C C Lima, especialista no tema pelo escritório Opice Blum Advogados, uma das referências da área por sinal, que vale a pena destacar alguns pontos colocados, tanto que resolvi fazer este post também a respeito do tema, que considero importante.

O artigo aborda bem dois temas: a segurança da informação e a proteção de dados pessoais, que estão ao meu ver intimamente relacionados, já que ambos os conceitos visam proteger informações valiosas e sensíveis contra ameaças e ataques.

A segurança da informação refere-se à proteção das informações (como um todo) de uma organização contra ameaças internas e externas, incluindo ataques cibernéticos, roubo de dados e violação de privacidade. A segurança da informação envolve a implementação de medidas técnicas, organizacionais e administrativas para proteger as informações como: a criptografia de dados, o controle de acesso, a gestão de identidade e até a continuidade dos negócios.

Por outro lado, a proteção de dados pessoais refere-se à proteção da privacidade e dos dados pessoais de indivíduos. Isso envolve o tratamento adequado de informações pessoais, incluindo a coleta, o processamento, o armazenamento e o compartilhamento de informações.

O assunto é sério, e até uma exigência regulatória, regulamentado por leis e normas, como a Lei Geral de Proteção de Dados (LGPD) no Brasil (bom destacar que ela é válida para todas as empresas e não apenas o mercado financeiro via Bacen) e o Regulamento Geral de Proteção de Dados (GDPR) na União Europeia. Existem punições e multas altas para quem não seguir e atender suas exigências.

De qualquer forma ligando uma a outra, acho que a proteção de dados pessoais é uma parte crítica da segurança da informação, pois as informações pessoais são frequentemente alvo de ataques cibernéticos e violações de dados. Portanto, a segurança da informação deve incluir medidas para proteger os dados pessoais, como a criptografia, a gestão de identidade e o controle de acesso adequado aos sistemas que contêm informações pessoais. Ao proteger os dados pessoais, também se protege a privacidade e a reputação das pessoas e das organizações.

Feita esta introdução de como as coisas estão ligadas, queria abordar os pontos que acho mais importantes do artigo, começando pelos treinamentos, que nem precisaria dizer, mas sempre bom repetir quantas vezes forem necessárias, dado sua importância, que eles são fundamentais para a segurança da informação e proteção de dados pessoais, pois ajudam a criar uma cultura organizacional consciente e engajada na temática. A conscientização e treinamento adequados são essenciais para garantir que todos os funcionários entendam as melhores práticas de segurança da informação e proteção de dados pessoais, e possam aplicá-las no dia a dia de trabalho.

Me fez lembrar alguns destes treinamentos que já fiz para meus times e instituição como um todo, quando tinha uma semana temática a cada ano para cada um destes temas, aonde estes treinamentos são dados para todos. Em um deles me lembro de que distribuímos um brinde aos presentes, até como uma forma de estímulo à participação, pois infelizmente muitos não acham necessário ou relevante participar, e pessoalmente não gosto da imposição de ser obrigatório (apesar de neste momento ainda achar ser infelizmente necessário) a todos, em que o brinde era uma "necessaire" para guardar a escova e pasta de dente na gaveta do trabalho, aonde vinha escrito uma frase motivacional falando se a pessoa não compartilhava suas escovas de dente com mais ninguém, por ser algo pessoal, por que então deveria compartilhar sua senha de acesso, se esta também era pessoal? Foi um sucesso a campanha. E melhorou bastante o problema. Afinal todos os dias o funcionário ao escovar os dentes via a frase e a mensagem para nunca se esquecer....

Além disso, bom também dizer de que os treinamentos também ajudam a estabelecer normas e políticas de segurança de dados, bem como a garantir que todas as partes interessadas estejam cientes e cumpram essas normas e políticas. Isso pode incluir treinamentos sobre como reconhecer ameaças à segurança da informação, como evitar phishing e ataques de engenharia social, e como proteger dados pessoais.

Falar no tema é surpreendente como as pessoas caem nos golpes mais simples enviados pela internet via Email, WhatsApp ou até SMS pelo celular, pedindo suas informações e senhas para um motivo (falso). Gosto de sempre disparar um teste de phishing depois de fazer estes treinamentos, quando ainda estão frescos. Mesmo assim o percentual que ainda cai é enorme, por mais sofisticado e educado que seja o público alvo.

Por isto cada vez mais para garantir que os treinamentos sejam eficazes, é importante que sejam planejados com cuidado e entregues de maneira envolvente e criativa. Além dos treinamentos expositivos, pode ser útil desenvolver jogos educacionais, simulações de ataques, atividades de grupo e outras abordagens lúdicas e interativas.

Outra estratégia eficaz é promover uma cultura de segurança de dados que incentive a colaboração e a responsabilidade compartilhada. Isso pode ser alcançado por meio de iniciativas como programas de incentivo à denúncia de violações de segurança da informação, treinamentos regulares para todos os funcionários e iniciativas de reconhecimento e recompensa para as pessoas que demonstrarem excelência em segurança de dados.

Por fim, é importante que os treinamentos sejam atualizados regularmente para refletir as mudanças nas ameaças à segurança da informação e proteção de dados pessoais. A segurança da informação e proteção de dados pessoais são temas críticos e em constante evolução, e as organizações devem estar sempre atentas às últimas tendências e técnicas para garantir a proteção adequada de seus dados e sistemas.

Veja abaixo alguns dos itens de treinamento que costumo abordar:

1) Treinamento de "phishing":

O "phishing" ou "pescaria" é uma técnica de ataque comum usada por hackers para obter informações confidenciais. Os testes de phishing simulam ataques de phishing para ajudar os funcionários a reconhecer e evitar esses ataques. Os funcionários que caem em um treinamento de phishing são redirecionados para uma página de treinamento que fornece dicas sobre como identificar e evitar ataques de phishing.

2) Simulação de ataques cibernéticos:

As simulações de ataques cibernéticos são um método eficaz para ajudar os funcionários a entender como os ataques acontecem e como podem ser evitados. Os funcionários são apresentados a um cenário realista de ataque cibernético e são orientados a tomar medidas para mitigar o ataque.

3) Teste de vulnerabilidade de senha:

Os funcionários são convidados a criar senhas fortes e são avaliados para garantir que suas senhas sejam seguras o suficiente para proteger suas contas.

4) Treinamento sobre privacidade de dados:

Os funcionários são treinados sobre as leis e regulamentações de privacidade de dados relevantes, incluindo como coletar, armazenar e compartilhar informações pessoais. Esse treinamento pode incluir exemplos práticos e reais de preferência dentro da realidade e perfil de clientes e produtos da empresa, com violações de privacidade de dados, e como evitar essas violações.

5) Treinamento sobre gestão de senhas:

Os funcionários são instruídos sobre como gerenciar e armazenar suas senhas de forma segura. Isso pode incluir a utilização de gerenciadores de senhas, a criação de senhas seguras e a utilização da autenticação de dois fatores.

6) Treinamento sobre uso seguro da internet:

Os funcionários são orientados sobre como navegar na internet com segurança, incluindo como identificar sites e links suspeitos e evitar downloads de malware.

Esses são apenas alguns exemplos de treinamentos que as organizações podem implementar para melhorar a conscientização de seus funcionários sobre segurança da informação e proteção de dados pessoais. Podem até parecer bobos, mas são muito importantes. Por fim, como dito acima, é essencial adaptar esses treinamentos às necessidades e desafios específicos de cada empresa.

Agora em relação aos aspectos jurídicos do tema, até para atender as exigências regulatórias da LGPD, é fundamental incluir cláusulas específicas nos contratos que regem o tratamento desses dados para garantir a privacidade dos titulares, bem como para minimizar os riscos de exposição de informações confidenciais.

Uma cláusula de privacidade bem redigida deve estabelecer o compromisso da empresa com a proteção dos dados pessoais, indicando os procedimentos que serão adotados para garantir a segurança dessas informações, como a utilização de medidas técnicas e organizacionais adequadas e a adoção de políticas internas que assegurem a proteção dos dados. Além disso, é importante especificar as finalidades para as quais os dados serão tratados, bem como a base legal para o tratamento.

A cláusula de segurança da informação, por sua vez, deve estabelecer as medidas que serão adotadas para proteger as informações contra acessos não autorizados, destruição, alteração, divulgação ou qualquer outra forma de tratamento indevido. É importante indicar as normas e padrões de segurança que serão adotados, tais como o uso de criptografia, o controle de acesso, a realização de backups e a realização de testes de invasão, bem como o compromisso de treinamento dos funcionários para garantir a segurança das informações.

Por fim, a cláusula de confidencialidade deve estabelecer a obrigação de manter em sigilo as informações confidenciais, indicando as informações que são consideradas confidenciais e as exceções em que a divulgação é permitida, tais como as obrigações legais ou regulatórias.

É importante ressaltar que, ao incluir cláusulas específicas nos contratos, a empresa deve levar em consideração o volume e a natureza dos dados tratados, bem como os riscos envolvidos no tratamento desses dados. Ademais, a cláusula deve ser clara e objetiva, de modo a possibilitar a rápida solução de dúvidas em momentos críticos, como em exposições de dados pessoais e de informações confidenciais. Um contrato bem redigido possibilitará a rápida solução de dúvidas em momentos críticos, evitando prejuízos para a empresa e para os titulares dos dados.

Abaixo alguns exemplos de temas para serem tratados nas cláusulas de privacidade e proteção de dados pessoais para serem incluídos nos seus contratos atendendo as exigências regulatórias:

1) Finalidade do tratamento:

Deve ser especificado qual a finalidade do tratamento dos dados pessoais, para que o titular dos dados saiba para quais fins seus dados estão sendo coletados e tratados.

2) Base legal para o tratamento:

É importante informar qual a base legal para o tratamento dos dados pessoais, seja o consentimento do titular, o cumprimento de obrigações legais ou a proteção de interesses legítimos da empresa.

3) Direitos do titular:

É fundamental informar quais são os direitos dos titulares dos dados, como o direito de acesso, correção, exclusão, portabilidade e revogação do consentimento.

4) Segurança dos dados:

Deve ser indicado quais as medidas de segurança adotadas pela empresa para proteger os dados pessoais, como o uso de criptografia, o controle de acesso e a realização de backups.

5) Compartilhamento de dados:

Caso haja compartilhamento de dados pessoais com terceiros, deve ser informado qual a finalidade do compartilhamento e quais as medidas adotadas para proteger os dados compartilhados.

6) Prazo de armazenamento:

É importante indicar por quanto tempo os dados pessoais serão armazenados e quais as condições para a exclusão dos dados.

7) Responsabilidade pela violação:

Deve ser estabelecido qual a responsabilidade da empresa em caso de violação de dados pessoais, bem como as medidas a serem adotadas em caso de violação.

8) Alterações na política de privacidade:

Deve ser indicado que a empresa poderá alterar a política de privacidade, informando os titulares dos dados sobre as alterações realizadas.

Segue abaixo um exemplo prático de cláusula de privacidade e proteção de dados pessoais que poderia ser assim:

"A empresa X compromete-se a tratar os dados pessoais coletados somente para as finalidades informadas ao titular dos dados, respeitando a base legal para o tratamento, bem como a garantir a segurança dos dados por meio da utilização de medidas técnicas e organizacionais adequadas. A empresa X informa que os titulares dos dados possuem direitos, tais como o direito de acesso, correção, exclusão, portabilidade e revogação do consentimento, podendo exercê-los por meio dos canais de atendimento disponibilizados pela empresa. A empresa X se compromete a não compartilhar os dados pessoais com terceiros sem a autorização do titular dos dados, exceto em caso de obrigações legais ou para proteção de interesses legítimos da empresa. Os dados pessoais serão armazenados pelo prazo necessário para cumprimento das finalidades para as quais foram coletados, sendo excluídos após esse período. Em caso de violação de dados pessoais, a empresa X"

Outro aspecto importante que merece atenção neste tema é a validação do nível de segurança dos parceiros de negócio, até para garantir a segurança da informação e proteção de dados pessoais compartilhados entre as empresas. Para isso, é necessário avaliar o risco potencial associado ao relacionamento com cada fornecedor e realizar uma análise criteriosa para aqueles considerados de alto risco.

Os fornecedores de alto risco devem passar por uma análise mais criteriosa, que inclui a avaliação de sua política de segurança da informação, procedimentos de controle de acesso, medidas de segurança física e lógica, treinamento de seus funcionários, entre outros aspectos relevantes. Essa análise deve ser realizada por meio de questionários, visitas técnicas, avaliações de terceiros ou outras metodologias, de forma a obter informações suficientes para avaliar o nível de segurança do fornecedor.

A validação de políticas e documentos deve ser feita na prática por meio de uma revisão minuciosa dos documentos fornecidos pelo fornecedor, tais como políticas de segurança, planos de contingência, relatórios de auditoria, entre outros. É importante verificar se esses documentos atendem aos requisitos mínimos de segurança e proteção de dados pessoais exigidos pela sua empresa, bem como se estão atualizados e são aplicados na prática, ou apenas para "inglês" ver....

O período de refazer estas análises de seus fornecedores deve ser definido de acordo com o nível de risco associado ao relacionamento com cada um deles.

Obviamente todo este processo dá o maior trabalho e leva tempo, e os recursos são escassos, por isto importante diferenciar o risco envolvido, e dar tratamento diferenciado. Ou seja, na prática, os fornecedores considerados de alto risco devem ser reanalisados com maior frequência (digamos anual ou a cada dois anos), enquanto fornecedores de menor risco podem ser reanalisados com menor frequência (digamos de 2 a 3 anos). É importante que essa frequência seja definida formalmente em política, até para garantir que os fornecedores estejam mantendo um nível adequado de segurança da informação e proteção de dados pessoais ao longo do tempo.

Neste sentido outra coisa importante que ajuda no dia a dia, é tratar de forma diferenciada e ágil os parceiros de menor risco, é possível adotar metodologias simplificadas de análise, como questionários mais curtos e visitas técnicas mais simplificadas.

Além disso, pode-se adotar uma abordagem de monitoramento contínuo dos fornecedores, por meio da coleta de informações sobre incidentes de segurança, mudanças na política de segurança, entre outros aspectos relevantes. Dessa forma, é possível manter um controle efetivo sobre os fornecedores de menor risco, sem comprometer a eficácia da análise.

Outro aspecto do tema que merece sua atenção a proteção da segurança da informação e dados pessoais é chamada gestão de acesso aos dados, pois se feita de forma eficiente permite limitar o acesso somente a usuários autorizados e reduzir a quantidade de informação disponível dentro da organização, reduzindo assim o risco de exposição indevida.

Para começar e garantir uma gestão de acesso eficiente, é importante revisar e ajustar as permissões regularmente, priorizando aquelas que envolvem acesso a dados sensíveis ou críticos para o negócio, algo que muita empresa não faz até por preguiça. Além disso, é recomendado implementar o duplo fator de autenticação sempre que possível, uma vez que isso aumenta a segurança do acesso ao sistema e reduz o risco de acessos indevidos.

Se houver áreas logadas abertas ao público, como em sites de comércio eletrônico, é importante adotar medidas adicionais para garantir a segurança do acesso, como o uso de captchas ou soluções de detecção de atividade suspeita. Além disso, é recomendado investir em mecanismos para bloquear tentativas de acesso em larga escala e impedir a exposição indevida de dados, como soluções de detecção de ataques e limitação de tentativas de login.

Uma das medidas que podem ser adotadas é o uso de mecanismos para identificar e bloquear tentativas em massa partindo de um mesmo Protocolo de Internet (IP). Isso pode ser feito por meio do uso de listas de bloqueio de IPs suspeitos ou por meio de soluções de detecção de atividade suspeita, que utilizam algoritmos de aprendizado de máquina para identificar comportamentos anômalos e bloquear tentativas de acesso suspeitas.

É importante destacar que a gestão de acesso deve ser tratada como um processo contínuo, e não apenas como uma ação pontual. É recomendado implementar políticas e procedimentos para garantir a revisão e ajuste regular das permissões, bem como a implementação de soluções de segurança e monitoramento contínuo do acesso aos dados. Assim, é possível garantir a segurança da informação e proteção de dados pessoais de forma eficiente e eficaz.

Existem diversas técnicas de gestão de acesso aos dados que podem ser utilizadas para ajudar na segurança da informação e proteção dos dados pessoais, vejam abaixo algumas delas:

1) Controle de acesso baseado em função (RBAC):

O RBAC permite a atribuição de funções específicas aos usuários e define as permissões de acesso de acordo com a função atribuída. Isso permite que o acesso aos dados seja limitado de acordo com a necessidade de cada usuário.

2) Controle de acesso baseado em atributo (ABAC):

O ABAC permite o controle de acesso com base em atributos específicos, como a localização do usuário, tipo de dispositivo, entre outros. Isso permite que as permissões de acesso sejam adaptadas de acordo com a situação específica de cada usuário.

3) Autenticação de dois fatores (2FA):

A autenticação de dois fatores exige que os usuários forneçam duas formas de autenticação, como uma senha e um código enviado por mensagem de texto, por exemplo. Isso torna o acesso mais seguro e dificulta a ação de hackers que tentam obter acesso indevido.

4) Gerenciamento de identidade e acesso (IAM):

O IAM permite o gerenciamento centralizado de usuários e permissões, facilitando a gestão de acesso e reduzindo o risco de acesso não autorizado.

5) Monitoramento de acesso:

O monitoramento de acesso permite a detecção de atividades suspeitas e o registro de tentativas de acesso não autorizado. Isso ajuda a identificar e prevenir ações maliciosas e a proteger os dados pessoais.

6) Controle de acesso baseado em contexto (CBAC):

O CBAC permite a definição de políticas de acesso com base em informações contextuais, como a localização do usuário, o tipo de conexão, o horário de acesso, entre outros. Isso ajuda a garantir que o acesso seja concedido apenas em situações adequadas e reduz o risco de exposição indevida dos dados.

7) Controle de acesso baseado em risco (RABC):

O RABC permite a definição de políticas de acesso com base em avaliações de risco, como a sensibilidade dos dados, a importância da informação e a criticidade dos sistemas. Isso ajuda a garantir que as permissões de acesso sejam ajustadas de acordo com o risco envolvido e reduz o risco de acesso não autorizado.

Outro aspecto que não pode deixar de ser feito é documentar todas as ações realizadas, uma prática essencial para comprovar que a empresa está cumprindo com suas obrigações relacionadas à segurança da informação e proteção de dados pessoais. Essa documentação pode ser solicitada por entidades reguladoras, como a Autoridade Nacional de Proteção de Dados (ANPD), em caso de auditorias, investigações ou aplicação de sanções.

Além disso, a documentação também é importante para a empresa, pois permite acompanhar a evolução das políticas de segurança da informação e proteção de dados pessoais, identificar pontos de melhoria e comprovar que as medidas de segurança adotadas estão sendo efetivas.

Dentre os documentos que devem ser elaborados e atualizados com frequência, destacam-se:

1) Políticas de segurança da informação e proteção de dados pessoais:

Devem descrever os procedimentos e medidas adotados pela empresa para garantir a confidencialidade, integridade e disponibilidade das informações e dados pessoais.

2) Planos de resposta a incidentes:

Devem definir as ações a serem tomadas em caso de incidentes de segurança da informação ou violações de dados pessoais, visando minimizar o impacto e restabelecer a normalidade o mais rápido possível.

3) Planos de continuidade do negócio:

Devem contemplar os procedimentos a serem adotados em caso de interrupções ou indisponibilidades dos sistemas ou serviços da empresa, de forma a garantir a continuidade das atividades e minimizar os impactos.

Em caso de aplicação de sanções, as evidências do esforço corporativo para cumprir as obrigações de segurança da informação e proteção de dados pessoais podem reduzir as penas aplicadas. Portanto, a documentação é uma forma de comprovar o compromisso da empresa em proteger a privacidade e segurança dos dados pessoais e informações confidenciais dos seus clientes e colaboradores.

Não vamos esquecer também da importância para este tema da atualização das políticas de segurança da informação, do plano de resposta a incidentes e do plano de continuidade do negócio, que é essencial para garantir que a corporação esteja preparada para lidar com novos riscos e ameaças que surgem com o passar do tempo. A evolução do cenário corporativo, incluindo as mudanças internas na corporação, novos riscos agregados e aspectos legais, deve ser levada em conta na atualização desses documentos.

É importante que a atualização das políticas de segurança da informação seja uma prioridade para a corporação. Diria que anualmente é de bom tamanho, mesmo que seja apenas para a oportunidade de rever, mesmo que não haja nada para modificar. Sem esquecer de que estas políticas devem refletir as mudanças na estrutura organizacional e nas tecnologias usadas pela corporação, bem como quaisquer novas regulamentações ou leis que possam afetar o setor. A atualização das políticas também deve levar em conta a evolução das ameaças e vulnerabilidades de segurança da informação.

O plano de resposta a incidentes também deve ser atualizado regularmente para garantir que a corporação esteja preparada para lidar com incidentes de segurança da informação. O plano deve refletir os procedimentos atualizados para lidar com incidentes e as novas tecnologias ou processos que foram implementados. A revisão regular e atualização do plano ajudará a garantir que a corporação possa responder rapidamente a incidentes de segurança da informação e minimizar o impacto na continuidade dos negócios.

O plano de continuidade do negócio deve ser atualizado de forma semelhante às políticas de segurança da informação e ao plano de resposta a incidentes. A atualização do plano deve refletir as mudanças na estrutura organizacional, processos de negócios, tecnologias, bem como a evolução dos riscos e ameaças de segurança da informação. A atualização do plano de continuidade do negócio é importante para garantir que a corporação possa continuar a operar em caso de interrupção ou desastre.

Para garantir que esses documentos representem a situação vigente da corporação, é necessário implementar um processo formal de revisão e atualização desses documentos. O processo deve envolver todas as partes relevantes da organização, incluindo os líderes da área de segurança da informação e os responsáveis pelos processos de negócios. O processo deve ser documentado e seguido rigorosamente para garantir que todas as atualizações sejam feitas e implementadas de forma consistente em toda a organização.

Por fim, queria comentar sobre o importante papel de duas pessoas na empresa que são o encarregado pelo tratamento de dados pessoais, mais conhecidos como: DPO (Data Protection Officer), e também do chamado CISO (Chief Information Security Officer), que são pessoas essenciais para liderar a missão de garantir a segurança da informação e proteção dos dados pessoais na organização.

O DPO é o responsável por monitorar a conformidade com a Lei Geral de Proteção de Dados (LGPD) e outras legislações relacionadas à privacidade e proteção de dados pessoais. Além disso, ele deve orientar e treinar os colaboradores da empresa, acompanhar a implementação das políticas de segurança e proteção de dados pessoais e servir como ponto de contato entre a organização, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Já o CISO é o responsável por liderar a estratégia de segurança da informação da organização, garantindo a proteção dos ativos de informação da empresa, incluindo os dados pessoais dos titulares. Ele deve garantir que as políticas de segurança da informação estejam alinhadas com os objetivos estratégicos da empresa e as melhores práticas do mercado, além de monitorar constantemente os riscos e ameaças à segurança da informação.

Ambos devem ter uma atuação proativa, antecipando possíveis situações de vulnerabilidade e preenchendo lacunas, para mitigar os riscos que possam causar prejuízos reputacionais e financeiros à organização. É importante que eles traçem um cronograma alinhado com as prioridades da ANPD, da companhia e do mercado, para garantir a conformidade com as leis e normas de segurança da informação e proteção de dados pessoais.

Além disso, é essencial que eles trabalhem em conjunto com outros departamentos da empresa, como o jurídico, gestão de riscos, controles internos e o de compliance, para garantir que as políticas e procedimentos de segurança e proteção de dados pessoais estejam atualizados e em conformidade com a legislação vigente. A documentação de todas as ações realizadas é fundamental para comprovar o cumprimento dos aspectos relacionados à segurança da informação e proteção de dados pessoais, em caso de solicitação de evidências por parte da ANPD ou outro ente regulador.

As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Autor

Foto de perfil de Luiz Henrique Lobo

Luiz Henrique Lobo

Membro Independente de Conselhos | Comitê de Riscos da Caixa e de Auditoria da BR Partners | Consultor e Palestrante