Artigo
26/10/2024
Atualizado em 01/05/2026

Segurança da Informação X Proteção de Dados e Privacidade

Segurança da informação protege dados contra ameaças, enquanto proteção de dados e privacidade garantem o uso ético e legal dos dados pessoais, exigindo políticas integradas e conformidade regulatória.

Imagem de capa do artigo

A proteção de dados e a privacidade, assim como a segurança da informação, são (ou ao menos deveriam ser) temas de grande relevância para empresas em qualquer tamanho e setor, pois ambas as áreas impactam diretamente na continuidade dos negócios, na reputação e na conformidade regulatória, ainda mais nos dias de hoje com as crescentes ameaças cibernéticas, além das expectativas em relação ao uso ético dos dados têm exigido das empresas uma abordagem robusta de gestão de riscos de dados.

A gestão de riscos aplicada à segurança da informação e privacidade de dados envolve a identificação, avaliação e controle das ameaças que podem comprometer tanto a confidencialidade e integridade dos dados quanto o direito dos titulares sobre suas informações, enquanto que de modo geral as práticas de segurança da informação buscam proteger o ambiente de dados corporativos contra acessos indevidos e vulnerabilidades, enquanto a privacidade de dados foca no cumprimento de princípios legais e éticos, assegurando que dados pessoais sejam tratados com transparência e consentimento, em conformidade com leis como a LGPD e o GDPR.

Esta dualidade traz desafios práticos e estratégicos para as empresas, exigindo políticas integradas, treinamento contínuo e uma cultura organizacional que valorize a segurança e a privacidade como ativos de negócio. Dessa forma ao investir em práticas alinhadas com esses conceitos, as empresas não apenas fortalecem sua defesa contra ameaças cibernéticas e mitigam riscos de multas regulatórias, mas também consolidam a confiança de clientes, parceiros e demais stakeholders, garantindo um ambiente de negócios seguro, ético e sustentável a longo prazo.

Feita esta introdução, queria detalhar mais abaixo alguns dos pontos que acho relevante e que deveriam merecer sua atenção, tais como:

Diferenças Fundamentais e Fundamentos Estratégicos

A segurança da informação se concentra em três pilares principais: confidencialidade, integridade e disponibilidade (conhecido como o modelo CIA). Estes elementos representam o núcleo da segurança da informação e são aplicados a todos os tipos de dados, abrangendo desde informações financeiras até segredos corporativos.

- Confidencialidade: Garante que somente pessoas autorizadas tenham acesso aos dados. Para atingir esse objetivo, utilizam-se controles de acesso rigorosos, autenticação multifatorial e sistemas de gestão de identidades.

- Integridade: Foca em assegurar que os dados permaneçam inalterados e completos durante seu ciclo de vida. Técnicas como hashing e controles de versionamento são implementadas para proteger contra alterações não autorizadas.

- Disponibilidade: Implica que os dados estarão acessíveis sempre que necessário. Estruturas de continuidade de negócios, planos de recuperação de desastres e redundâncias em sistemas críticos são essenciais para garantir essa disponibilidade.

Já proteção de dados e privacidade tem uma abordagem distinta, orientada pelos direitos do indivíduo sobre seus dados pessoais. O foco é no tratamento ético, transparente e legal dos dados, com uma ênfase forte na obtenção de consentimento e no respeito aos direitos do titular.

- Consentimento Informado: Refere-se ao direito do indivíduo de saber como seus dados serão usados, além da capacidade de consentir explicitamente sobre cada tipo de uso.

- Direitos do Titular: Inclui a capacidade de acessar, corrigir e excluir dados pessoais, conforme exigido pelas regulamentações como a LGPD e GDPR.

- Minimização de Dados: O princípio de coleta mínima significa que apenas dados essenciais para a finalidade específica devem ser coletados. Isso reduz o risco e facilita a gestão de conformidade.

Mitos e Desafios Frequentes

- “Segurança e privacidade são a mesma coisa”:

A confusão entre segurança e privacidade muitas vezes decorre da suposição de que proteger os dados contra ataques automaticamente protege a privacidade dos titulares. No entanto, há diferenças importantes:

Segurança da Informação: A preocupação é com a proteção contra ameaças externas e internas, sendo implementada através de técnicas como firewall, criptografia e monitoramento. A segurança da informação trata qualquer dado como um ativo valioso, sem distinção entre dados pessoais e dados corporativos.

Privacidade: Vai além da segurança e exige conformidade com normas legais e regulatórias para garantir que os dados pessoais sejam usados somente para as finalidades às quais o titular consentiu. A privacidade lida diretamente com questões de ética e direitos individuais.

- “Segurança garante privacidade”:

Este mito resulta de uma simplificação do que significa proteger dados. A privacidade exige que o titular seja parte ativa no processo de tratamento de dados:

Segurança da Informação: Proteger dados contra acesso não autorizado não implica em transparência com o titular. Pode-se criptografar e restringir dados sem informar o usuário sobre como e por que eles serão usados.

Privacidade: Requer que cada passo seja transparente e autorizado, incluindo um processo robusto de gerenciamento de consentimento, que não se limita a medidas de segurança. Isso inclui o direito de se opor ao processamento e de solicitar a exclusão.

- “Privacidade é só sobre vazamentos”:

Esse mito reduz a privacidade ao problema de vazamentos de dados, quando, na realidade, a privacidade se preocupa com todos os pontos do ciclo de vida dos dados pessoais:

Segurança da Informação: Se preocupa com vazamentos, invasões e falhas de segurança que possam expor dados confidenciais.

Privacidade: Abrange desde a coleta até o descarte dos dados, garantindo que todos os processos sejam conduzidos de acordo com o consentimento e as exigências legais, incluindo a limitação de coleta e a eliminação dos dados.

Queria agora fazer abaixo uma breve comparação destes 2 processos:

Controle de Acesso e Restrições

- Segurança da Informação: Define e implementa permissões de acesso de acordo com as necessidades de função (Princípio do Menor Privilégio). A tecnologia utilizada inclui o uso de LDAP (Lightweight Directory Access Protocol) e IAM (Identity Access Management).

- Proteção de Dados e Privacidade: As permissões são ainda mais rigorosas, pois apenas aqueles com propósito justificado e consentimento explícito do titular podem acessar dados pessoais. Esse controle considera não apenas quem acessa, mas também com que finalidade.

Desafios:

- Gestão de privilégios: Identificar e limitar o acesso apenas às pessoas que realmente precisam dele é um desafio constante, especialmente em grandes organizações. Muitas vezes, o controle de acesso é mal administrado, levando a permissões excessivas e desnecessárias.

- Complexidade de sistemas legados: Em empresas com sistemas antigos, a implementação de políticas de controle de acesso modernas pode ser complicada e requer um mapeamento cuidadoso de todos os pontos de acesso.

Erros Comuns:

- Permissões excessivas: Um dos erros mais comuns é conceder permissões mais amplas do que o necessário, comprometendo a confidencialidade dos dados.

- Falha em revogar acessos: Muitos acessos permanecem ativos após mudanças de função ou saída do colaborador, criando riscos de vazamento.

Mitigação:

- Política de Privilégio Mínimo: Implementar uma política de menor privilégio (Least Privilege), onde cada colaborador recebe acesso apenas aos dados necessários para seu trabalho.

- Revisões periódicas de acesso: Realizar auditorias regulares para revisar e atualizar os privilégios, retirando acessos desnecessários.

- Autenticação Multifatorial (MFA): Adotar a MFA para todas as contas sensíveis, aumentando a segurança mesmo se as credenciais forem comprometidas.

Armazenamento e Retenção de Dados:

Segurança da Informação: Envolve a criação de backups, criptografia em repouso e medidas para garantir que os dados armazenados não sejam manipulados ou corrompidos. São aplicadas regras de retenção para dados críticos com ciclos de backup rotativos.

- Proteção de Dados e Privacidade: Adota uma abordagem baseada em regulamentação para o armazenamento de dados, com requisitos de eliminação segura após o término do período de retenção permitido. A retenção é limitada pelo princípio da minimização, e são implementadas técnicas de anonimização para dados que precisam ser mantidos para análises.

Desafios:

- Gerenciamento do ciclo de vida dos dados: Muitas empresas têm dificuldade em estabelecer regras de retenção e descarte apropriadas, especialmente quando trabalham com grandes volumes de dados.

- Armazenamento descentralizado: Dados armazenados em múltiplos locais aumentam o risco de vazamento e dificultam a gestão de conformidade.

Erros Comuns:

- Retenção excessiva de dados: Manter dados por períodos mais longos do que o necessário eleva o risco de exposição em caso de incidente de segurança.

- Falta de criptografia em repouso: Muitos armazenamentos deixam de aplicar criptografia nos dados, aumentando o risco de acesso não autorizado.

Mitigação:

- Políticas de retenção claras: Estabelecer e implementar políticas de retenção específicas para cada tipo de dado, respeitando as exigências legais e regulatórias.

- Criptografia de dados em repouso: Criptografar todos os dados armazenados, reduzindo o risco de exposição em caso de acesso físico ao local de armazenamento.

- Descarte seguro: Garantir que dados que não são mais necessários sejam excluídos de forma segura, com processos de eliminação que impossibilitem a recuperação dos dados.

Monitoramento e Auditorias:

- Segurança da Informação: Realiza monitoramentos constantes para detectar anomalias e prevenir tentativas de intrusão. As auditorias internas focam na eficiência dos controles de segurança, como firewalls, SIEMs (Security Information and Event Management) e detecção de intrusão.

- Proteção de Dados e Privacidade: Foca em verificar se os dados estão sendo utilizados de acordo com o consentimento e com as políticas de privacidade. As auditorias de privacidade revisam o cumprimento das políticas de dados e regulamentações, e avaliam o grau de adequação ao GDPR, LGPD e outras leis relevantes.

Desafios:

- Falta de visibilidade: Muitas vezes, é desafiador obter visibilidade em tempo real das atividades dentro dos sistemas, dificultando a detecção de anomalias e ameaças.

- Complexidade de implementação: Implementar auditorias contínuas e abrangentes pode ser tecnicamente e financeiramente exigente.

Erros Comuns:

- Monitoramento insuficiente: Monitorar apenas eventos críticos pode deixar outras ameaças não detectadas, aumentando a vulnerabilidade da empresa.

- Falha em seguir resultados de auditorias: Ignorar ou subestimar os resultados das auditorias impede melhorias necessárias e perpetua vulnerabilidades.

Mitigação:

- Soluções de SIEM (Security Information and Event Management): Implementar sistemas de SIEM que monitoram e correlacionam eventos de segurança em tempo real, facilitando a identificação de atividades suspeitas.

- Revisão periódica de auditorias: Executar auditorias regulares e aplicar correções baseadas nas descobertas. Estabelecer um processo formal para responder a qualquer problema identificado.

- Capacitação contínua da equipe: Investir na formação da equipe para reconhecer sinais de alerta e responder de maneira rápida e eficaz a incidentes de segurança.

Regulamentação e Conformidade:

- Segurança da Informação: Está sujeita a normas como a ISO 27001, que exige a implementação de controles específicos para garantir a segurança da informação de maneira sistêmica.

- Proteção de Dados e Privacidade: Requer conformidade com regulamentações específicas, como a LGPD (Lei Geral de Proteção de Dados) e o GDPR (General Data Protection Regulation), que estabelecem obrigações detalhadas sobre o tratamento de dados pessoais e direitos dos titulares.

Desafios:

- Manter-se atualizado com mudanças regulatórias: A conformidade com a legislação é uma meta móvel, com regulamentos em constante evolução, o que exige uma adaptação frequente.

- Diferenças entre regulamentações: Empresas globais enfrentam dificuldades para atender simultaneamente regulamentações de diferentes países, como a LGPD e o GDPR.

Erros Comuns:

- Conformidade superficial: Muitas vezes, as empresas implementam controles de conformidade de forma minimalista, focando apenas em evitar multas, sem integrar boas práticas ao cotidiano.

- Ausência de um programa de governança de dados: A falta de uma estrutura de governança deixa a empresa vulnerável a violações de conformidade e dificulta a aplicação uniforme das políticas.

Mitigação:

- Framework de conformidade e governança: Implementar uma estrutura formal de governança de dados e conformidade para garantir a supervisão de políticas de privacidade e segurança, integrando-a aos processos de negócios.

- Auditorias externas periódicas: Além das auditorias internas, contratar auditorias externas ajuda a identificar lacunas e corrigir deficiências conforme os padrões internacionais.

- Treinamento e sensibilização contínuos: Capacitar os funcionários para compreender a importância da conformidade e saber como aplicá-la no dia a dia.

Dito isto, queria acrescentar de que embora segurança e privacidade tenham enfoques distintos, eles são interdependentes, assim um programa robusto de segurança da informação facilita o cumprimento das regulamentações de privacidade, e a conformidade com essas regulamentações ajuda a mitigar riscos associados à segurança.

- Consentimento Informado: Em termos práticos, o consentimento pode ser gerido por plataformas de Consent Management que garantem a rastreabilidade e a gestão de permissões. A segurança da informação protege esses registros de consentimento contra adulteração e acesso não autorizado.

- Direito de Acesso e Retificação: A segurança da informação assegura que apenas pessoas autorizadas possam processar e alterar dados pessoais. A privacidade garante que os titulares possam exercer seu direito de acesso e solicitar a retificação.

- Transparência nas Operações: A privacidade exige que as empresas informem como e por que seus dados são utilizados. A segurança da informação garante que estas operações ocorram dentro de um ambiente controlado e protegido.

A segurança da informação e a proteção de dados e privacidade se complementam, mas atendem a objetivos diferentes. Para uma implementação eficaz, as empresas devem:

- Estabelecer Políticas Claras de Segurança e Privacidade: Garantir que todos na empresa compreendam a diferença entre as duas áreas e suas responsabilidades.

- Manter Programas de Treinamento Contínuo: A educação contínua dos colaboradores sobre práticas de segurança e privacidade minimiza erros humanos, um dos principais riscos em ambas as áreas.

- Implementar Ferramentas de Gestão de Consentimento: Ferramentas de Consent Management são essenciais para a rastreabilidade do consentimento e para atender aos requisitos de privacidade de forma segura.

- Conformidade com Normas e Regulamentações: A adesão a padrões como a ISO 27001 e o GDPR é crucial para garantir uma abordagem holística e interdependente que alinha segurança e privacidade.

Ao compreender e implementar essas práticas, as empresas podem criar uma estrutura de gestão de dados mais segura e em conformidade com as exigências legais e éticas. Essa abordagem integrada aumenta a confiança dos titulares e fortalece a resiliência organizacional contra ameaças e violações.

As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Autor

Foto de perfil de Luiz Henrique Lobo

Luiz Henrique Lobo

Membro Independente de Conselhos | Comitê de Riscos da Caixa e de Auditoria da BR Partners | Consultor e Palestrante