No mundo globalizado de hoje é certo que vivemos em constantes mudanças e evoluções tecnológicas, o que nem sempre conseguimos acompanhar. Assim, é comum nos deparamos com a fragilidade dos sistemas computacionais e de segurança e tecnologia da informação, onde centenas de milhares de dados pessoais são expostos quase que diariamente.
Sabemos que nosso país não possui cultura de segurança da informação e devido a isso muitos golpes e vazamentos de dados têm estampado as manchetes e os noticiários. Hoje, só falamos em privacidade e proteção de dados em virtude do início da vigência, em 18 de setembro 2020, da Lei 13.709/2018, comumente conhecida como Lei Geral de Proteção de Dados, oportunidade em que o cenário de vulnerabilidade ficou ainda mais exposto.
Um dos pilares mais importantes em relação à proteção e privacidade de dados é a segurança da informação, seja ela na concepção das empresas ou dos próprios usuários. Essa importância está bem objetivada no artigo Art. 47 da referida lei: “Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista nesta Lei em relação aos dados pessoais, mesmo após o seu término”.
A segurança da informação é primordial aos controladores que realizam tratamento de dados pessoais, uma vez que auxiliam no cumprimento das exigências trazidas pela legislação, pois sem segurança da informação não há privacidade de dados. Com isso, as empresas passaram a sentir os impactos na organização das atividades empresariais, uma vez que para garantirem a adequação à LGPD, todos os processos internos que tratem dados pessoais precisarão ser revistos com o objetivo de se mapear as operações, os dados pessoais tratados, as bases legais existentes e a necessidade de implementação de controles e políticas internas, softwares adequados, dentre outros procedimentos, pois erroneamente muitos pensam que segurança da informação é só realizar backup, ter antivírus e firewall.
Mas afinal o que é segurança da informação?
Informação: conteúdo de valor para uma pessoa física ou jurídica.
Segurança: a percepção de proteção contra perigos, ameaças, vulnerabilidades e incertezas.
Segurança da informação consiste na proteção de dados de propriedade das organizações ou simplesmente que estejam em posse delas contra todas as ameaças, físicas ou virtuais, que possam sofrer. Podemos definir como um esforço pautado por ações que objetivam mitigar riscos e garantir a continuidade das operações das empresas. Para um melhor entendimento vamos dividir em duas partes
Um dos objetivos da segurança da informação, portanto, é garantir ao proprietário/possuidor de informações/dados que as vulnerabilidades sistêmicas ou de infraestrutura sejam identificadas, corrigidas e protegidas, antes de uma exploração indevida que ocasione incidentes de segurança e danos, inclusive, de ordem material e moral, que pode até mesmo impactar nas atividades empresariais e reputação organizacional.
Com o fito de evidenciar os benefícios de uma gestão de riscos eficiente com aplicação efetiva de mecanismos de segurança da informação e, com isso, auxiliar na compreensão da importância de implementação de boas práticas, citamos a situação hipotética listada abaixo.
Uma empresa monitora a respectiva plantação de milho e insere diversas informações da produção dentro do seu sistema operacional. Esse sistema calcula a quantidade de fertilizantes que deve ser aplicado por hectare, o tipo de semente que foi plantada, a quantidade de água para irrigação, as informações desde o plantio da safra corrente até a efetiva colheita. Os responsáveis verificam no sistema todas essas informações diariamente para poderem repassar aos interessados o que precisa ser feito na plantação. Porém o Sistema Operacional (Windows) desse computador não é original e está com diversos paths de segurança desatualizados. Um vírus foi inserido nesse computador através de um pendrive de um dos usuários desse sistema sem o conhecimento dos responsáveis pela empresa. O vírus, então, ataca e altera todas as informações dos fertilizantes, o que ocasiona a aplicação de quantidades desproporcionais e incorretas, e tal situação enseja a perda de toda a produção, o que gera um prejuízo incalculável à empresa, que não terá condições de cumprir os respectivos contratos, incorrendo ainda em problemas de caixa e de perda reputacional.
Algumas ações que poderiam evitar esse problema:
Análise e Gestão de Riscos: Verificação das vulnerabilidades sistêmicas ou de infraestrutura onde diversos problemas podem ser mitigados;
Atualização de Sistema Operacional: Utilizar Sistema Operacional original e sempre atualizado;
Implantação de Políticas de Segurança da Informação: Procedimentos que serão adotados por todos da empresa para evitar/mitigar incidentes de segurança da informação e/ou vazamento de dados;
Treinamento de colaboradores: Palestras de conscientização sobre segurança da informação e privacidade de dados alinhados com as normas ISO27001 e ISO27701.
Ressalta-se, portanto, que para se ter minimamente proteção e segurança na gestão de dados, é de suma importância que todos os cidadãos brasileiros sejam conscientizados acerca da importância do assunto, para que todos, tanto pessoas físicas quanto as jurídicas, usufruam de um ambiente mais seguro.
Texto de autoria de Jorge Luiz Muniz, sócio fundador da Web Security Consultoria e Serviços de Segurança da Informação, e colaboração de Juliana Neves Crisostomo, especialista em privacidade e proteção de dados do Arone Coutinho Advocacia.
No nosso próximo encontro, falaremos um pouco mais sobre segurança da informação e gestão de riscos de TI. Convidamos a acompanharem quinzenalmente a nossa coluna de segurança da informação criada especialmente para você do agronegócio, com dicas e informações importantíssimas e de grande relevância para o seu negócio.
Até breve.