SEGURANÇA DE DADOS E BIG DATA

Web 5
Segurança do Big Data e Big Data para segurança\ Gerenciamento
da proteção de dados
Introdução
• Conceitos da aula:
• Segurança do Big Data – vulnerabilidade e soluções
• Big Data para segurança – como a análise de dados pode prevenir problemas de
segurança
• Política de segurança
• Continuidade de negócios
• Destruição de dados
1. Segurança do Big Data – vulnerabilidade e soluções
• Com o aumento do fluxo de dados nas empresas, as várias fontes de dados são um risco enorme para
todas as organizações.

• Essa situação traz muitas preocupações para os times responsáveis pela resposta a incidentes nas
empresas.
1. Segurança do Big Data – vulnerabilidade e soluções
• Alguns ataques aos sistemas de Big Data que podem surgir de fontes off-line ou online:
• roubo e vazamento de informações
• ataques DDOS (Distributed Denial of Services, ou negação de serviços distribuídos)
• ransomware (sequestro de dados) ou outro tipo de malware
• injeção maliciosa de dados

• Os resultados desses tipos de ataques podem ser ainda piores, considerando que as empresas
armazenam informações sigilosas e/ou confidenciais em sua base local.

• Com isso, colocam em risco dados críticos dos negócios e também dados pessoais de clientes ou, de
acordo com a nova Lei Geral de Proteção de Dados (Lei nº 13.709, de 2018), os titulares destes dados
pessoais.

• Em primeiro lugar, o Big Data da empresa precisa estar alinhado a sua política de segurança.
Dessa forma, tudo ficará unificado e terá a proteção não apenas dos dados que serão gerados, mas sim
de toda a informação gerida pela empresa.
1. Segurança do Big Data – vulnerabilidade e soluções
• Devem fazer parte da política interna e externa de proteção empresarial e também estarem
implementadas na empresa, medidas como:
• rotina de backup
• espelhamento de servidores
• local para a guarda do backup
• antivírus no servidor e nas estações de trabalho
• sistema de VPN para comunicação externa pela internet, entre outros recursos básicos

Além das medidas acima, que são consideradas medidas básicas de segurança, devemos pensar em um
modelo de segurança que pode ser usado para proteger um Big Data.
1.1. Modelo de segurança lógico para Big Data
• Não existe um modelo de segurança infalível.

• A política de segurança da empresa deve ser incluída em algumas rotinas de atualização de software,
patchs de correção, além de bloquear as saídas USBs dos computadores da rede, evitando a
contaminação de vírus e outros softwares maliciosos, como o temido ransomware.

• A seguir vamos apresentar um modelo de segurança que pode ser um ponto de partida para um modelo
a ser adequado por uma empresa.

• O primeiro fator a ser considerado é o ponto de conexão com o Big Data.

• Nesse caso estamos considerando duas conexões:

• uma que ocorre através da internet de fora da empresa para o Big Data
• outra que é realizada pela rede interna, com os funcionários trabalhando dentro da empresa.
1.1. Modelo de segurança lógico para Big Data
1.2. Modelo de segurança físico para Big Data
• Quanto ao modelo de segurança físico, algumas medidas que podem ser utilizadas pela empresa são:
• Acesso biométrico – Para acessar a sala de servidores, devem ser cadastrados as digitais de alguns
funcionários ou dados faciais e voz, para controle de acesso físico à principal sala de informação da empresa.
• Câmeras de monitoramento – As câmeras de circuito interno devem ser estrategicamente instaladas em
pontos de entrada, corredores e até dentro da sala de servidores. As gravações devem ser mantidas por pelo
menos um mês.
• Rack dos servidores – Atualmente muitas empresas já possuem os racks dos servidores com acesso
biométrico, assim é possível saber qual funcionário acessou determinado servidor, o que facilita caso ocorra
algum erro ou ataque interno.

• É importante frisar que não existe um modelo inquebrável onde não existe a possibilidade de invasão.
• O que existe é um conjunto de ferramentas e políticas que auxiliam a empresa e os profissionais de TI a
criar um sistema ou modelo de segurança da informação em que, caso ocorra um incidente, todos os
serviços sejam restaurados o quanto antes.

• Dessa forma, a empresa diminui o prejuízo e continua com a sua operação.

2. Big Data para segurança – como a análise de dados pode prevenir problemas de segurança
• Os casos de crime cibernéticos têm aumentado muito.

• Em 2020, isso se complicou: com a pandemia de Covid-19, os colaboradores passaram a trabalhar de

suas casas em esquema home office.

• No mesmo ano, a Fortinet concluiu o relatório de análise de ameaças de 2020, o Fortinet Threat
Intelligence Insider Latin America. Essa ferramenta coleta e analisa incidentes de crimes cibernéticos
em todo o mundo.

• Por este estudo, o Brasil sofreu mais de 3,4 bilhões de tentativas de crimes cibernéticos no
período de janeiro a setembro, somando um total de 20 bilhões em toda a América Latina, incluindo o
Caribe.

• O estudo, apresentado no último trimestre de 2020, destaca uma utilização fora do comum do
DoublePulsar que é um backdoor vetor para outros malwares como os ramsomwares.

• Esta ameaça se aproveita de falhas ou vulnerabilidades supostamente solucionadas, colocando em

evidencia empresas que utilizam softwares sem a devida atualização.
2. Big Data para segurança – como a análise de dados pode prevenir problemas de segurança

• Importante destacar que o ransomware também pode entrar nas empresas através de phishing, ou seja,
pela engenharia social. A conscientização é uma boa medida de adequação organizacional crítica para
que as pessoas evitem abrir anexos com links maliciosos.
• Os dados do relatório indicam ainda que os ataques de brute force (força bruta) seguem em alta no
Brasil, no último trimestre de 2020. O estudo mostra que de dez das principais ameaças de exploração
encontradas no último trimestre, seis foram desta forma.

• A Fortinet ([s. d.]) afirma, ainda, que:

• Os ataques de força bruta se aproveitam especialmente de senhas fracas, utilizadas repetidamente
em contas pessoais e corporativas. O aumento do uso de redes acessadas em home office pelos
funcionários fez essa ameaça voltar a ser popular entre os criminosos. (FORTINET, [s. d.])
2. Big Data para segurança – como a análise de dados pode prevenir problemas de segurança

• Finalizando, os malwares se tornaram mais sofisticados e mais complicados de detectar e combater.

• Manter a proteção dos dados comerciais contra malware e hacking é um dos desafios mais complexos
que as empresas enfrentam atualmente.

• O Big Data definitivamente chegou para mudar muitas coisas em nossas vidas e com certeza é uma
fonte muito rica de informações e conteúdo, e por isso também já é utilizado de formas a trazer
vantagens também na segurança do dia a dia.
2. Big Data para segurança – como a análise de dados pode prevenir problemas de segurança

• Após a pandemia, com times inteiros trabalhando de casa, as empresas precisaram se adaptar, a
mitigação de riscos passou a ser mais abrangente e foi necessária ajuda para isso.

• Por isso o Big Data é uma excelente ferramenta, já que pode, juntamente ao aprendizado de máquina
(ou machine learning), ser treinado e se desenvolver para ser o “segurança da rede”.

• O “segurança da rede” pode, através de todos os dados que trafegam em sua infraestrutura, auxiliar na
detecção de ameaças, por exemplo um IDS (Intrusion Detection System, ou sistema detector de
intrusos), que fica monitorando a rede e o tráfego de dados maliciosos.

• Nesse sentido, o Big Data é extremamente útil, pois é capaz de cruzar muita informação e avaliar o que
é malicioso do que não é e alertar os times neste sentido.
• Podemos usar o Big Data em conjunto com a IA (inteligência artificial) para avaliar os
comportamentos na rede, se existe alguma mudança neles a fim de detectar ameaças baseadas
nos comportamentos comuns dos usuários e novamente avisar no caso de ameaças.
2. Big Data para segurança – como a análise de dados pode prevenir problemas de segurança

• Com a chegada de novas legislações, fez-se necessário que as empresas respondessem aos
incidentes com prazos curtos e monitorados, a fim de não apenas identificar e resolver os casos
rapidamente, mas também para justificar as ações e comunicar as autoridades e seus titulares da
ocorrência.

• Pois tudo isso será considerado caso a autoridade de proteção de dados venha a bater na porta da
empresa.

• É neste sentido que o Big Data é essencial na ajuda e na resposta a incidentes, pois pode focar
em detectar os incidentes com base em dados já armazenados, isolar e erradicar rotas deste
incidente.

• Um exemplo de projeto que tem apresentado grande repercussão e já se mostra com uma solução
muito positiva neste sentido é o Projeto BlackFin, da empresa finlandesa F-Secure.
2. Big Data para segurança – como a análise de dados pode prevenir problemas de segurança

• A tendência é que, em conjunto com a IoT (internet das coisas), esse tipo de solução crescerá e, com todos
os dados trafegados no Big Data, não irá ajudar somente na segurança, mas também em muitas outras
áreas, como saúde, engenharia etc.

• Seguindo a prática, o NIST (National Institute of Standards and Technology – Instituto Nacional de Padrões e
Tecnologia) oferece orientação para empresas que desejam se comprometer a melhorar as práticas de
segurança.
1. Planejando políticas e processos de proteção de dados

• Todo programa de segurança da informação precisa de políticas, processos e procedimentos

para que tudo ocorra o mais perto possível da normalidade com controles mínimos de segurança e
proteção dos dados, que possam guardar as evidências necessárias para serem futuramente
auditados.

• A Política de Segurança da Informação – PSI, contém os níveis aceitáveis e não aceitáveis de

condições de uso da rede, de segurança de sistemas e de senhas com o objetivo de garantir o
controle de acesso a informações classificadas e controladas, entre outras coisas.

• Desde 2021, começou a vigorar no Brasil as punições previstas para não cumprimento da Lei Geral de
Proteção de Dados (LGPD).

• Com isso, além da PSI, temos que nos preocupar com outras políticas como por exemplo, política de
respostas a incidentes e a violação de dados pessoais e as que cuidam de respostas aos
titulares de dados pessoais.
1. Planejando políticas e processos de proteção de dados

• Nesse sentido as normas ISO possuem papel fundamental.

• Segundo a NBR ISO/IEC 27002, as empresas precisam de políticas para a existência do processo de
segurança da informação:
• A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados,
incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware.
• Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e
melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam
atendidos. (ABNT, 2005, p. X)
1.1.1. Política de segurança da informação
• Toda empresa precisa ter sua própria política de segurança da informação (PSI), que pode ser chamada
de diversas formas:
• política de segurança cibernética;
• política de segurança da informação e cibernética;
• política de cibersegurança.
• Ela quem determina importantes diretrizes sobre como manter um programa de segurança da
informação na empresa, as regras mínimas aceitáveis do uso de rede, os tipos de acessos à
informação e as formas que garantimos esse acesso, bem como o que fazemos para termos uma
política completa e aderente com os conceitos e padrões de segurança da informação direcionada aos
objetivos e à missão da empresa.

• É considerada a mais importante política dentro do programa de segurança da informação.

• É recomendado que todo colaborador, ao entrar no quadro da empresa, assine um termo confirmando
que leu e está de acordo com esta política, bem como passe por um treinamento para conhecer mais
sobre o conteúdo e como a empresa lida com esse assunto.
1.1.2. Política de privacidade e proteção dos dados

• Por conta da LGPD, fez-se necessário que as empresas elaborassem uma política voltada para a
forma como tratam os dados pessoais internamente.

• A política de privacidade dos dados pessoais deve:

• Descrever os tipos de dados pessoais recolhidos pelos canais da empresa e como esses dados podem ser
utilizados e/ou com quem podem ser compartilhados.
• Descrever a maneira como o titular dos dados pode entrar em contato com a empresa para atualizar suas
informações de contato, acesso e controlar o uso dos dados pessoais que são coletados em relação às
comunicações e atividades de marketing, ou obter respostas para perguntas que você possa ter sobre as
práticas de privacidade nesses sites.
1.1.2. Política de privacidade e proteção dos dados

• A política de privacidade dos dados deve também, entre outras coisas, informar a todos:
• a política de tratamentos de dados;
• as finalidades desse tratamento (o por que?);
• as bases legais desse tratamento;
• as medidas técnicas e organizacionais de segurança que são utilizadas para garantir a segurança
dos dados pessoais;
• o nome do DPO (Data Protection Officer, ou encarregado de dados pessoais);
• forma de contato com o DPO

• Tudo deve ser detalhado e precisa estar disponível onde todos possam acessá-la e entender o que é
feito com os seus dados.
1.1.3. Política de governança dos dados pessoais

• A política de governança dos dados pessoais é a responsável por informar a todos COMO é feito
o tratamento dos dados na empresa.

• Ela foca estritamente nos dados pessoais e na forma como eles são tratados, faz uma menção
também a outras políticas importantes para a governança dos dados, tais como: a política de segurança
da informação e a política de privacidade dos dados pessoais.
1.1.4. Política de resposta a incidentes de segurança e violações de dados

• A política de resposta a incidentes de segurança e violações de dados não trata apenas do fluxo
do atendimento dos incidentes de segurança, mas também se eles estão relacionados ao vazamento ou
à violação de dados.

• É importante destacar que um incidente de segurança nem sempre pode estar relacionado à
violação de dados pessoais, mas uma violação de dados pessoais com certeza está relacionada
a um incidente de segurança.

• A politica deve estar detalhada de tal forma que qualquer pessoa que chegue na empresa e a leia será
capaz de entender e explicar como funciona o processo de resposta a incidentes de segurança e
também como são tratados casos relacionados à violação de dados pessoais.
1.1.4. Política de resposta a incidentes de segurança e violações de dados

• Outros processos complementam e reforçam pontos com outras políticas, por exemplo:
• acordo de confidencialidade com colaboradores e terceiros;
• política de processamento e tratamento das requisições dos titulares;
• política de avaliação de proteção de dados de terceiros aplicados à segurança da informação e
compliance;
• política de classificação da informação;
• política de uso dos recursos de tecnologia da empresa e redes;
• política de backup e restore.

• Todas essas politicas apoiam a proteção dos dados e a segurança da informação na empresa.
2. Continuidade de negócios

• Um dos planos mais importantes em uma empresa é o plano de continuidade de negócios.

• Esse plano tem o objetivo de prevenir o risco de interrupção dos negócios frente a eventos catastróficos
deste tipo ou qualquer evento que interrompa a operação de um ou muitos processos do negócio.
Tomou mais força depois do atentado de 11 de setembro de 2001.

• Essa é uma das políticas e um dos procedimentos essenciais da gestão da segurança da informação,
conforme definido na NBR ISO/IEC 27002.
2. Continuidade de negócios

• O objetivo do PCN, ou Plano de

Continuidade dos Negócios, é
garantir a continuidade de
processos e informações vitais à
sobrevivência da empresa, no
menor espaço de tempo possível,
com o objetivo de minimizar os
impactos de um desastre.
2. Continuidade de negócios

• Uma empresa não possui um plano único, mas sim diversos planos integrados e focados em
diferentes perímetros, sejam físicos, tecnológicos ou humanos e direcionados a múltiplas
ameaças potenciais.

• Um plano de contingenciamento pode assumir diversas formas, em função do objeto a ser

contingenciado e da abrangência de sua atuação. Isso é fundamental pois nem todos os processos
da empresa possuem a mesma criticidade e precisam ser tolerantes a falha.

• Em geral, é realizada uma análise de todos os principais sistemas da empresa, aqueles que não
podem parar, e disponibilizado em um documento chamado de BIA (Business Impact Analysis,
ou análise do impacto nos negócios), que fornecerá uma visão de quais sistemas podem
impactar na continuidade dos negócios de forma direta ou indireta e, com essa análise feita,
então se estrutura o PCN.
2. Continuidade de negócios

• Algumas regras para o PCN devem ser seguidas :

1. O BIA elaborado será o direcionador para o PCN e, com ele, já temos os serviços prestados em tecnologia da
informação que podem proporcionar o mínimo de operação para a continuidade do negócio.
2. O gerente de SI (sistema de informação) é o responsável pela disponibilidade de toda a informação bem como
de todo o serviço sob sua responsabilidade
3. O gerente de SI também é o responsável pelos custos da implantação da solução desenvolvida pelo time de
tecnologia para atender ao nível de disponibilidade dos dados e/ou serviços
4. O plano de continuidade que vai garantir a disponibilidade é desenvolvido e coordenado pelo time de SI ou por
uma consultoria especializada escolhida pelo gerente de SI.
5. É necessário testar o plano ao menos uma vez ao ano, de forma estruturada, documentada, e ele deve ficar
disponível para auditoria.
6. Os testes do plano de continuidade devem ser efetuados pelas pessoas que atuam nas áreas onde os
sistemas serão testados, pois são essas pessoas que serão acionadas em um caso real.
7. Os recursos utilizados no processo de continuidade devem ter o mesmo nível de proteção e sigilo dos
elementos utilizados em situação normal.

Essas regras, apoiada por toda diretoria, devem ser seguidas e divulgadas por toda a empresa para se ter
o mínimo de um PCN e para garantir a disponibilidade dos dados de uma empresa.
3. Destruição de dados
A destruição dos dados já era item fundamental na NBR ISO/IEC 27001, quando se refere a empresas do
setor financeiro, como de cartões de crédito e meios de pagamentos.

A nova lei de proteção de dados trouxe mudanças para os profissionais de TI e SI, que precisam se
preocupar também com os dados pessoais e a sua destruição.

Devemos garantir que a destruição dos dados seja feita de forma correta e pertinente, em especial dos
dados que não serão mais utilizados pela empresa.
3.1. A destruição dos dados na segurança da informação

A destruição de dados feita de forma equivocada ou sem a devida autorização ou conhecimento do

titular, pode ser considerada um incidente de segurança, como uma violação de dados pessoais.

Neste caso, estamos falando de cumprimento da norma NBR ISO/IEC 27001, em especial do controle
A.8.3:
• “Tratamento de mídias – Objetivo: prevenir a divulgação não autorizada, modificação, remoção
ou destruição da informação armazenada nas mídias” (ABNT, 2013, p. 15)
3.2. A destruição dos dados pessoais por requisito legal

Alguns aspectos devem ser respeitados e seguidos na destruição destes dados:

1. Deve-se documentar e registrar todo o processo para efeitos de auditoria e validação do processo.
• Em alguns casos deve-se também ter dupla validação, uma do cliente e outra do fornecedor.
• Guardar essas evidências para futuras auditorias.
2. Deve-se utilizar ferramentas específicas para a destruição dos dados:
• Em mídia física: equipamentos devem ser utilizados para destruição de mídias (CDs, pen drives,
HDs).
• Em arquivos digitais: ferramentas específicas devem ser utilizadas para evitar que as mídias
armazenem qualquer vestígio que possibilitem a recuperação dos dados.
3.3. A destruição dos dados pessoais e os arquivos temporários

Os desenvolvedores de softwares também precisam se preocupar com o que é feito com os dados
trafegados em seus sistemas.

Nesse sentido dois conceitos importantes são o Privacy by Default (privacidade por padrão) e Privacy by
Design (privacidade no desenho), que referem-se a ter a proteção da privacidade como ponto de partida
para o desenvolvimento de qualquer projeto em todos os sentidos.

E em relação a destruir arquivos temporários no Privacy by Design e Privacy by Default, a ISO 27701 diz
que a organização deve assegurar que os arquivos temporários sejam descartados (por exemplo,
apagados ou destruídos) seguindo os procedimentos documentados, dentro de um período especificado e
documentado.

Todos os pontos na destruição desses dados devem ser respeitados e documentados para as devidas
prestações de contas nos casos de futuras auditorias, além da fiscalização das autoridades de proteção
de dados.
Considerações Finais

• Nesta aula:
• Ferramentas inteligentes de análise de Big Data podem elevar estratégias de segurança quando
fornecidas informações suficientes.
• As organizações precisam implementar políticas e procedimentos de segurança e proteção de
dados e podem tomar como base a família das ISOs 27000.
• Para manter a alta disponibilidade e a continuidade de negócios, deve-se criar um plano de
continuidade de negócios, com o intuito de garantir a continuidade mínima dos sistemas
empresariais.
• Com o surgimento das leis de proteção de dados, outras necessidades relacionadas à destruição
de dados devem ser respeitadas e seguidas, e as normas e padrões internacionais também podem
auxiliar neste aspecto.
• No tópico de gerenciamento da segurança de dados, vimos os conceitos de Privacy by Design e
Privacy by Default e a importância destes conceitos na privacidade de dados e na destruição de
arquivos temporários.
REFERÊNCIAS
• O material exposto nesse documento (texto e imagens) foi extraído na íntegra da seguinte
referência.
• Lima, Adriano Carlos de
Segurança de dados e big data / Adriano Carlos de Lima. – São Paulo :
Editora Senac São Paulo, 2021. (Série Universitária)
Bibliografia. e-ISBN 978-65-5536-657-0
(ePub/2021) e-ISBN 978-65-5536-658-7 (PDF/2021)
1. Informação – Sistemas de armazenagem e recuperação – Medidas de segurança
2. Segurança da Informação – Medidas de segurança
3. Proteção de dados : Rede de computadores
4. Gestão de segurança da informação I. Título. II. Série