SEGURANÇA E PROTEÇÃO DA INFORMAÇÃO E DE

INFRAESTRUTURA EM CYBERSECURITY

1
 NOSSA HISTÓRIA

A nossa história inicia com a realização do sonho de um grupo de empre-

sários, em atender à crescente demanda de alunos para cursos de Graduação
e Pós-Graduação. Com isso foi criado a nossa instituição, como entidade ofere-
cendo serviços educacionais em nível superior.

A instituição tem por objetivo formar diplomados nas diferentes áreas de

conhecimento, aptos para a inserção em setores profissionais e para a partici-
pação no desenvolvimento da sociedade brasileira, e colaborar na sua formação
contínua. Além de promover a divulgação de conhecimentos culturais, científicos
e técnicos que constituem patrimônio da humanidade e comunicar o saber atra-
vés do ensino, de publicação ou outras normas de comunicação.

A nossa missão é oferecer qualidade em conhecimento e cultura de forma

confiável e eficiente para que o aluno tenha oportunidade de construir uma base
profissional e ética. Dessa forma, conquistando o espaço de uma das instituições
modelo no país na oferta de cursos, primando sempre pela inovação tecnológica,
excelência no atendimento e valor do serviço oferecido.

2
Sumário
INTRODUÇÃO ................................................................................................... 4

OS PILARES DA SEGURANÇA DA INFORMAÇÃO ......................................... 5

A IMPORTÂNCIA DOS PILARES DA SEGURANÇA DA INFORMAÇÃO ......... 9

AMEAÇA VIRTUAL ............................................................................................ 9

OS PERIGOS DOS ATAQUES VIRTUAIS....................................................... 10

OS TIPOS DE ATAQUES ................................................................................ 11

QUAIS AÇÕES DE SEGURANÇA DEVEM SER TOMADAS PELAS

EMPRESAS? ................................................................................................... 13

PROTEÇÃO DO USUÁRIO FINAL .................................................................. 16

QUAIS SÃO OS RISCOS E AS PENALIDADES DOS VAZAMENTOS DAS

INFORMAÇÕES?............................................................................................. 18

LEI DE PROTEÇÃO DE DADOS ..................................................................... 19

O LADO FINANCEIRO DA QUESTÃO ............................................................ 22

CONSIDERAÇÕES FINAIS ............................................................................. 23

REFERÊNCIAS ................................................................................................ 24

3
INTRODUÇÃO

Se a internet é a resposta para muitos dos nossos problemas, a cibersegurança

é a pergunta. Com o crescente aumento do número de crimes digitais fica o
questionamento: quais são as ameaças para os usuários, empresas e governos?

As empresas hoje em dia, operam com um grande volume de dados, que antes
não existiam ou não eram obtidos e armazenados. Para acentuar, ainda entra
na conta a grande facilidade de comunicação entre dispositivos que aumenta e
muito o volume de transações e também de aberturas a fraudes.

Essa variedade de dispositivos favorece um cenário de ataques cibernéticos de

muitos tipos por proporcionar um ambiente atraente e lucrativo para os cibercri-
minosos.

Cyber Security é fundamental para proteger toda a Infraestrutura de TI das em-

presas, desde redes de dados, sistemas à programas contra diversos ataques
digitais. Os ciberataques visam destruir, acessar e alterar informações confiden-
ciais, interromper processos internos, invadir sistemas operacionais, entre outras
atividades perigosas à segurança interna da empresa.

Por isso, a implementação de medidas se torna eficaz para aumentar a segu-

rança cibernética nas empresas nos dias de hoje, porque as informações confi-
denciais transitam nas nuvens, há mais dispositivos do que pessoas e os inva-
sores estão com técnicas cada vez mais inovadoras.

4
OS PILARES DA SEGURANÇA DA INFORMAÇÃO

Há três pilares da segurança da informação mais populares, que formam a cha-

mada “tríade CIA”: confidencialidade, integridade e disponibilidade (do inglês
Confidentiality, Integrity and Availability). Porém, foram acrescentados outros
dois elementos para reforçar as políticas de proteção de dados. Confira esses
cinco pilares essenciais:

1. Confidencialidade

A confidencialidade é o primeiro pilar da segurança da informação, pois garante

que os dados estejam acessíveis a determinados usuários e protegidos contra
pessoas não autorizadas. É um componente essencial da privacidade, que se
aplica especialmente a dados pessoais, sensíveis, financeiros, psicográficos e
outras informações sigilosas.

Para garantir esse pilar nas suas políticas de segurança de TI, você deve incluir
medidas de proteção como controle de acesso, criptografia, senhas fortes, entre
outras estratégias. Inclusive, a confidencialidade dos dados pessoais de usuá-
rios é um dos requisitos centrais de conformidade com a GPDR (General Data
Protection Regulation) e LGPD (Lei Geral de Proteção de Dados Pessoais).

5
 2. Integridade

A integridade na segurança da informação diz respeito à preservação, precisão,

consistência e confiabilidade dos dados durante todo o seu ciclo de vida.

Para erguer esse pilar em uma empresa, é preciso implementar mecanismos de

controle para evitar que as informações sejam alteradas ou deletadas por pes-
soas não autorizadas. Frequentemente, a integridade dos dados é afetada por
erros humanos, políticas de segurança inadequadas, processos falhos e cibera-
taques.

3. Disponibilidade

Para que um sistema de informação seja útil, é fundamental que seus dados
estejam disponíveis sempre que necessário. Logo, a disponibilidade é mais um
pilar da segurança da informação, que garante o acesso em tempo integral (24/7)
pelos usuários finais.

Para cumprir esse requisito, você precisa garantir a estabilidade e acesso per-
manente às informações dos sistemas, por meio de processos de manutenção
rápidos, eliminação de falhas de software, atualizações constantes e planos para
administração de crises.

6
Vale lembrar que os sistemas são vulneráveis a desastres naturais, ataques de
negação de serviço, blecautes, incêndios e diversas outras ameaças que preju-
dicam sua disponibilidade.

4. Autenticidade

A autenticidade é o pilar que valida a autorização do usuário para acessar, trans-

mitir e receber determinadas informações. Seus mecanismos básicos são logins
e senhas, mas também podem ser utilizados recursos como a autenticação bio-
métrica, por exemplo. Esse pilar confirma a identidade dos usuários antes de
liberar o acesso aos sistemas e recursos, garantindo que não se passem por
terceiros.

5. Irretratabilidade

Também chamado de “não repúdio”, do inglês non-repudiation, esse pilar é ins-

pirado no princípio jurídico da irretratabilidade. Esse pilar garante que uma pes-
soa ou entidade não possa negar a autoria da informação fornecida, como no
caso do uso de certificados digitais para transações online e assinatura de do-
cumentos eletrônicos. Na gestão da segurança da informação, isso significa
ser capaz de provar o que foi feito, quem fez e quando fez em um sistema, im-
possibilitando a negação das ações dos usuários.

7
A Cartilha de Segurança para Internet (2012) traz outros princípios além dos in-
dicados acima, quais sejam, a autenticação, a identificação, a autorização e o
não repúdio.

A autenticação é utilizada para verificar se a entidade é realmente quem se diz

ser; a identificação para permitir que a entidade possa se identificar; a autoriza-
ção para determinar as ações que podem ser executadas pela entidade e o não
repúdio com o objetivo de evitar que a entidade negue que ela executou deter-
minado ato quando de fato executou.

Para garantir que os princípios delimitados sejam adotados pela organização

podem ser utilizados mecanismos de segurança, para auxiliar na proteção de
dados e garantir que a informação não seja violada.

Para tanto, é imprescindível que as organizações elaborem políticas de segu-

rança que deverão ser seguidas por todos os colaboradores, assim como, deve-
rão ser implementados outros mecanismos de proteção.

Os mecanismos de segurança podem ser entendidos como “mecanismos proje-

tados para detectar, prevenir ou se recuperar de um ataque de segurança” (GUI-
MARÃES et al, 2006).

De acordo com a Cartilha de Segurança para Internet (2012), os principais me-

canismos de segurança são: a política de segurança, a notificação de incidentes
e abusos, as contas e senhas, a criptografia, as cópias de segurança, as ferra-
mentas antimalware, firewall e filtro antispam.

8
A IMPORTÂNCIA DOS PILARES DA SEGURANÇA DA INFOR-
MAÇÃO

Sobre os pilares da segurança da informação está a proteção dos dados arma-

zenados e processados pelas empresas, que estão entre seus ativos mais vali-
osos. Você já deve ter ouvido a expressão “dados são o novo petróleo”, e não à
toa: informação na era digital é sinônimo de poder, e as organizações precisam
defender esse capital informacional para manter sua vantagem competitiva.

Para isso, precisam gerenciar riscos e proteger suas informações do acesso não
autorizado, vazamentos, alterações, invasões e perdas. As ameaças à segu-
rança da informação podem assumir as mais diversas formas, desde um cibera-
taque até desastres naturais e erros humanos.

Hoje, com as soluções em nuvem, conexão global e tecnologias como IoT,

as brechas de dados estão se multiplicando — e os ataques também —, exi-
gindo uma gestão de riscos ainda mais complexa.

Logo, os pilares da segurança da informação formam as bases para defender os

sistemas e infraestrutura da empresa, por meio de processos, políticas, senhas,
softwares de criptografia, firewalls, entre outras práticas essenciais.

AMEAÇA VIRTUAL

A ameaça virtual global continua a evoluir em ritmo acelerado, com um número

crescente de violações de dados a cada ano. Um relatório da RiskBased Secu-
rity revelou um número impressionante de 7,9 bilhões de registros que foram
expostos por violações de dados somente nos primeiros nove meses de 2019.
Este número é mais que o dobro (112%) do número de registros expostos no
mesmo período em 2018.

Serviços médicos, varejistas e entidades públicas foram os que mais sofreram

violações, sendo os criminosos mal-intencionados os responsáveis pela maioria

9
dos incidentes. Alguns desses setores são mais atraentes para os criminosos
virtuais porque coletam dados financeiros e médicos, mas todas as empresas
que utilizam redes podem ser alvo de ataques a dados de clientes, espionagem
corporativa ou ataques de clientes.

Com a escala da ameaça virtual crescente, a International Data Corporation

prevê que os gastos mundiais com soluções de cibersegurança chegarão a
133,7 bilhões de dólares até 2022. Governos do mundo todo têm respondido à
crescente ameaça virtual com orientações para ajudar as organizações a imple-
mentar práticas eficazes de cibersegurança.

Nos EUA, o National Institute of Standards and Technology (NIST) criou uma es-
trutura de cibersegurança. Para combater a proliferação de códigos maliciosos
e auxiliar na detecção precoce, a estrutura recomenda o monitoramento contínuo
e em tempo real de todos os recursos eletrônicos.

A importância do monitoramento do sistema é refletida nos “10 passos para a

cibersegurança”, orientação fornecida pelo Centro Nacional de Cibersegurança
do governo do Reino Unido. Na Austrália, o Centro de Cibersegurança Australi-
ano (ACSC) publica regularmente orientações sobre como as organizações po-
dem combater as ameaças mais recentes à cibersegurança.

OS PERIGOS DOS ATAQUES VIRTUAIS

Um ataque cibernético é capaz de bloquear a utilização de algum sistema in-

terno, interrompendo o trabalho de centenas e até milhares de profissionais; va-
zar dados e informações confidenciais; paralisar linhas de produção da indústria;
interromper o fornecimento de energia em cidades ou expor informações pesso-
ais de clientes e segredos de propriedade intelectual.

A empresa vítima de ataques digitais tem prejuízos financeiros e de credibili-

dade, o que provoca danos à imagem e leva a uma possível queda de investi-
mentos.

10
Em janeiro de 2021 foi revelado um dos maiores ataques virtuais dos últimos
anos: o megavazamento de dados pessoais de mais de 223 milhões de brasilei-
ros (até mesmo de pessoas mortas). Entre os dados vazados, havia CPF, nome,
data de nascimento, endereço, imposto de renda, fotos, entre outros. Com isso
em mãos, criminosos virtuais podem abrir contas em bancos e aplicar diversos
tipos de golpes.

(Fonte: https://revistasecurity.com.br/ataques-virtuais-crescem-50-com-o-aumento-do-home-of-
fice/ )

OS TIPOS DE ATAQUES

Existem diversos tipos de ataques por parte dos cibercriminosos, cada um deles
funciona de uma maneira diferente por atuar em vários níveis de segurança.

Imagine que um sistema de proteção seja uma cebola, ou seja, ele contém várias
cascas que precisam ser penetradas antes de chegar ao núcleo. É dessa forma
que estes ataques funcionam.

Entre os principais tipos de ataques, podemos citar:

11
 1. DDos

Uma sigla para Negação de Serviço Distribuída (Distributed Denial of Service).

Esse ataque ocorre quando um servidor é propositalmente sobrecarregado de
acessos e solicitações a fim de fazer a página “cair”. Nesse momento, os usuá-
rios não conseguem acessar, gerando prejuízos, por exemplo, no setor comer-
cial por não conseguir realizar as vendas.

2. Malware

Este termo é a contração em inglês de “Malicious Software” ou em tradução livre

(SoftwareMalicioso). Ele é uma generalização dos tradicionais e conhecidos ví-
rus, programas espiões, Scarewares, Cavalos de Troia e de capturas de tela e
teclado (Keyloggers). Eles são programas usados para obter acessos não auto-
rizados, capturar credenciais de acesso ou monitorar o usuário.

3. Phishing

Uma das formas mais amplamente usadas de ataque pela sua facilidade de ex-
pansão. Já recebeu um e-mail de promoções ou de banco, mas notou que o re-
metente não era verdadeiramente a instituição? Pois saiba que isso é Phishing.
Ele envolve a coleta de dados e informações pessoais, como de cartão de cré-
dito, por meio da semelhança do site legítimo onde o usuário não consegue per-
ceber as pequenas diferenças e fornece suas credenciais de acesso.

4. Ataques internos

Eles podem ser definidos como ações de pessoas que têm acesso fisicamente
aos sistemas ou privilégios administrativos e utilizam essa vantagem para bene-
fício próprio. Geralmente obtêm dados confidenciais ou se utilizam de pendrives
para instalar Malwares diretamente no sistema.

12
Como você pôde notar, hoje em dia muitas pessoas mal intencionadas percebe-
ram que as falhas na cibersegurança podem ser lucrativas. Por isso, é necessá-
rio tomar medidas de proteção para não ficar vulnerável. A seguir vamos te ex-
plicar como!

QUAIS AÇÕES DE SEGURANÇA DEVEM SER TOMADAS PELAS

EMPRESAS?

Para entender como agir em caso de ataque, é importante conhecer antes os

principais objetivos dessas ações, que são:

 interrupção — afeta a disponibilidade das informações, fazendo com que

elas fiquem inacessíveis;
 interceptação — prejudica a confidencialidade dos dados;
 modificação — interfere na integridade das informações;
 fabricação — prejudica a autenticidade dos dados.

Também é possível classificar os ataques, como:

 passivo — grava de maneira passiva as trocas de informações ou as ati-

vidades do computador. Por si só, não é um ataque prejudicial, mas os
dados coletados durante a sessão podem ser utilizados por pessoas mal-
intencionadas para fraude, adulteração, bloqueio e reprodução;
 ativo — momento no qual os dados coletados no ataque passivo são uti-
lizados para diversas finalidades, como infectar o sistema com malwares,
derrubar um servidor, realizar novos ataques a partir do computador-alvo
ou até mesmo desabilitar o equipamento.

Conheça, agora, as principais ações para proteger as informações da empresa.

13
Registros de logins

O uso de logins e senhas para conter o acesso aos sistemas é um dos meios
mais comuns de proteção digital, mas ainda muito efetivo. O grande problema é
que cibercriminosos podem usar programas que testam diversas combinações
de números, letras e outros caracteres para acessar uma rede corporativa.

Para dificultar a ação, os usuários devem escolher sempre senhas fortes. De

toda forma, é importante que a equipe de TI monitore os erros de segurança e
os acessos de login. Autenticações realizadas fora do horário comum podem ser
evidências da ação de crackers.

Proteção de servidores

Proteger os servidores corporativos é uma ação indispensável para qualquer

empresa. Devido ao tráfego intenso e ao elevado nível de energia requerido pe-
los sistemas, as ferramentas de segurança precisam aproveitar de modo inteli-
gente os recursos do hardware.

As soluções aplicadas devem possibilitar proteção integral contra ataques, de

maneira proativa e com detecção em tempo real, consumindo a menor quanti-
dade possível de recursos do sistema.

Segurança de e-mail

O e-mail é uma ferramenta muito utilizada para a difusão de ameaças digitais.

Portanto, a sua proteção não pode ser negligenciada. Como veremos, o phishing
é uma das principais formas de ataque, assim como o compartilhamento de ane-
xos ou links.

Para usar gerenciadores de e-mail nas máquinas, é importante ter alguns cuida-
dos, como:

 fornecer permissões de acesso apenas a dispositivos automatizados;

 proteger os conteúdos e os anexos do e-mail;
 instalar firewalls e filtros contra spam.

14
Também é necessário definir políticas de orientação, de modo que os colabora-
dores entendam sobre boas práticas na coordenação de e-mails.

Backups

A cópia de segurança — ou backup — é um mecanismo essencial que assegura

a disponibilidade das informações, caso as bases nas quais elas foram armaze-
nadas sejam roubadas ou danificadas. Os novos arquivos podem ser armazena-
dos em dispositivos físicos ou em nuvem.

O importante é que sejam feitas, pelo menos, duas cópias de segurança e que
tais registros sejam guardados em locais distintos da instalação original. A partir
do backup, é fácil recuperar, em um curto intervalo de tempo e sem grandes
mudanças na rotina, as informações perdidas por acidentes ou roubos.

Mecanismos de segurança eficazes

Existem muitos procedimentos de segurança lógicos, físicos ou que combinam

as duas possibilidades para a prevenção da perda de dados e o controle de
acesso à informação. O meio físico pode ser a infraestrutura de TI protegida por
uma sala com acesso restrito.

Para isso, a empresa pode investir em travas especiais nas portas ou em câme-
ras de monitoramento. Nesses ambientes, é fundamental haver sistemas de re-
frigeração e de instalações elétricas adequadas para assegurar o correto funci-
onamento dos equipamentos.

Em caso de falta de energia elétrica, é importante ter nobreaks que consigam

garantir o funcionamento da instalação pelo tempo suficiente. Equipamentos de
telemetria também são importantes para detectar falhas e emitir alertas automá-
ticos aos responsáveis.

Assinatura digital

A assinatura digital é um método que usa a criptografia para garantir a integri-

dade e a segurança dos documentos e das transações eletrônicas. Como a

15
grande parte dos arquivos empresariais migrou para os meios virtuais, garantir
suas autenticidades é crucial.

Dessa forma, a assinatura digital serve para validar contratos e outros conteú-
dos, garantindo que o emissor de um documento foi verificado e que o remetente
é realmente quem diz ser.

PROTEÇÃO DO USUÁRIO FINAL

A proteção do usuário final ou a segurança de endpoints são um aspecto crucial

da cibersegurança. Afinal, muitas vezes é um indivíduo (o usuário final) que faz
o upload acidental de um malware ou de outra forma de ameaça virtual para seu
desktop, laptop ou dispositivo móvel.

Como as medidas de cibersegurança protegem usuários finais e sistemas? Pri-

meiro, a cibersegurança conta com protocolos de criptografia usados para codi-
ficar e-mails, arquivos e outros dados importantes. Ela não apenas protege as
informações transmitidas, mas também impede que elas sejam perdidas ou rou-
badas.

Além disso, o software de segurança do usuário final procura códigos maliciosos

nos computadores, que depois são colocados em quarentena e removidos da
máquina. Programas de segurança podem até mesmo detectar e remover có-
digo malicioso escondido no Master Boot Record (MBR) e são desenvolvidos
para criptografar ou apagar dados do disco rígido do computador.

Os protocolos eletrônicos de segurança também se concentram na detecção de

malware em tempo real. Muitos utilizam a análise heurística e comportamental
para monitorar o comportamento de um programa e seu código para se defen-
derem contra vírus ou cavalos de Troia que alteram seu formato a cada execu-
ção (malware polimórfico e metamórfico). Os programas de segurança podem
confinar programas potencialmente maliciosos a uma bolha virtual separada da

16
rede de um usuário para analisar seu comportamento e aprender a melhor ma-
neira de detectar novas infecções.

Os programas de segurança continuam a desenvolver novas defesas à medida

que os profissionais de cibersegurança identificam novas ameaças e novas for-
mas de combatê-las.

Para aproveitar ao máximo o software de segurança do usuário final, os funcio-

nários precisam ser instruídos sobre como usá-lo. É fundamental mantê-lo em
funcionamento e atualizá-lo com frequência para que ele possa proteger os usu-
ários contra as ameaças.

Depois de entender melhor sobre alguns tipos de ataques, a gente se per-

gunta: como posso me proteger? Segundo os especialistas em cibersegurança,
os próprios usuários devem tomar medidas de prevenção. Sendo elas:

 Use softwares originais e os mantenha atualizados;

 Instale um firewall, AntiSpam e antivírus;
 Tenha cuidado ao se conectar em redes Wi-Fi, principalmente as "sem
senha";
 Criptografe seus dados;
 Faça backups;
 Tenha senhas seguras e diferentes para cada serviço;
 Cuidado ao compartilhar imagens, vídeos e outras informações por apli-
cativos;
 Use o login em duas etapas sempre que possível.

17
 QUAIS SÃO OS RISCOS E AS PENALIDADES DOS VAZAMEN-
TOS DAS INFORMAÇÕES?

O vazamento de informações é um problema real e crescente. Todo mês, notí-

cias sobre vazamentos de informações confidenciais se tornam públicas. Esses
são os casos conhecidos, ou seja, que têm um impacto visível.

Mas há ainda mais incidentes semelhantes ocorrendo diariamente e a grande

maioria dos vazamentos de informações é acidental: não é apenas o resultado
de ações dolosas. A perda de dados não intencional talvez seja a mais perigosa,
porque os afetados não estão necessariamente cientes ou capazes de agir sobre
o problema.

A perda de informações pode representar um custo muito alto às organizações.

Essa falha gera custos diretos e indiretos: a propriedade intelectual ou a infor-
mação industrial em si, além do custo para lidar com as consequências da perda.
Os prejuízos indiretos incluem perda de credibilidade, de vantagem competitiva
e transgressões regulatórias.

18
LEI DE PROTEÇÃO DE DADOS

A Secretaria de Governo Digital do Ministério da Economia promove diversas

medidas e políticas de segurança da informação e proteção de dados pessoais
no âmbito da administração pública federal, tanto de forma individual quanto em
parceria com outros órgãos e entidades federais.

Na definição do Glossário de Segurança da Informação do Gabinete de Segu-

rança Institucional (Portaria GSI/PR nº 93, de 26 de setembro de 2019), a segu-
rança da informação compreende o conjunto de ações que objetivam viabilizar e
assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade
das informações. Segundo a norma ABNT NBR ISO/IEC 27001:2013, a segu-
rança da informação envolve a implementação de um conjunto adequado de
controles que inclui políticas, processos, procedimentos, estrutura organizacio-
nal e funções de software e hardware.

Por sua vez, a Lei Geral de Proteção de Dados Pessoais (LGPD) define um dado
pessoal como uma informação relacionada a pessoa natural identificada ou iden-
tificável (art. 5º, inciso I da Lei nº 13.709, de 14 de agosto de 2018). A mesma
norma estabelece diversas obrigações e controles que devem ser implementa-
dos por entidades públicas e privadas que efetuam o tratamento de dados pes-
soais, inclusive no que concerne aos direitos dos titulares desses dados.

O mundo na atualidade está cada vez mais dependente de dados pessoais e do

tratamento de dados, tanto no meio digital quanto no meio físico.

O Regulamento Geral de Proteção de Dados pretende reforçar a proteção de

dados pessoais em todos os Estados membros da União Europeia.

A Lei Geral de Proteção de Dados – LGPD se inspirou no Regulamento indicado,

que surgiu após a ocorrência de diversos escândalos de vazamentos de dados
e de informações sem o consentimento do titular do dado na Europa.

19
A LGPD prevê medidas aptas para proteger os dados pessoais, em especial, os
dados sensíveis, tornando necessário que se estabeleça a governança de da-
dos.

Pode-se dizer que a governança de dados está relacionada com a gestão e o

controle das informações da organização.

Na LGPD são previstas sanções administrativas para os agentes de tratamento

de dados nos casos de infrações às disposições da lei indicada.

Assim, as organizações que incorrerem em vazamentos de dados e de informa-

ções, ainda que de forma acidental, serão punidas.

O artigo 48 da LGPD prevê que o controlador – pessoa responsável pelas deci-

sões sobre o tratamento de dados – deve comunicar em prazo razoável à Auto-
ridade Nacional e ao titular do dado pessoal a ocorrência do incidente de segu-
rança, que possa acarretar risco ou dano relevante ao titular.

Além disso, o controlador deve mencionar a descrição da natureza do dado afe-

tado, as informações sobre os titulares envolvidos, indicar medidas de segurança
para proteger os dados, os riscos relacionados ao incidente, os motivos da de-
mora – quando a comunicação não for imediata – e as medidas que foram ou
serão adotadas para mitigar ou reverter o prejuízo causado.

A LGPD é benéfica para o titular dos dados pessoais e para a própria organiza-
ção, pois prevê a utilização de medidas técnicas e administrativas para proteger
os dados pessoais de acessos não autorizados, bem como, de situações aci-
dentais ou ilícitas de destruição, de perda, de alteração, de comunicação ou de
difusão de dados.

A LGPD aponta ainda, a necessidade de comprovar a observância e o cumpri-

mento das normas de proteção de dados pessoais – prestação de contas.

20
Salienta-se que podem ser implementados programas de governança em priva-
cidade, que contenham, por exemplo, políticas e salvaguardas adequadas com
base em processo de avaliação de impactos e riscos à privacidade, além de
contar com planos de resposta a incidentes e remediação.

Muitos dispositivos da LGPD ainda carecem de regulamentação pela Autoridade

Nacional de Proteção de Dados.

Cabe informar que no dia 26 de agosto de 2020 foi publicado o Decreto nº

10.474, que aprova a Estrutura Regimental e o Quadro Demonstrativo dos Car-
gos em Comissão e das Funções de Confiança da Autoridade Nacional de Pro-
teção de Dados.

Diante do exposto, percebe-se a importância da LGPD e como a referida lei pode

contribuir para garantir a proteção de dados e a segurança da informação nas
organizações.

A LGPD além de trazer a preocupação com a proteção de dados dos usuários e

dos clientes, possibilita que a organização esteja em harmonia com o mercado
interno e externo, o que interferirá nas transações e nas negociações, que de-
vem ser pautadas na confiabilidade, na transparência, na segurança e na inte-
gridade.

21
O LADO FINANCEIRO DA QUESTÃO

Para permitir que a sua diretoria financie a segurança da informação sem preci-
sar entender a tecnologia subjacente, os fatores relevantes geralmente são tra-
duzidos em moeda, comumente entendida como risco em dinheiro. Essa tradu-
ção, no entanto, é muitas vezes incompleta e sempre requer maior interpretação.

Com um método tão prejudicado na tomada de decisões e um risco aparente

para o negócio, é comum considerar que é melhor fazer alguma coisa do que
nada. Os firewalls são comprados e o IDS (Intrusion Detection System, ou sis-
tema de detecção de intrusão) é instalado com grande despesa.

Muitas das contramedidas adquiridas podem atender a uma exigência óbvia para
o engenheiro treinado, mas o nível de investimento não costuma ser equilibrado.
O nível de risco pode justificar uma alocação significativa de fundos, mas nem
sempre é possível distribuir esses fundos da maneira mais eficiente.

Afinal, iniciativas podem ser complexas em si mesmas ou o impacto delas ser

difícil de entender. Por exemplo, tente justificar porque a falha de segurança X,
que nunca ocorreu, pode ser mais perigosa e cara do que a falha de segurança
Y, que ocorre mensalmente, mas não é perigosa, pois o sistema já detecta, trata
e apaga qualquer resquício.

22
CONSIDERAÇÕES FINAIS

Mais do que estratégica, a segurança da informação é essencial para a proteção

do conjunto de dados da corporação. E, como se sabe, são fundamentais para
as atividades do negócio.

Quando bem aplicada, é capaz de blindar a empresa de ataques digitais, desas-

tres tecnológicos ou falhas humanas. Porém, qualquer tipo de falha, por menor
que seja, abre brecha para problemas.

É fundamental que os gestores compreendam a importância da segurança da

informação, todos os aspectos envolvidos e técnicas e informações que auxiliam
a aprimorar a segurança do negócio.

Contar com uma empresa terceirizada de TI também é fundamental para casos

emergenciais relacionadas à segurança da informação e tantos outros.

Entre os benefícios da terceirização de TI está a possibilidade de contar com

técnicos especializados em segurança que irão garantir a manutenção da pro-
dutividade de sua organização.

Sua equipe fará um gerenciamento de riscos em várias etapas a fim de identificar

as vulnerabilidades, ameaças, possíveis impactos e quais serão os controles e
sua eficácia dentro do seu plano.

23
REFERÊNCIAS

MACHADO, Walmor. Cibersegurança: a chave para a proteção de dados!

Setembro 2020. Disponível em:< https://www.voitto.com.br/blog/artigo/ciberse-
guranca>. Acessado em: 10 de agosto de 2021.

TELES, Guilherme. O que é o NIST CyberSecurity Framework? Janeiro

2020. Disponível em:<https://guilhermeteles.com.br/o-que-e-o-nist-cybersecu-
rity-framework/#:~:text=O%20NIST%20Cybersecurity%20Fra-
mework%20Core,diferentes%20padr%C3%B5es%20de%20segu-
ran%C3%A7a%20cibern%C3%A9tica.&text=Es-
sas%20cinco%20fun%C3%A7%C3%B5es%20n%C3%A3o%20se,gerencia-
mento%20de%20riscos%20em%20geral>. Acessado em: 10 de agosto de
2021.

TUTiDA, Daniel. O que é segurança da informação? Saiba como garantir a

sua. Agosto 2021. Disponível em:<https://encontreumnerd.com.br/blog/o-que-e-
seguranca-da-informacao>. Acessado em: 10 de agosto de 2021.

DAU, Gabriel. Segurança da Informação: A importância da proteção de da-

dos na empresa. Setembro 2020. Disponível em:<https://www.jornalconta-
bil.com.br/a-importancia-da-seguranca-da-informacao/>. Acessado em: 10 de
agosto de 2021.

Cartilha de Segurança para Internet. Cert. 2 ed. São Paulo: Comitê Gestor
da Internet no Brasil, 2012. Disponível em:<https://cartilha.cert.br/>. Acessado
em: 11 de agosto de 2021.

Guia de Boas Práticas LGPD. Governo Federal. Abril de 2020. Disponível

em:https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-da-
dos/guia-boas-praticas-lgpd. Acessado em: 11 de agosto de 2021.

GUIMARÃES, Alexandre Guedes; LINS, Rafael Dueire; OLIVEIRA, Rai-

mundo. Segurança em Redes Privadas Virtuais – VPNs. Rio de Janeiro: Bras-
port, 2006.

HINTZBERGEN, Jule. et al. Fundamentos em Segurança da Informação: com

base na ISO 27001 e na ISO 27002. Tradução Alan de Sá. Rio de Janeiro: Bras-
port, 2018.

24