Skip to content

SEGURANÇA DA INFORMAÇÃO

Para entender mais a fundo o que realmente constitui a segurança da informação, deve-se delinear primeiramente quatro conceitos, quais sejam:

(i) vulnerabilidade, que pode ser entendida como qualquer fraqueza que atinge um determinado sistema, processo, ambiente ou protocolo de negócios;

(ii) ameaças, que são potenciais situações que podem vir a atingir determinada vulnerabilidade do negócio;

(iii)incidente, quando a ameaça se concretiza sobre determinada vulnerabilidade; e

(iv)controles, que são medidas utilizadas para impedir ou mitigar a ocorrência de incidentes, bem como para reduzir as suas consequências negativas.

Portanto, a conformidade com a LGPD não está relacionada apenas com algumas operações isoladas e

pontuais de implementação de recursos tecnológicos ou utilização de templates de documentos retirados da internet. Pelo contrário, este enquadramento pressupõe o estabelecimento de um modelo de governança, no tocante à segurança da informação, que considere todos os riscos operacionais e, consequentemente, implemente os controles adequados para gerenciá-los ou eliminá-los, sob o risco de o agente de tratamento incorrer em pesadas sanções ou em condenações na esfera civil.

Diante disto, já se consegue definir melhor o conceito de segurança da informação, que consiste em um conjunto de regras e práticas elaboradas para a proteção da informação, incluindo-se dados pessoais, sejam eles sensíveis ou não. Trata-se de um conjunto estruturado de ações cujo objetivo é a mitigação de riscos, garantindo-se a privacidade dos titulares de dados e possibilitando a própria continuidade do negócio em casos de incidentes.

Adentrando um pouco mais no tema, a segurança da informação está fundamentada em pelo menos três pilares, quais sejam:

1. a confidencialidade, que garante que as informações serão acessadas somente por pessoas autorizadas;
2. a integridade, que garante que as informações estão íntegras, que não sofreram qualquer adulteração e que até poderão ser alteradas, contanto que por pessoas autorizadas;

3. a disponibilidade, que garante que as informações estão acessíveis facilmente para as pessoas autorizadas.

Preenchidos os requisitos de pelo menos estes três pilares, pode-se afirmar que aquele sistema que preserva as informações é seguro. De fato, a manutenção da segurança dos dados pessoais dos titulares se insere no escopo maior da segurança da informação, tendo em vista que esses dados são, em si, informações sobre determinados indivíduos.

Por fim, em um conceito um pouco mais abrangente, pode-se contemplar um quarto pilar, a autenticidade, que garante que as pessoas que estão tentando acesso às informações sejam realmente aquelas autorizadas, devendo sempre manter os devidos registros destas ações.

A título de esclarecimento, veja um exemplo de incidente de segurança para cada um desses quatro pilares da segurança da informação:

1) Confidencialidade: um colaborador revela algumas informações a terceiros não autorizados ao acesso àquelas informações;
2) Integridade: o colaborador do RH recebe um atestado médico de um funcionário e por um descuido lança o CID errado e anos depois essa pessoa tem um problema com a sua aposentadoria, em decorrência desse erro desse colaborador;

3) Disponibilidade: uma operadora de plano de saúde não libera uma cirurgia de um paciente, por conta de uma falha sistêmica e essa pessoa vai a óbito; 4) Autenticidade: um falso oficial de justiça se apresenta a uma empresa, portando uma identificação fake além de um mandado de busca e apreensão fabricado por ele, levando consigo um computador contendo uma porção de informações de clientes.