Desafios da Saúde Suplementar na vigência da LGPD
13/06/2023O Marketing em conformidade com a LGPD
27/06/2023Sergio Pohlmann, CISSP[1]
Consultor de Segurança da Informação e Privacidade na LGPD Ninja;
Instrutor Autorizado pela (ISC)2. sergio.pohlmann@gmail.com
Resumo:
Uma visão técnica sobre a aplicação da LGPD na indústria, setor que cresce anualmente, em todo o mundo, mas que vem sendo um dos principais alvos de ataques cibernéticos nos últimos anos, fazendo com que exposições, vazamentos, e falhas de disponibilidade, tornem-se uma preocupação de grande monta, para administradores e consultores, já que, além dos danos normais referentes à segurança da informação, soma-se os riscos de incumprimento com a Lei Geral de Proteção de Dados – LGPD.
Palavras-chave:
LGPD, Indústria, conformidade
Abstract:
A technical approach about the LGPD application in the industry, sector who presents a great annual growth, but comes been one of the principal targets of a cyber-attacks in the last years, making the exfiltration’s, breach’s, and availability fails, turns into a headache to executives and consulting’s, why, after the normal damage in the security information area, increases the risks related to a compliance with the General Personal Data Protection Law, LGPD.
Keywords:
LGPD, Industry, compliance
Introdução:
É de notório conhecimento que nossa indústria foi historicamente negligente com fatores relacionados à segurança da informação, tendo sido surpreendida, nos últimos anos, com uma enorme quantidade de ataques de segurança, que expuseram as deficiências do sistema atual.
Com o advento da Lei Geral de Proteção de Dados, LGPD (Planalto, 2018), a preocupação sobre a segurança foi acrescida da preocupação relativa a compliance, ou ao cumprimento com a referida Lei, já que a inconformidade com a mesma pode expor a empresa a problemas jurídicos e financeiros de grande monta, além da evidente exposição aos meios, o que acarreta, invariavelmente, danos à imagem da empresa.
As Revoluções Industriais:
Especialmente no Brasil, as indústrias se situam em diferentes estágios, que, no jargão técnico da própria indústria, chamam-se “gerações” ou “revoluções”.
O uso desta terminologia é corriqueiro, na atualidade, a tal ponto em que é trivial a expressão “indústria 4.0”, “indústria 5.0”, inclusive em publicidades direcionadas ao público em geral.
No nosso caso, nem todas as empresas do setor industrial tiveram o mesmo ímpeto (ou disponibilidade financeira) para atualizar-se de acordo com padrões internacionais. Isto fez com que nosso parque industrial, no geral, seja muito variado, sendo comum a coexistência de empresas com muito alto grau de tecnologia e inovação, trabalhando em parceria com empresas que ainda se encontram em um estágio extremamente “atrasado” tecnologicamente.
Esta diversificação de gerações no parque industrial, em si, não deveria ser uma preocupação adicional para os gestores e consultores de LGPD. No entanto, cada uma das revoluções leva consigo uma série de características próprias relativas a segurança da informação, e que, consequentemente, influem diretamente no cumprimento dos pilares da LGPD pelas empresas. Além disso, mesmo aquelas empresas mais atrasadas, fizeram incursões nas novas tecnologias, na maioria as vezes, sem o olhar crítico da segurança da informação, o que abre uma enorme brecha de segurança, expondo, muitas vezes, as empresas a riscos diversos, com consequências bastante preocupantes.
Explicando melhor, devemos considerar que a aplicação da LGPD deve ter em conta, de forma extremamente resumida e simplificada, três pilares, que determinam as condições para o processamento de dados relativos ao indivíduo (dados pessoais e dados pessoais sensíveis) (Pohlmann, 2021):
- Princípios
Os motivos e princípios que norteiam e justificam o tratamento dos dados pessoais do indivíduo pelo controlador. Tais princípios justificam o tratamento dos dados, e são definidos, em geral, pelo próprio controlador.
- Base Legal
O suporte jurídico que embasa o tratamento do dado pessoal por parte do controlador. Existem dez bases legais definidas pela própria LGPD, sendo que, para tratar dados pessoais, o controlador deve enquadrar tal tratamento em, pelo menos, uma base legal.
- Tratamento Adequado
Finalmente, o dado a ser tratado deve receber um tratamento adequado, que assegure que o mesmo se encontre protegido sob a tutela do controlador. Este tratamento é definido pelas normas internacionais, protocolos e códigos de boas práticas, conhecidos pela área de segurança da informação, há décadas.
Observando este último pilar, surge a dúvida: como chegamos neste ponto, onde a segurança passa a ser um verdadeiro problema para as empresas?
Sem entrar em detalhes maiores, historicamente, a indústria negligenciou controles e normas de segurança, por três fatores primordiais: A ausência de conhecimento sobre as necessidades de segurança da informação; a falta de incentivo governamental que impulsionasse as indústrias a crescer, tendo a segurança como um pilar fundamental, e; limitações financeiras. Investir em segurança da informação implica em custos. Em tempos difíceis, os cortes começam sempre dos setores onde os benefícios são menos notados, e, de acordo com os dois primeiros pontos aqui citados, fica óbvio que o setor de segurança foi um dos principais prejudicados com cortes de investimento. Isto aconteceu com indústrias brasileiras, nos mais diversos estágios, ou gerações.
Veremos logo que, dependendo do estágio de modernização da indústria, as recomendações e a forma de tratar os dados podem ser distintas, de onde podemos concluir que é fundamental conhecer o estágio em que a empresa se encontra, como condição inicial para uma análise sobre as necessidades de cumprimento com a legislação.
Também é fácil concluir que a segurança da informação se transforma em ferramenta essencial, pois sem a aplicação criteriosa da mesma, não é possível a realização do tratamento adequado aos dados pessoais. Em consequência, olhar com cuidado para os riscos de segurança da informação, inerentes a cada processo, em cada empresa, em cada caso, passa a ser uma tarefa indispensável para a preparação do processo de compliance da empresa, para com as determinações da LGPD.
Para compreender melhor a importância da segurança da informação na aplicação da LGPD na indústria, entendamos, primeiro, estas várias revoluções que este importante setor sofreu, e os riscos mais conhecidos em cada uma delas.
Antes, considere como fator comum, que indústrias em qualquer dos estágios aqui citados, assim como as demais empresas, quase sempre terão necessidade de adequação à LGPD para seus dados relativos à colaboradores, sócios, acionistas, parceiros comerciais, transportadoras, marketing, entre outros. Portanto nos deteremos naqueles fatores que são mais característicos da indústria, já que os demais setores não são o objetivo deste texto.
Primeira Revolução Industrial:
De resumida forma, podemos citar a primeira grande revolução da indústria como sendo a produção mecanizada, em larga escala. A chegadas das máquinas (mecânicas) trouxe um enorme avanço na realização de processos repetitivos, aumentando a capacidade, a precisão, a repetibilidade e a velocidade da produção de bens.
Nesta indústria, os dados pessoais não são tão frequentes, em relação aos usuários finais dos bens construídos, já que a infraestrutura em si é bastante limitada, e destinada a processos puramente mecânicos.
Um exemplo desta indústria é o da produção mecanizada de tijolos, por exemplo, destinados à construção civil. Na maioria das empresas que ainda seguem neste estágio, não existem máquinas eletrônicas, conexões de rede, ou relações de clientes, que estejam no processo produtivo em si. Quando tais dados (dos clientes, parceiros, etc.) são necessários, eles costumam ficar na área administrativa, e no uso de soluções tecnológicas modernas de contato com o cliente, processos de marketing, etc.
Neste setor, os riscos de compliance são aqueles referentes à documentação (física ou eletrônica), especialmente trabalhista, registros de clientes, fornecedores, transportadores, etc., além, é claro, da comum inexistência de documentação de segurança.
Os riscos relativos diretamente à segurança da informação são aqueles relacionados com o uso da tecnologia, que, para estas industrias, consistem sempre em uma revolução necessária. Explicando melhor, mesmo mantendo processos na primeira geração industrial, o empresário desta indústria quer estar atualizado, utilizando serviços de mensageria, e-mail, marketing online, entre outros. E o despreparo para tais usos, em relação à segurança da informação transformam estas ferramentas e recursos em riscos potenciais.
Segunda Revolução Industrial:
A segunda revolução industrial compreende a implementação da eletricidade nos processos produtivos. O uso da eletricidade permitiu uma melhora significativa nos processos, aperfeiçoando aquilo que já era eficiente na geração mecânica, e criando novas possibilidades para a indústria.
Um exemplo que ainda persiste em nossa realidade são as indústrias têxteis menos avançadas, onde seu processo de produção se baseia, ainda, em máquinas elétricas, sem nenhum processo de automação eletrônica.
As empresas que estão nesta geração possuem a mesma situação que as da primeira geração: incorporaram tecnologias no seu dia-a-dia, mas estas não estão nos processos produtivos, senão nos processos administrativos. Estas indústrias sofrem os mesmos riscos que aquelas anteriormente citadas, tanto a nível de compliance com a LGPD, quanto em relação à segurança da informação.
Terceira Revolução Industrial:
Esta é a situação da esmagadora maioria das indústrias brasileiras, neste momento de nossa história.
Trata-se do advento da eletrônica, dos processos automatizados, acompanhados por dispositivos eletrônicos, ou mesmo acompanhados por computadores.
Exemplos aqui não faltam: indústrias têxteis modernas, que produzem a partir de modelos definidos em um computador, máquinas de corte de metais, cujo processo é definido por computador, indústrias automotivas, onde robôs podem realizar uma grande parte dos trabalhos, automatizando processos e reduzindo riscos humanos em tarefas que antes eram exclusivas destes, dentre tantos outros exemplos.
NO entanto, por estar na borda da tecnologia atual, esta indústria sofre pesadamente com a segurança da informação. A grande maioria das empresas conecta seus dispositivos a sua rede interna, mesmo sento eles, originalmente, desenhados sem o conceito de segurança da informação. Isto gera exposições enormes de superfícies de ataque, onde equipamentos não preparados para estar na rede, oferecem “prato cheio” para os atacantes, que, estes sim, se mantêm sempre muito atualizados com o que há de mais novo no mercado.
Exemplo: Uma indústria eletroeletrônica, onde o equipamento que controla uma determinada máquina (digamos um computador que controla uma máquina destinada a tecer, neste exemplo), foi desenhado há tanto tempo, e com tais características, que não pode ser substituído por máquinas mais modernas.
No exemplo, poderíamos citar computadores de controle que, obrigatoriamente, precisam utilizar uma versão antiga de sistema operacional (como um Windows 95), que já não possui suporte do fabricante, e cujos “furos” de segurança são extremamente conhecidos pelos atacantes.
E porquê não trocar um equipamento destes por uma versão mais moderna? Custos! Simplesmente custos! Em alguns casos, estas máquinas utilizam placas softwares, ou interfaces que só funcionam com versões antigas do sistema operacional. A troca só seria possível, efetuando, também a troca do software, placa, hardware, ou o que seja. Muitos fabricantes, de olho neste mercado, criaram “upgrades” para versões mais novas, com valores exorbitantes. Afinal, o usuário já está cativo, e não existem muitas alternativas disponíveis. Diante do alto custo de upgrade, o executivo prefere manter máquinas obsoletas, mesmo com os riscos que elas carregam consigo. A estas máquinas, normalmente chamamos de “parque legado”.
Os riscos aqui se estendem de forma exponencial. Não sendo, originalmente desenhados com vistas a operar em ambientes de redes abertas, muitos equipamentos antigos são verdadeiras “peneiras” de segurança, ambientes cheios de “furos” de segurança, muito conhecidos dos atacantes, que buscam acesso aos dispositivos, para, desde aí, lançar ataques mais efetivos, e realizados de dentro da rede da vítima.
Todas as indústrias desta geração (3) deveriam proceder a profundas analises de segurança e compliance. Dentro do possível, deveriam possuir um CISO (executivo de Segurança da Informação), ou, pelo menos, buscar auxilio terceirizado neste sentido. Os riscos são imensos, constantes, e cada vez maiores.
Cabe aqui ressaltar que a maioria dos dispositivos IOT (Internet of things, ou Internet das coisas) que estão no mercado, foram desenvolvidos ainda com o princípio de “não segurança”, ou seja, sem a preocupação de cobrir falhas de segurança quando conectados em ambientes globais (como a internet). Mas os empresários da nossa indústria, na maioria das vezes, desconhecendo esta realidade e os riscos que tais procedimentos implicam, autoriza a conexão, gerando um enorme risco de segurança.
Veremos recomendações pertinentes, mais adiante.
Quarta Revolução Industrial:
Aqui entra a famosa indústria 4.0, que tanto ouvimos falar. Trata-se da fusão de recursos virtuais a procedimentos automatizados eletrônicos.
Um bom exemplo, é a indústria de automóveis. Na terceira geração, muito da modelagem dos veículos é realizado de forma manual, com o auxilio evidente de ferramentas físicas diversas. Na quarta geração, partes físicas do carro são desenhadas, manipuladas e testadas a partir de um ambiente puramente virtual. Quando concluídos os testes, e aprovados os protótipos virtuais, a linha de produção automatizada pode começar a produzir tais peças, sem a necessidade da modelagem física. O mesmo ocorre, já, neste momento, em nosso país, com muitas outras indústrias, como a têxtil, a de alimentos, de química, entre tantas outras.
Os riscos aqui, estão diretamente relacionados com a indústria 3.0. O empresário que deseja ingressar na indústria 4.0 deve ter em conta que a maioria das tecnologias da geração 3 não está preparada, em termos de segurança, para uma realidade virtual. Então, a sugestão óbvia é: Para indústria 4.0, utilizar somente equipamentos desenhados para 4.0.
Nesta realidade, equipamentos desenhados para a nova realidade, já estão em um patamar mais atualizado em termos de segurança. Evidentemente, os cuidados com esta seguem sendo necessários, mas serão muito mais pontuais e objetivos do que aqueles necessários para um ambiente misto das gerações 3 e 4.
Quinta Revolução Industrial:
Finalmente, a indústria 5.0, nova, inovadora, e muito esperada!
Ainda está nascendo, e, basicamente, consiste na utilização da geração 4.0, para melhorar a qualidade de vida das pessoas, em seu ambiente de trabalho. Aqui surgirão coisas como otimização de tecnologia para redução de carga horária, melhores condições trabalhistas, etc.
Ainda que seja uma indústria nova, e apenas em fraldas, para nossa realidade, já podemos dizer que trata-se da reincorporação do fator humano na rotina da automação.
Esta frase explica tudo, em termos de riscos. Maiores fatores humanos apontam para maiores riscos humanos. E os riscos humanos são os piores. Porque as máquinas são previsíveis, possuem rotinas a serem implementadas, correções a serem realizadas, proteções a levantar. O ser humano é instável, confiante, empático, mais fácil de enganar, por natureza.
Então os grandes desafios da segurança da informação, e, em consequência, da LGPD, para esta nova indústria, será manter os padrões das gerações anteriores, reforçando a segurança voltada para o ser humano. Ou seja, aquilo que conhecemos como conscientização do usuário (user awareness).
Conclusão:
A LGPD e a segurança da informação estão “de mãos dadas” na indústria. Simplesmente, não pode haver proteção de dados pessoais, sem , primeiro, pensar em segurança da informação!
Daí se conclui que nossa indústria precisa olhar para si mesma, reavaliar seus conceitos de segurança, de privacidade, e, principalmente, de conscientização de usuários (ou colaboradores).
Observações Finais:
Os desafios aqui mostrados, são, fundamentalmente, válidos para muitas áreas, além da própria indústria. Mas as características da indústria, e seu notável atraso (na grande maioria dos casos), faz com que os riscos se multipliquem.
Procedimentos relativos a proteção dos dados pessoais, na indústria, devem ter em conta (sem ser, esta lista, definitiva ou totalitária):
- Cuidados com documentação física, especialmente relativa a colaboradores;
- Mapeamento cuidadoso das informações pessoais relativas a clientes, fornecedores, parceiros e terceiros contratados;
- Mapeamento de riscos de segurança da informação, tanto de origem física, quanto dos informáticos, relativos aos dados pessoais e as possibilidades de vazamentos;
- Mapeamento de medidas tomadas pela indústria, com vistas a diminuir os riscos apontados;
- Desenvolvimento de Políticas de Segurança da Informação e Privacidade;
- Desenvolvimento de Planos de Resposta a Incidentes de Segurança da Informação;
- Rotinas de testes periódicos relativos aos planos e políticas;
- Processos consistentes de conscientização de usuários (para 100% dos colaboradores);
- Rotinas de testes e avaliações periódicas sobre o nível de conscientização dos colaboradores em relação à privacidade de dados, e à segurança da informação;
- Mapeamento de Impacto de dados pessoais, nas mais diversas possibilidades relativas aos riscos apurados;
- Preparação constante para responder adequadamente às autoridades, quando requisitado, seja antes ou depois da ocorrência de um incidente de segurança da informação que possa causar impacto aos dados pessoais.
Além de dispor de Encarregado de Dados competente, toda a indústria (independentemente do tamanho) deveria contar com serviço de profissional de segurança da informação. De ser possível dispor, na empresa, de um CISO (executivo de segurança da informação), esta deve ser uma medida urgente, a ser tomada. Não estando ao alcance da empresa a contratação de um profissional desta monta, as terceirizações são uma alternativa viável. Mas a existência do profissional de segurança será, com certeza, ponto fundamental para que a indústria consiga aproximar-se, com menos tropeços, a uma compliance com a LGPD.
Bibliografia:
PLANALTO. Lei 13.709,Lei de Proteção de Dados Pessoais. 2018. [Online; Último acesso em 16 de Maio de 2019]. Disponível em: <http://www.planalto.gov.br/ccivil_03/ _ato2015-2018/2018/lei/L13709.htm>.
POHLMANN, A.; Sérgio, LGPD Ninja – Entendendo e implementando a LGPD nas empresas. 2ª ed.: Verbis, Nova Friburgo, RJ, 2022. 322 p. ISBN 978-65-003042-1-3.
[1] Sergio Pohlmann é um especialista em Segurança da Informação e privacidade, portador de certificações internacionais conceituadas, como CISSP (na qual também possui autorização internacional como instrutor oficial), CCISO, CEH, Security+, ISO/IEC 20001, ISO/IEC 27701. Atuou muitos anos como docente em carreiras de engenharia de computação e análise de sistemas, trabalhando, atualmente, com consultorias de segurança da informação e LGPD, na empresa LGPD Ninja, onde é autor de obras sobre a Lei Geral de Proteção de Dados.