Segurança de informação - Cuidados básicos

Todos nós já ouvimos a frase: “O ano só começa depois do Carnaval”. Portanto, vamos lá, que 2024 está começando! Mas se está iniciando para nós, também está começando para os cibercriminosos.

Então, vamos conhecer e adotar algumas medidas de segurança para tornar o nosso ano mais seguro e portanto, mais produtivo.

Segundo a norma ISO 27002, a segurança é alcançada pela implementação de um conjunto adequado de controles, incluindo políticas, processos, procedimentos, estrutura organizacional e funções de software e hardware. Já a segurança da informação “trata de ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações”¹.

A base legislativa da gestão da segurança de informação está no Marco Civil da Internet e no decreto 8.771/16. Com a edição da LGPD – lei 13.709, de 14 de agosto de 2018², a segurança de informação ganhou melhores contornos, dispondo o artigo 46 que: “Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”, bem como que essas medidas “deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução” (§ 2º do artigo 46).

Contudo, apesar da regulamentação prevista nas legislações citadas e das medidas de segurança que o legislador determina sejam adotadas, a possibilidade de ocorrerem violações, hackeamentos, vazamentos, jamais poderá ser descartada.

Desse modo, vale destacar alguns cuidados considerados básicos para o exercício da segurança de informação no seu dia-a-dia e no de sua empresa ou negócio.

Destacam-se como cuidados quanto à proteção pessoal:

• Senhas fortes. Use senhas longas com diferentes tipos de caracteres, ex. letra maiúscula, minúscula, símbolos, números. Não usar teclas sequencias, nomes, datas ou dados.
• Segundo Fator de Autenticação (2FA). É um método de segurança de gerenciamento de identidade e de acessos que exige duas formas de identificação para acessar recursos, aplicações e dados. Pode ser realizado por SMS, por e-mail, por token, por aplicativo autenticador, sendo este o mais seguro.
• Uma senha forte para cada aplicação. Não utilize a mesma senha para todas as aplicações, aplicativos, plataformas, etc. A variação no uso de senhas destina-se a limitar os riscos em caso da ocorrência de acesso indevido ou indesejado. Para tanto, recomenda-se o uso do gerenciador de senhas.
• Gerenciador pessoal de senhas. Aplicação de software que facilita a gestão das diversas contas e suas senhas, mediante o uso da criptografia. Há diversos gerenciadores, como por exemplo, NordPass, KeePass, 1Password, Keeper. Alguns gratuitos, outros pagos.
• Backup. Faça backup de seus aparelhos pessoais em unidades externas criptografadas ou em nuvem. O backup é uma cópia de segurança, que deve ser feita também para aparelhos pessoais, como celulares e tablets. Incluem-se serviços como Google Drive, ICloud, OneDrive, Dropbox, entre outros. Alguns gratuitos, outros pagos.
• Rede doméstica segura e cuidado no uso em locais públicos. Deve-se partir do princípio de que redes públicas não são confiáveis. Há redes falsas e adredemente preparadas para a realização de golpes. Na dúvida, use apenas a sua rede de dados móveis. 
• Contas do sistema operacional com menor privilégio. Use contas secundárias para os acessos diários e rotineiros. Não utilizar conta administrador e tampouco, contas de convidado.
• IMEI do aparelho celular. Mantenha a anotação do IMEI do aparelho móvel em local conhecido e de fácil acesso, o que facilitará eventuais medidas de bloqueio, em caso de roubo ou uso indevido e inclusive, para fins de localização do aparelho.

Ainda, devido ao habitual envolvimento com trabalho, estudos e as mais diversas funções, destacam-se alguns cuidados quanto à proteção em ambiente corporativo:

• Equipe ou profissional de TI. Manter um profissional e/ou equipe capacitados é absolutamente necessário em qualquer ambiente profissional. A prevenção, a orientação prévia, a avaliação da necessidade de cada negócio, assim como a implementação de adequados meios de segurança são medidas que devem ser realizadas com a atuação de profissionais técnicos e capacitados.
• Criptografia. Método de codificação de dados que permite o acesso apenas por pessoas autorizadas, portadoras de chave de acesso. Protege a integridade e o sigilo das informações e dados.
• Firewall. Recurso de software ou hardware que funciona como proteção, filtrando as informações que chegam e saem de uma rede. Serve como controlador do tráfego de uma rede privada.
• Observação do princípio do menor privilégio. Estratégia de administração de acessos e autorizações segundo as necessidades de cada atividade específica e de cada usuário. Trata-se de segmentação visando garantir que usuários acessem e utilizem apenas as informações e dados que sejam necessários para sua função ou atividade, isto é, de forma granular.
• Senhas fortes. Além da criação de senha longas com diferentes tipos de caracteres, como já sinalizado como medida de proteção pessoal, alterar as senhas constantemente, sem o uso de números sequencias (ex: senha001, senha002, senha003). Todas as contas de acesso devem ter senhas fortes e individuais. Não autorizar a memorização de senhas para fim de utilização automática e muito menos a troca de senhas entre os colaboradores ou o uso comunitário de alguma senha.
• Segundo Fator de Autenticação (2FA) e Gerenciador de senhas. O mesmo cuidado já tratado anteriormente quando da proteção pessoal aplica-se também para o ambiente corporativo, de modo a atribuir maior segurança ao uso das senhas. Há métodos e soluções especialmente desenvolvidos para o uso em empresas, como por exemplo: biometria, QRcode, certificado digital, Dashlane, RoboForm, Passwordstate, CyberArk. 
• Backup em fita, disco, nuvem, espelhamento. Parafraseando a charada: quem tem dois, tem 1; quem tem 1, não tem nenhum. A utilização de rotinas de backup de informações e dados deve ser periódica, sendo que a escolha da melhor forma vai depender da necessidade, do tamanho, da área de atuação. Cada ambiente tem a sua necessidade. Cada negócio também. 
• Sistemas atualizados em suas versões mais recentes, as quais possuem correções de falhas e vulnerabilidades, tornando-se menos suscetíveis a violações.
• Software com assinatura, originais, licenciados. Não permitir a instalação de programas não originais. Reproduções piratas além de violarem direitos autorais e se constituírem em crime digital, são mais suscetíveis a ameaças e violações. 
• VPN. Trata-se de Rede Privada Virtual e corresponde a uma rede protegida para uso em rede de internet pública. Cria uma espécie de túnel entre uma máquina e a internet.
• Confiança zero. Trata-se de estratégia de segurança, que deve pautar os processos internos partindo da premissa de que nenhum usuário pode ser considerado confiável, até que tenha seus acessos autorizados e/ou validados. 
• Gestão de identidades. Trata-se da organização das identidades e acessos, categorizando as atribuições, papéis e responsabilidades, com a criação de perfis, de acordo com cargos e funções.  Isso evita que se mantenham perfis ativos de colaboradores já desligados; ou que se mantenham credenciais de um colaborador mesmo após a sua mudança de função. 
• Conscientização / treinamento de todos os funcionários e colaboradores, com especial atenção aos novos integrantes. Atualmente adota-se o processo de integração, que é uma das etapas mais importantes para novas contratações. Transmitir a estrutura, a cultura, os cuidados, os hábitos, estabelecer vínculos, são alguns dos benefícios dessa fase inicial da contratação e destina-se inclusive, para evitar o uso de técnicas de engenharia social.

Nunca é demais rememorar que embora todos nós tenhamos algum conhecimento acerca de cuidados com a segurança de informação, é extremamente necessário que haja o comprometimento, seja com o cuidado pessoal, seja no âmbito corporativo, por meio do engajamento de equipes, colegas, colaboradores, tudo para o exercício efetivo de medidas de segurança e proteção, pois em geral os cibercriminosos esperam uma falha dos usuários e dos titulares de dados, para serem bem-sucedidos em suas constantes tentativas de ataque. 

Que possamos “iniciar” o ano de 2024 adotando medidas para proteger e cuidar dos dados e informações que utilizamos em nosso dia-a-dia e em nossas atividades, de modo a estarmos sempre atentos e cuidadosos. O sucesso da segurança de informação exige espírito colaborativo e responsável de todos envolvidos.

---------------------------

1 Disponível em: https://www.gov.br/gsi/pt-br/dsic/glossario-de-seguranca-da-informacao-1. Último acesso em: 12 fev 2024.

2 Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Último acesso em: 12 fev 2024.

Carmen Gloria Arriagada Berríos
Especialista em Direito Civil, Processo Civil e Digital (in progress). MBA pela FGV. Certificada em Privacidade e Proteção de Dados pela FGV e DPB. Sócia do escritório Pereira Gionédis Advogados.