Devido a pandemia provocada pela Covid-19, muitas ações têm sido adiadas. Uma delas é a data de vigência da Lei Geral de Proteção de Dados (LGPD), que atualmente está prevista para agosto deste ano, e provavelmente será adiada para janeiro de 2021. A alteração na data ainda entrará em votação na Câmara dos Deputados e requer sanção presidencial. Além dessa possível alteração na data de vigência da lei, quais outros aspectos podem relacionar o impacto da pandemia com a LGPD e a proteção de dados?
Proteção de dados na pandemia
Com a pandemia de Covid-19, muitas empresas se viram forçadas a interromper suas operações ou pensar em formas alternativas de continuar trabalhando e mantendo seus colaboradores à salvo. Boa parte das empresas que se depararam com esse tipo de necessidade pela primeira vez optaram por fazer com que seus funcionários trabalhassem remotamente a partir de suas casas e, com isso, muitas incertezas e dúvidas surgiram. Alguns dos principais meios de comunicação do país nos procuraram para respondermos a perguntas como: “trabalhar de casa é realmente seguro?”, “quais os riscos atrelados a isso?”. A resposta mais sincera é: “depende do cenário!”. Essa transformação digital forçada pode fazer com que empresas adotem tecnologias de forma muito rápida e sem o devido amadurecimento, podendo trazer sérios riscos à segurança dos colaboradores e dos dados em si. Neste post, citarei alguns pontos relacionados a criptografia que podem ser aplicados tanto para a LGPD quanto para a segurança das informações em tempos de confinamento forçado.
Para ilustrar, vamos imaginar uma pessoa que precisa trabalhar de casa, ou de qualquer outro local que não seja o ambiente interno da empresa. Para tornar um ambiente cada vez mais seguro é interessante utilizar diversas camadas de proteção para que haja o mínimo de exposição possível de dados sigilosos, e as medidas tomadas para isso envolvem diversos aspectos tecnológicos.
Camadas de proteção
#HTTPS
Tendo em vista nosso exemplo, digamos que todos os colaboradores precisam acessar o principal portal da empresa onde trabalham, seja para abrir seu webmail, ver informações sobre pagamentos e benefícios, ou usufruir de algum serviço disponibilizado pela página. Para que haja mais segurança no quesito comunicação entre o site e os colaboradores, o protocolo HTTPS precisa ser habilitado. O HTTPS fará com que toda a comunicação entre o navegador do colaborador e o portal da empresa seja criptografada, ou seja, se houver algum tipo de interceptação de tráfego, o criminoso não vai conseguir decifrar dados importantes, como, por exemplo, o usuário e a senha utilizados para acessar o portal, dados sigilosos que tal colaborador pode ter acesso, ou até mesmo eventuais arquivos que tenham sido baixados.
#Banco de dados
Uma outra prevenção, agora adotada apenas na parte do servidor, é a criptografia das informações que são salvas no banco de dados.
Quando se começa a lidar com estruturas de bancos de dados sempre surge a dúvida: “mas afinal, o que deve ser mantido criptografado?”. E a resposta que considero mais adequada é que se deve criptografar apenas aquilo que ninguém deverá saber e o que ninguém precisará pesquisar. Tudo que é criptografado não consegue mais fazer parte de uma busca, pois se torna ilegível, ou seja, para um banco de dados que possui informações cadastrais não costuma ser viável a criptografia de nome, sobrenome, endereço e telefone pois eles não poderão ser utilizados como campos localizadores daquele usuário*. Ao invés disso criptografa-se a senha, ou dados de cartão de crédito, por exemplo, para que não seja legível nem mesmo para os administradores que tiverem acesso àquele banco de dados.
*Outras medidas de proteção devem ser tomadas para os dados não criptografados, como restringir adequadamente o acesso a eles, por exemplo.
#VPN
Um outro ponto que aumenta bastante a segurança de um ambiente é não permitir que seus serviços sejam acessados diretamente da Internet. Uma das principais formas de não deixar os serviços expostos é a adoção da VPN, um túnel criptografado que faz com que os usuários consigam acessar todos serviços e servidores como se estivessem dentro da rede. Ou seja, é possível retirar boa parte dos serviços da exposição direta à Internet.
As VPNs que vejo sendo mais utilizadas para esse período de quarentena são as chamadas “Cliente x Servidor”, onde um pequeno software é instalado no computador do colaborador permitindo que, quando necessário, este colaborador abra o software, preencha os dados de usuário e senha fornecidos pela empresa, e se conecte ao ambiente de forma remota, permitindo o acesso a tudo* o que estiver disponível dentro da empresa, mas sem a necessidade de estar fisicamente lá.
*Os acessos são concedidos mediante a criação prévia de regras.
#Cripto de HD
Quando tratamos de dispositivos empresariais esse tipo de criptografia deve ser uma iniciativa da empresa, pois é ela que deve gerenciar todo o processo de adequação e inserção de chaves, no entanto essa tecnologia costuma ser amplamente utilizada pelos colaboradores.
A criptografia completa do disco consiste em transformar o HD em um container seguro, fazendo com que ele só seja acessado após o preenchimento correto da senha que foi previamente definida. Isso traz uma camada adicional de segurança física às empresas e pessoas pois, caso o dispositivo seja roubado e o HD inserido em outro computador para o roubo de dados, essas informação estarão adequadamente protegidas.
Existem outros meios para a segurança física de dispositivos com o intuito de impedir que eles sejam subtraídos, como por exemplo lock cables, a criptografia inibe apenas o acesso aos dados, não ao dispositivo em si.
#Transferência de arquivos (zip com senha)
Também costuma ser uma necessidade comum entre pessoas e empresas a transferência de arquivos restritos, ou algumas vezes até confidenciais, mas nem sempre elas dispõem de uma forma adequada para fazer essa transferência. Se não houver um local previamente definido para transferência destes arquivos onde tudo ocorrerá de forma segura e autenticada, pode-se considerar como alternativa a criptografia destes arquivos e pastas a serem enviadas. Esta criptografia pode ser feita de diversas formas, incluindo criptografia com compactação de arquivos como, por exemplo, o 7-zip. Basta compactar os arquivos especificando uma senha, que seja preferencialmente longa e complexa o suficiente para não ser adivinhada, e transferir o novo arquivo à pessoa ou departamento que deverá recebê-lo.
Um ponto importante sobre essa prática é nunca enviar o arquivo criptografado e a senha pelo mesmo meio, pois se o meio estiver comprometido o criminoso terá a faca e o queijo nas mãos.
Caso mande o arquivo por e-mail, passe a senha por WhatsApp, se o arquivo for enviado pelo WhatsApp a senha pode ser passada via telefone, o mais importante é sempre usar meios diferentes para mandar arquivo e senha.
#WiFi seguro
Assim como nas empresas, existem várias formas de deixar uma rede doméstica mais segura. Uma das formas que os usuários podem se apoiar é utilizar criptografia para conexão na rede Wifi. Algumas pessoas consideram mais prático ter um WiFi sem senha, e isso é um erro gravíssimo no quesito segurança. Se não há uma senha configurada no wifi qualquer pessoa nas proximidades poderá fazer parte da sua rede. Isso por si só já é ruim, pois haverá uma menor qualidade de Internet disponível para o proprietário do link, mas pode se tornar ainda pior se o intruso for um criminoso, que pode atacar dispositivos IoT, tentar descobrir senhas e até instalar softwares dentro dos computadores e smartphones da rede. Habilitar a configuração segura de redes WiFi, utilizando-se de WPA2 ou 3 e atribuindo uma chave de acesso longa e complexa costuma ser uma tarefa simples, e pode evitar uma série de transtornos.
Como citei anteriormente, as tecnologias apresentadas não visam apenas a adequação à LGPD, e sim a melhora da segurança do ambiente como um todo. Ainda assim sabemos que o ponto principal da lei que entrará em vigor é a proteção de dados, e a criptografia é certamente uma das ferramentas que pode auxiliar no endereçamento dessa árdua tarefa.
Há muitas formas de abordagem, analise seu ambiente e veja qual melhor se adequa ao momento atual da sua empresa, aproveite que alguns meses a mais foram dados de prazo e não deixe de adiantar os assuntos referentes às adequações da lei.