É possível afirmar que um dos principais desafios da segurança da informação a ser administrado pelas empresas e organizações em geral é a gestão e governança do perfil dos usuários, que se insere no "G" do ESG (Environment, Social & Governance ou, em uma tradução livre, Governança Ambiental, Social e Corporativa). Ou seja, como proteger a legitimidade e a identidade de um usuário, seja dos sistemas internos ou até mesmo de mídias sociais, que possui um perfil e uma senha, e garantir que estes dados não caiam nas mãos de criminosos.
Uma vez que o perfil de um usuário é hackeado, tudo é possível acontecer.
Como exemplo, a 27ª Câmara de Direito Privado do Tribunal de Justiça de São Paulo manteve condenação de rede social a pagar danos materiais no valor de R$ 4,7 mil a um usuário, confirmando sentença da juíza Lígia Maria Tegão Nave, da 2ª Vara Cível do Foro Regional de Ipiranga.
Conforme o processo, houve falha na prestação de serviço por questão de segurança da plataforma. O autor da ação informou que realizou a compra de um aparelho de videogame e de uma televisão por R$ 4,7 mil, após visualizar o anúncio no perfil de um amigo na rede social. Toda a negociação aconteceu por meio de troca de mensagens na plataforma e o usuário realizou o pagamento a uma terceira pessoa, que seria a proprietária dos bens. Depois de um tempo, ele percebeu que havia sido vítima de um golpe e que o perfil do amigo tinha sido hackeado.
A rede social alegou que oferece as ferramentas necessárias para o uso seguro da plataforma, mas, de acordo com a turma julgadora, existiu uma quebra de segurança quando o perfil do amigo foi utilizado por outra pessoa para aplicar o golpe. “Diferente do argumentado pela requerida, a responsabilidade não se dá por mera propaganda enganosa ou falta de entrega do produto, mas sim pela falha de segurança que permitiu a invasão da conta por pessoa que visava cometer fraude”, destacou o relator do processo, desembargador Dario Gayoso. Os desembargadores Alfredo Attié e Celina Dietrich Trigueiros completaram a turma julgadora. A decisão foi unânime.
Assim sendo, se faz necessário impor políticas e procedimentos rígidos de controles de acesso e aferição/certificação do perfil de usuários, utilizando-se inclusive de técnicas de Machine Learning e Inteligência Artificial, para que estes tipos de crimes sejam evitados.
Neste contexto, o Art. 5º, inciso VI, da Lei Geral de Proteção de Dados (LGPD), determina que Controlador é a “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”. Em suma, é o Controlador que determina as finalidades, condições e meios do processamento de dados pessoais. Ou seja, ele é o responsável final pela proteção dos dados pessoais que coleta, trata e armazena.
O Controlador de dados tem a responsabilidade primária de garantir que as atividades de processamento estejam em conformidade com a regulação, bem como atender às melhores práticas de segurança e prevenção de vazamentos de dados.
Além disso, toda operação de tratamento realizada pelo Controlador deve ser registrada e monitorada, pois a LGPD exige a elaboração do relatório de impacto à privacidade que contenha a descrição dos processos de tratamento de dados que possam vir a gerar riscos aos direitos dos titulares, bem como as medidas que serão adotadas nas hipóteses de mitigação desses riscos.
Neste ponto, as empresas enfrentam um dilema:
- Impor e aplicar políticas restritivas para mitigar o risco, que diminui a produtividade e incentiva os funcionários a tentar contornando a segurança, ou
- Permitir a aplicação mínima de políticas para aumentar a produtividade, habilitar a segurança de dados de monitoramento passivo e atuar como uma ferramenta forense e investigativa se e quando ocorre uma violação.
É neste contexto que foi desenvolvido o conceito do Behavior Based Cybersecurity que, em resumo, é a aplicação de técnicas de segurança cibernética baseadas em comportamento, que efetua a análise de comportamento do usuário com prevenção de perda de dados, para fornecer políticas dinâmicas quase em tempo real de aplicação. Compreendendo o comportamento do usuário é possível decidir quando confiar em um acesso do usuário ou quando bloqueá-lo.
Assim, quando a pontuação de risco comportamental atinge um limite crítico e e a possibilidade de uma violação de dados é iminente, a sistema de proteção baseado em Behavior Based Cybersecurity aplica políticas de bloqueios que são proporcionais ao risco e à sensibilidade dos dados. Ou seja, o sistema de proteção cibernética, que utiliza algoritmos de machine learning, detecta quando usuários apresentam comportamento conflitante e sua pontuação de risco muda dependendo de como eles navegam na rede corporativa, permitindo que a segurança seja reforçada, bem como sejam aplicadas ações de bloqueio, se necessário.
A base legal para a utilização desta tecnologia, uma vez que é utilizada para proteção corporativa, que só consegue ser efetiva se coletar, tratar e armazenar dados pessoais comportamentais dos usuários, encontra respaldo no interesse legítimo do Controlador, bem como na gestão da segurança e controle de fraudes corporativa.
Ressalta-se que, quando o tratamento do dado é baseado em legítimo interesse, o Controlador deverá garantir a transparência, registrando e fundamentando a operação adotada, bem como justificando a situação, a razão da coleta e o tratamento específico para aquele dado. A Autoridade Nacional de Proteção de Dados (ANPD) poderá solicitar um relatório de avaliação de impacto de dados pessoais quando o tratamento tiver como fundamento o legítimo interesse.
Ademais, os princípios gerais da LGPD e os padrões de segurança devem ser observados pelo Controlador desde a concepção, a execução e oferecimento do produto e serviço. Esse processo de desenvolvimento de produto e serviço, focado na segurança desde a concepção, dá-se o nome de Privacy by Design, hipótese em que o Behavior Based Cybersecurity também está adequada a esta metodologia, já que monitora o comportamento do usuário, apontando eventuais discrepâncias no que se refere à proteção dos dados.
É importante frisar que o Art. 52 da LGPD elenca os tipos de sanções aplicáveis pela ANPD em caso de infração, quais sejam: advertência, multa de até 2% do faturamento (limitada a R$ 50.000.000,00) por infração, multa diária, publicização da infração, bloqueio dos dados pessoais e eliminação dos dados pessoais do banco de dados do infrator.
Sendo assim, o Controlador poderá ser responsabilizado por incidentes de segurança da informação e/ou o uso indevido e não autorizado dos dados, ou pela não conformidade com a regulação, uma vez que é o responsável pelo tratamento do dado pessoal.
É preciso ter consciência de que o descumprimento não está apenas relacionado ao pagamento da multa de até 2% do faturamento das empresas, mas também com a reputação da marca e o que ela significa aos clientes, visto que a LGPD exige a publicização da infração e do infrator, além do bloqueio e até a eliminação de dados. Isto pode ser muito mais danoso para a reputação da empresa em virtude da quebra de confiança e segurança com os seus colaboradores, consumidores e usuários, já que garantir a transparência e a confiança entre os envolvidos deve ser contínuo.
Fonte: https://www.tjsp.jus.br/Noticias/Noticia?codigoNoticia=85845
Deixe seu comentário