# A relação entre LGPD e a Segurança da Informação > O nosso assunto de hoje vai ser sobre a famosa LGPD. Vamos conferir? O que é a LGPD LGPD é a sigla para a Lei Geral de Proteção de Dados. Essa lei foi sancionada aqui no Brasil em agosto de 2018, tendo uma forte inspiração na GDPR, ou seja, na General Data Protection Regulation, a […] **URL:** https://northern.com.br/a-relacao-entre-lgpd-e-a-seguranca-da-informacao/ **Data:** 2021-03-19 --- O nosso assunto de hoje vai ser sobre a famosa **LGPD**. Vamos conferir? ## **O que é a LGPD** LGPD é a sigla para a **Lei Geral de Proteção de Dados**. Essa lei foi sancionada aqui no Brasil em agosto de 2018, tendo uma forte inspiração na **GDPR**, ou seja, na General Data Protection Regulation, a lei europeia. Assim que essa lei surgiu por aqui, o tema ganhou relevância. A lei entrou em vigor em 2020, o que gerou um alvoroço principalmente entre as empresas de tecnologia, pois agora as bases de dados e as políticas de privacidade precisam estar de acordo com as determinações exigidas pela **LGPD**. A principal função dessa lei é determinar como as empresas deverão fazer o tratamento de dados dos brasileiros. Ou seja, basicamente, estabelecer parâmetros de como esses dados devem ser coletados, armazenados, processados e destruídos. ## **Quem são os atores envolvidos no processo de segurança de dados** A legislação determina algumas pessoas que são responsáveis pelos dados e pela aplicação da lei. Veja a seguir: - **Titular**: é a pessoa física a quem se referem os dados pessoais que estão sendo tratados. - **Controlador**:  é a empresa ou pessoa física que coleta dados pessoais e toma todas as decisões em relação à forma e finalidade do tratamento dos dados. O controlador é responsável por como os dados são coletados, para que estão sendo utilizados e por quanto tempo serão armazenados. - **Operador**: é a empresa ou pessoa física que realiza o tratamento e processamento de dados pessoais sob as ordens do controlador. - **Encarregado**: é a pessoa física indicada pelo controlador e que atua como canal de comunicação entre as partes (controlador, os titulares e a autoridade nacional), além de orientar os funcionários do controlador sobre práticas de tratamento de dados. ## **Como fica agora o armazenamento e tratamento dos dados?** Segundo a lei, toda operação realizada com os dados pessoais que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação são considerados tratamento de dados. O primeiro passo das empresas, perante a isso, deve ser **entender em que formato ela se enquadra perante a lei**, ou seja, a empresa precisa entender se está fazendo um tratamento de dados, e se os dados são pessoais ou não. O segundo passo é a empresa **permitir uma soberania do titular dos dados**, ou seja, o titular tem que ter o controle sobre os dados coletados. A empresa precisará deixar claro, de alguma forma, que o titular deu anuência para a utilização daqueles dados. O documento em que tudo isso está previsto é a **Política de Privacidade **ou o **Termo de Uso**. Essa soberania permite que o usuário tenha alguns direitos que anteriormente não eram tão claros. O usuário poderá solicitar alteração dos dados que ele tenha fornecido, revogar a utilização dos dados e também pedir a exclusão. ## **O que é segurança da informação?** A segurança da informação está diretamente relacionada com a proteção de um conjunto de informações, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. Para que a proteção desses dados seja eficaz, é preciso garantir as seguintes condições básicas: - **Confidencialidade: **Essa é a propriedade que limita o acesso à informação tão somente às unidades legítimas, ou seja, àquelas que realmente são autorizadas pelo proprietário da informação. - **Integridade: **Garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo um controle de mudanças e garantindo seu ciclo de vida. - **Disponibilidade: **ela garante que a informação esteja sempre disponível para o usuário. Sem essas características, é possível que os dados do usuário sofram diversos ataques. Conheça a seguir alguns tipos de ataques comuns em redes e computadores. Eles podem paralisar as atividades e diminuir a credibilidade de uma empresa, trazendo prejuízos ou mesmo afetando o usuário pessoalmente. ### **Varreduras em redes** O scan é uma busca detalhada em redes. Seu objetivo é encontrar computadores ativos e informações sobre eles, como os serviços que esses computadores disponibilizam. Hackers costumam usar a varredura de redes para identificar alvos potenciais. Afinal, isso permite associar o tipo de serviço disponibilizado a certas vulnerabilidades. ### **Engenharia Social** A Engenharia Social é um tipo de ataque em que se usa o convencimento e enganação, e se induz a vítima a fazer uma determinada ação que prejudica um sistema ou uma pessoa. Por exemplo, alguém pode ligar para um número de telefone e fingir ser de uma instituição em que a pessoa tem uma conta para acesso a um site. Então, o criminoso pode induzir a pessoa a passar dados de acesso a este site. Dessa forma, pode obter dados ou vantagens financeiras. ### **Força Bruta** Trata-se de um método onde o atacante utiliza de tentativa e erro para descobrir nomes de usuários e senhas. Esse é um dos motivos para se ter senhas fortes e uma política de senhas em uma empresa ou organização. Senhas muito óbvias, como datas de aniversário, são facilmente descobertas. ### **Negação de Serviço Distribuída** O objetivo da Negação de Serviço Distribuída (DDoS) é tirar de operação uma rede ou serviço. O atacante utiliza de forma coordenada um conjunto de dispositivos. Ele os utiliza muitas vezes sem o conhecimento do proprietário do dispositivo, para tirar de operação o alvo. ### **Defacement** O defacement é a modificação de páginas web por meio da invasão de um servidor web. O atacante faz isso por motivos políticos, religiosos ou outro motivo social e também para ganhar fama nos meios hackers. Ele, normalmente, deixa uma mensagem na página com alguma assinatura de apelido de hacker ou de grupo de hackers. **Essa foi uma breve introdução de um assunto que tem uma complexidade enorme. Mas é muito importante que as pessoas estabeleçam a relação entre LGPD com Segurança de Informação e saibam as principais formas como os dados de seus clientes podem estar vulneráveis.  Se você precisa de uma segurança nos dados dos seus clientes basta chamar a Northern**