Segurança da Informação em Ambientes de Mineração

por Cláudio Pessoa em 09/Sep/2020
Segurança da Informação em Ambientes de Mineração

Tornou-se uma reflexão interessante nas organizações o tema de segurança da informação. É possível acompanhar nas notícias em geral problemas de dados “vazados” de empresas e, a cada dia mais, com um número maior de informação de pessoas.

Paralelo a isso, é possível notar como as ferramentas de tecnologia tem “vigiado” de sobremaneira vida do cidadão comum. Ao realizar uma pesquisa em sites de busca na internet,por exemplo, quem nunca - ao final desta pesquisa - começou receber propagandas do produto e/ou serviço pesquisado. Como isso é possível?

Para tecnologias como Big Data, Data Mining, inteligência artificial, Deep learning, isso é muito simples de ser feito. Não que uma solução dessa seja simples ser configurada. Porém, após implantadas, trazem resultados fantásticos para as empresas. Elas podem dar, aos clientes das empresas que as utilizem, um atendimento muito mais preciso e personalizado.

Porém, todo este arcabouço tecnológico, alinhado a pessoas com intenções duvidosas e/ou imprudência, imperícia, negligência, podem gerar falhas de segurança e, até mesmo problemas de invasão de privacidade dos cidadãos que, hoje, estão amparados por leis que poderão inviabilizar a empresa que originou o problema.

Daí pode surgir uma pergunta interessante: “Mas o que isso tem a ver com empresas de mineração?” Ou afirmações como: “Eu não tenho uso isso e nem tenho interesse em usar”. “Meus clientes são empresas e não pessoas físicas (naturais)”.

É aí que começa o perigo: CULTURA!

Como os problemas maiores de segurança da informação, que são divulgados pela mídia, estão ligados à pessoas físicas, os empresários entendem que isso não os afeta. Mas, pense um pouco e reflita:

  • O colaboradores da empresa são pessoas físicas (naturais)? Merecem o respeito de sua empresa em relação a privacidade deles?
  • Será mesmo que somente as informações de pessoas físicas devem ser protegidas? Ou sua empresa possui informações importantes, muitas vezes confidenciais e estratégicas para o seu negócio, e não podem cair em mãos erradas?
  • Sua empresa possui cultura de segurança da informação?
  • As suas informações estão todas em computadores? Ou existe papel com informações importantes?
  • Quantas pessoas possuem conhecimento de informações estratégias de sua empresa? Como proteger essa informação?
  • Existem sistemas de automação na empresa? E se pararem, qual o prejuíso?

Poderia aqui gerar inúmeras perguntas para mostrar como essa visão é míope em relação à segurança da informação. Pensando então exemplo aplicados na mineração podemos citar: estudos geológicos de lavra, estudos hidrológicos, informações estratégias de tipo e volume de minério que poderão ser explorados, dentre outras informações que são de importância ímpar para o negócio da empresa.

Por outro lado, aí sim falando em pessoas física, podemos citar três setores importantes que estão ligados diretamente a proteção de dados pessoais, que é regida pela nova lei de proteção de dados pessoais (LGPD - lei 13.709/18): recursos humanos, engenharia de segurança e medicina do trabalho. Estes três setores juntos possuem informações - até mesmo consideradas sensíveis pela LGPD - como exames psicológicos, exames médicos, atestados médicos, laudos de acidentes de trabalhos, documentos necessários para atender a CLT (Consolidação das leis trabalhistas), que obrigam a empresa a guardarem esse documentos por um período até 30 anos. Será que todas estão preparadas para essa guarda? Estão cientes que a nova legislação cobra um planejamento de segurança da informação que, por sua vez, deve atender o direito do cidadão (titular de dados) conhecer todas informações sobre ele a empresa possui, pode alterá-la e até mesmo pedir para apagá-las? Será que conhecem as sanções que poderão penalizar a empresa em cifras altas e/ou até mesmo tirar a possibilidade de usarem esse banco de dados?

Como se não bastasse essas reflexões acima, existem negócios com empresas (e/ou pessoas) estrangeiras. Isso gera, o que é chamado pelas legislações da área, de transferência internacional de dados. Nestes casos, países como da União Européia que já possuem a lei em vigor, consideram que no momento da realização de contrato, como o caso do Brasil a lei ainda entrará em vigor, deverão ser seguidas regras de proteção de dados com cláusulas padrão ditadas por eles (países da EU). Ademais, dá às empresas estrangeiras a possibilidade de realizarem auditorias de segurança visando conhecer se as empresas parceiras tem condições e programas de segurança de informações implantado (ou pelo menos em andamento).

Pesquisa aponta que 77%[1] das organizações não possuem ainda planos de resposta a incidentes de segurança. Outra pesquisa realizada  no Brasil diz que “Incidentes atribuídos a hackers, concorrentes e outras fontes externas diminuíram. No entanto, aqueles atribuídos a fontes internas, como terceiros - incluindo fornecedores, consultores e terceirizados - e colaboradores, permaneceram ou aumentaram”.[2] Cadê a cultura da segurança?

No caso dos sistemas de automação, presentes hoje na maioria das mineradoras (para não dizer todas), o ataque cibernético pode trazer prejuízos incalculáveis, como mostrado na figura abaixo.

Porém, é fundamental lembrar que cibersegurança é uma parte de um projeto de segurança de informações muito maior, que deve englobar política de senhas fortes, mesas limpas, lixo limpos, gestão de crise, gestão de continuidade de negócios, gestão de incidentes de segurança, dentre outros.

É, os tempos são outros! É chegada a hora de profissionalizar a segurança da informação as empresas. Aquelas que não criarem a cultura da segurança e não se prepararem para esse novo mundo poderão, num futuro muito próximo, sofrer com incidentes que irão “custar caro” ao seu negócio e/ou a sua ética como cidadão.

E você, já está pronto?

[1]https://www.ibm.com/blogs/ibm-comunica/estudo-global-da-ibm-aponta-que-77-das-organizacoes-nao-tem-um-plano-de-resposta-a-incidentes-de-seguranca-cibernetica/

[2]https://www.pwc.com.br/pt/global-state-of-information-security-survey-2018/colaboradores-atuais-continuam-a-ser-a-principal-fonte-de-incidentes-de-seguranca.html

Cláudio Pessoa

  • Professor, pesquisador e consultor.
  • Certificado EXIN Privacy & Data Protection - Essentials (LGPD). Membro do Comitê científico da Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD). Certificado do Curso de Proteção de dados e Formação de DPO da PECK & Sleiman EDU. Certificado do curso de aperfeiçoamento em LGPD do Senac. 
  • Pós-Doutor em Gestão e segurança da Informação (Foco em proteção de dados pessoais) na Universidade do Porto (Portugal), Doutor em Ciência da Informação pela Universidade Federal de Minas Gerais (UFMG), com um período de Doutorado Sanduíche na Universidade do Porto - Portugal, Mestre em Administração de Empresas pela Universidade Fumec, MBA em Gestão de Negócios e Tecnologia da Informação pela Fundação Getúlio Vargas - FGV/BH e OHIO University - USA, Engenheiro especialista em Sistema de Telecomunicações e Redes de Computadores pelo Instituto Nacional de Telecomunicações - INATEL, Especialista em Gestão de Sistemas de Telecomunicações e Redes de Computadores pela Universidade Fumec e Graduado em Engenharia Civil pela Faculdade de Engenharia da Universidade Fumec.
  • Professor da EMGE - Escola de Engenharia de Minas Gerais Possui pesquisas nas áreas de Gestão da Informação e do Conhecimento, Segurança da Informação, Segurança e Infraestrutura de redes de dados e Governança em ferramentas de Tecnologia das Informações e Comunicação (TIC) e Internet das coisas aplicado na engenharia.
  • Atua como consultor em Gestão e Segurança da Informação, comunicação de dados, Governança em TIC e alinhamento estratégico da Gestão Estratégica com a Gestão de Informações e ferramentas TIC ha mais de 20 anos. Atuou como professor da Acadepol MG na disciplina de Crimes eletrônicos, Instrutor da Academia Cisco para curso de CCNA e Perito Criminal.

Deixe seu Comentário

Você também pode se interessar

© Instituto Minere

by nerit