Olá! Gostaríamos de dar as boas-vindas ao seu novo curso aqui na Plataforma Alura. Meu nome é Viviane Martins e estaremos juntos nesta jornada de Fundamentos da Segurança na Governança de Dados.
Audiodescrição: Viviane é uma mulher de 1,73 metros, com cabelo liso, longo e com mechas. Ela usa óculos de cor azulada e uma corrente no pescoço, e está vestida de preto.
Falando um pouco sobre minha trajetória, trabalho na área de tecnologia há mais de 30 anos, durante os quais atuei em consultoria e capacitação. Na área de capacitações, meu foco é em cursos in-company, cursos corporativos e também cursos de pós-graduação e MBAs, tanto de forma presencial quanto online. No âmbito corporativo, possuo mais de uma década de experiência na área de cibersegurança e também em análises de dados, atuando em instituições financeiras, bancárias e em indústrias de diversos setores.
Convidamos todos a participar desta jornada em cada uma das aulas, onde começaremos com conceitos básicos de segurança da informação e de segurança de dados orientados à governança. Muito se fala sobre proteção de dados e sobre algumas leis e normas que devemos seguir.
Nas empresas, no âmbito corporativo, temos a área de governança, a área de segurança da informação, as pessoas responsáveis pelos sistemas, as pessoas responsáveis e que atuam na parte técnica, encarregadas da proteção dos ativos da empresa e também da resposta a possíveis incidentes relacionados à segurança dos dados.
Qual é o nosso papel? E como tudo isso se encaixa dentro de uma organização? Discutiremos aqui sobre riscos, ativos, formas de compartilhar de maneira segura e como podemos acompanhar isso durante o processo interno do ciclo de vida dos dados, garantindo, como fator primordial, a privacidade dos dados.
Desejamos sucesso nos estudos e esperamos todos na próxima aula. Até então!
Agora, vamos iniciar nosso curso falando especificamente sobre o papel da segurança dentro da governança de dados. Muitas vezes, pensamos que a responsabilidade pela segurança dos dados, pela integridade e por manter esses dados resguardados para evitar uma exposição, é exclusivamente das pessoas que trabalham em cibersegurança ou segurança de dados. No entanto, é importante que cada um de nós cuide de todos os dados da empresa, sejam eles arquivos ou informações tratadas em reuniões estratégicas e tomadas de decisão. Portanto, nem todo dado é apenas um arquivo ou parte de uma base de dados, mas tudo aquilo que possa conter informações exploráveis dentro da corporação.
Por isso, é importante que nos posicionemos como responsáveis pelos dados aos quais temos acesso, como se realmente fossem nossos, pois são o maior insumo e ativo de uma companhia. Assim, podemos garantir uma melhor integridade e confiança em relação a esses ativos que passam por nós.
Contextualizando, neste curso falaremos sobre o papel da governança de dados, incluindo a segurança de dados como um pilar da governança. Esses elementos trabalham em paralelo. Muitas vezes, dizemos que temos apenas governança de dados ou apenas segurança de dados, mas antes de falar de segurança, é fundamental entender o papel da governança de dados. Ela vem com um conjunto de políticas, papéis, responsabilidades e controles que garantem que os dados dentro da organização sejam geridos de forma profissional e adequada ao longo de seu ciclo de vida. Trabalha a qualidade desses dados, se estão íntegros e em conformidade com as leis, como a LGPD (Lei Geral de Proteção de Dados), que garante a proteção dos dados, incluindo aqueles que não devemos divulgar de nossos clientes e que devemos proteger como insumo da empresa.
Por exemplo, como tratamos os dados de nossos clientes? Pensemos em um exemplo simples: imagine que compramos um imóvel, assinamos um contrato e entramos em um financiamento. De repente, após alguns meses, começamos a receber contatos por telefone, mensagens ou cartas de empresas de arquitetura ou decoração. Entregamos nossos dados à empresa com a qual adquirimos o imóvel, e por que estamos recebendo mensagens de outras empresas interessadas em vender algo? Aqui, falamos de uma exposição de dados incorreta.
Qual é nosso papel dentro da empresa em que trabalhamos? Não apenas como indivíduos, mas também nos departamentos e cargos que ocupamos. Podemos ter informações confidenciais que devem seguir os órgãos de conformidade adequados. Por exemplo, em uma empresa financeira ou banco, onde há órgãos de conformidade como o Bacen, é importante garantir a conformidade desses dados. Quando falamos de conformidade, referimo-nos à conformidade dentro da governança de dados, mas também faz sentido dentro da segurança de dados. Ambos avançam juntos.
É importante garantir que os dados sejam confiáveis e estejam disponíveis de maneira ética, conforme as normas legais e regulatórias. Queremos garantir a qualidade, consistência e segurança da informação. Quando falamos de gestão de riscos, o que temos na empresa que pode gerar um risco, ou algo já identificado como risco sobre o qual podemos agir? Esses riscos podem comprometer a reputação e imagem da empresa. Tudo isso faz parte do pilar maior, que é a governança de dados. Não pode haver um risco, como segurança ou informação vazada, que comprometa a reputação da empresa nas redes sociais, sem que se comunique também com as pessoas encarregadas da governança de dados.
A seguir, entra a parte de segurança e proteção. Quando falamos de segurança de dados, podemos afirmar que é um dos pilares importantes dentro da governança. Queremos garantir que esses dados sejam confidenciais quando necessário, protegê-los e mantê-los íntegros do início ao fim. Também queremos assegurar que as pessoas que têm acesso a esses dados tenham disponibilidade quando possível. Os dados são os maiores ativos da organização. Sem a segurança dos dados, a governança não sustenta seu valor. É, acima de tudo, uma estratégia para reduzir riscos corporativos. Toda organização se baseia em informações: dados de clientes, produtos, compras, vendas e dados confidenciais estratégicos. Quando esses dados não estão protegidos, o risco pode deixar de ser apenas tecnológico e se tornar um risco empresarial, onde a empresa ou seu cliente podem ser expostos indevidamente. Além disso, a segurança é uma garantia para o cumprimento regulatório.
A Lei Geral de Proteção de Dados (LGPD), assim como outras normas, exige que as organizações adotem medidas técnicas e administrativas para proteger os dados pessoais. Com isso, a segurança de dados desempenha um papel de apoio dentro da governança. Quando falamos de estratégia, por que a segurança é estratégica? Ela ajuda a reduzir riscos dentro da empresa, é um fator de extrema confiança e protege a reputação da corporação como um todo. Além disso, ao proteger a reputação, é importante considerar que alguns dados podem ser expostos indevidamente, não apenas para mostrar a situação atual da empresa, mas também porque podem ser dados estratégicos de negócios aos quais um concorrente poderia ter acesso, como estratégia financeira, estratégia de negócios ou o próximo produto a ser lançado. Por isso, é fundamental que todos estejam alinhados em governança e segurança de dados.
Nas empresas, geralmente há uma equipe de cibersegurança que realiza monitoramento, verifica ações, revisa como estão os dados da empresa, como está o ambiente de forma segura, como está a rede e toda a tecnologia. No entanto, a segurança de dados vai além do profissional de cibersegurança. É importante que cada colaborador tenha consciência da importância de seu papel em relação à segurança dos dados, respeitando a integridade e cuidando desses dados como se fossem próprios. Assim, nós, como portadores de nossos CPFs, atuamos dentro de uma empresa, não como CNPJ, mas com total responsabilidade sobre todos os dados que passam por nós, sejam dados ativos físicos ou dados relacionados a resultados de conversas em reuniões e outros.
Passando ao próximo ponto, qual é o papel da governança com a segurança dentro de uma empresa? Por que ainda tratamos a segurança como uma parte técnica e não como uma prioridade estratégica? Muitas organizações ainda veem a segurança como um custo operacional e não como uma proteção de valor. Não se trata apenas de tecnologia: qual tecnologia vamos implementar ou quantos profissionais usarão essa tecnologia dentro da organização. Trata-se de que, quando os dados são vistos como um ativo estratégico, a segurança automaticamente se torna uma prioridade do negócio. Qual valor estamos dispostos a pagar se esses dados forem expostos de alguma forma ou se perderem de alguma maneira?
Aqui, no ponto 2, para reflexão: existe governança de dados sem segurança ou seria apenas uma falsa sensação de controle? Sem segurança, teremos governança, mas será mais formal. Garantimos a qualidade dos dados, queremos seguir as normas da LGPD, queremos assegurar a gestão e o armazenamento desses dados. Mas se algo acontecer com o insumo de nossos dados, como identificaremos e que ação tomaremos se houver um fator de risco nesse item? Podemos usar as regras da governança, mas não teremos uma garantia total na proteção desses dados. Por isso, o papel da governança de dados sem a segurança é enfraquecido.
No ponto 3, o que acontece com a estratégia de dados quando ocorre uma filtragem? Uma filtragem de informação. A credibilidade é totalmente perdida. Imagine trabalhar em uma empresa onde percebemos que alguns clientes tiveram seus dados filtrados. Pensamos: e se forem os nossos também? Ou somos clientes de uma empresa cujos dados foram filtrados ou perdidos. Podem ser outros casos, como fraude em uma conta bancária, por exemplo. A credibilidade é comprometida. Podemos ter uma governança muito desenvolvida na empresa, mas se a segurança não for adequada, perdemos totalmente a credibilidade e a confiança é afetada. Pode surgir risco jurídico, financeiro, e todo o investimento em dados pode ser comprometido.
Quem é realmente responsável pela segurança de dados da empresa? O departamento de TI, o departamento de Tecnologia, ou todos nós? A responsabilidade é de todos. TI e o Departamento de Tecnologia podem implementar controles, assim como o Departamento de Cibersegurança, mas todos que usam dados têm a responsabilidade de protegê-los de alguma forma. E quando falamos de proteger, referimo-nos a ter o cuidado de não expor esses dados em formatos inadequados. Por exemplo, enviamos alguma informação a um cliente por WhatsApp? É seguro se não temos todo o meio corporativo para fazê-lo? Na verdade, não protegemos, não tivemos o cuidado de gerar essa proteção. A proteção não depende apenas de nós; deve estar baseada no conhecimento de sistemas de cibersegurança, por exemplo. Mas também depende de nosso comportamento em relação ao insumo de dados com o qual trabalhamos. De nada adianta investir em qualidade e inovação se os dados não estão protegidos. Sem proteção, não há sustentabilidade. A inovação gera riscos e não gerará valor se não estiver protegida.
Hoje, falando de analytics (análise de dados), business intelligence (inteligência de negócios), inteligência artificial, novas tecnologias e, claro, automatizações com agentes, é muito importante incorporar a governança e a segurança de dados nessa implementação tecnológica. Caso contrário, teremos grandes tecnologias que, se não estiverem sob uma governança, poderão não estar tão estruturadas, organizadas e documentadas, isso por falta de governança, e não serão seguras nem confiáveis por falta de segurança de dados.
Nos encontramos na próxima aula para continuar com este tema.
Agora que já vimos que o papel da segurança de dados é um pilar muito importante dentro da governança, vamos discutir aspectos orientados à segurança de dados. Aqui, temos como princípio fundamental a tríade CIA, representada pelas letras C, I e A, que simbolizam a confidencialidade, a integridade e a disponibilidade dos dados, sob a perspectiva da governança.
Quando falamos de segurança de dados dentro de uma organização, é essencial compreender essa base conceitual. Sob a ótica da governança, esses três pilares não são apenas conceitos, mas princípios que garantem que os dados cumpram seu papel estratégico dentro da organização.
Começando pela confidencialidade: significa assegurar que a informação seja acessada apenas por pessoas autorizadas. Do ponto de vista da governança, isso está diretamente relacionado à definição de papéis, responsabilidades e níveis de acesso. Por exemplo, podemos ter uma área específica, um departamento concreto dentro da empresa, onde os colaboradores terão direito apenas a realizar consultas em alguns arquivos, sem permissão para modificá-los; poderão acessar, mas não alterar. Em algumas situações, certas informações dentro da empresa serão extremamente confidenciais, de modo que apenas algumas pessoas específicas terão acesso a elas. Podemos imaginar uma lista de colaboradores da empresa para, por exemplo, enviar um mailing ou informações a esses colaboradores devido a uma necessidade, como um evento que será anunciado na empresa; esses colaboradores serão convidados, ou até mesmo uma campanha de marketing, onde precisamos entregar um brinde corporativo em seus domicílios. No entanto, não teremos acesso, por exemplo, ao salário desses colaboradores ou ao tempo de trabalho na empresa; dependendo da necessidade, poderemos acessar certas informações ou não.
Do ponto de vista da governança, isso também está ligado aos papéis, responsabilidades e níveis de acesso, que determinam quem pode acessar determinados dados. Assim, a segurança implementará controles de acesso para seus usuários e clientes. Imagine, por exemplo, que trabalhamos em uma empresa com fornecedores ou consultores que desempenham determinados papéis, como um consultor da área financeira, jurídica ou de tecnologia. Eles terão suas funções dentro da empresa, mas também terão acesso a algumas pastas no ambiente corporativo, na rede da empresa. Eles atuarão dentro da empresa, utilizarão os dados da empresa, mas poderão acessar certas informações e outras não. Dessa forma, podemos garantir a confidencialidade desses dados.
Suponha que trabalhamos em uma empresa dedicada à área financeira, de investimentos, onde temos dados sensíveis de nossos clientes, não apenas em relação aos dados pessoais, mas também aos dados de investimento e informações financeiras. O que aconteceria se esses dados não fossem cuidados e armazenados adequadamente? E se, de repente, fossem expostos? Isso não apenas prejudicaria internamente toda a corporação, mas também nossos clientes.
A confidencialidade desempenha um papel crucial na proteção dos dados. Quando falamos de integridade, estamos nos referindo a todos os processos que estabelecemos para garantir que os dados não sejam alterados por engano. Imagine, por exemplo, um novo funcionário na empresa, talvez com pouca experiência em tecnologia, que acesse um sistema ou uma base de dados. Se ele realizar alguma edição incorreta, por erro, e não intencionalmente, esses dados podem ser modificados e comprometidos dentro da empresa.
Por outro lado, a integridade também atua como uma camada de proteção contra invasões de hackers, onde dados podem ser alterados de forma inesperada, causando um desastre interno em relação à informação que possuímos. Pensemos em um sistema onde os dados de inventário sejam alterados indevidamente. Seja por falha humana ou ato fraudulento, isso pode comprometer completamente a operação da empresa. Assim, a integridade desempenha um papel importante que implica confiança, abrangendo a qualidade dos dados e incluindo a continuidade e proteção para mantermos um processo adequado dentro da empresa.
No caso da disponibilidade, ela é importante para determinar quem pode acessar a informação no momento em que surge a necessidade. Com isso, garantimos que a informação seja acessível de maneira rápida e eficaz para as pessoas autorizadas. Não basta apenas proteger os dados. Imagine proteger todos os dados da empresa, mas as pessoas que precisem acessá-los tenham que enviar uma solicitação ao suporte técnico. Não podemos pensar em burocracia, mas sim em uma organização que gerencie os dados dentro do marco da governança, regulando os níveis de permissões e acessos. Se for necessário que um gestor ou uma pessoa dedicada à consultoria financeira acesse dados importantes em tempo real, é crucial considerar a disponibilidade dessa informação.
É importante refletir que, sem confidencialidade, podemos expor dados sensíveis da empresa, do cliente ou de um produto. Sem integridade, podemos ter distorções na informação, erros em análises finais de produtos ou ações operativas baseadas em dados alterados, intencionalmente ou não. E sem a disponibilidade desses dados, podemos enfrentar interrupções de serviço. A falta de disponibilidade pode impedir a tomada de decisões ou a verificação de investimentos em tempo real, comprometendo ações estratégicas da companhia.
Portanto, quando falamos da tríade de confidencialidade, integridade e disponibilidade, não estamos apenas protegendo a informação, mas também o momento atual e o futuro da empresa. Nos encontramos na próxima aula para continuar nosso aprendizado.
O curso Governança de dados: Segurança de Dados possui 192 minutos de vídeos, em um total de 45 atividades. Gostou? Conheça nossos outros cursos de Governança de Dados em Data Science, ou leia nossos artigos de Data Science.
Matricule-se e comece a estudar com a gente hoje! Conheça outros tópicos abordados durante o curso:
O Plano Plus evoluiu: agora com Luri para impulsionar sua carreira com os melhores cursos e acesso à maior comunidade tech.
2 anos de Alura
Matricule-se no plano PLUS 24 e garanta:
Jornada de estudos progressiva que te guia desde os fundamentos até a atuação prática. Você acompanha sua evolução, entende os próximos passos e se aprofunda nos conteúdos com quem é referência no mercado.
Programação, Data Science, Front-end, DevOps, Mobile, Inovação & Gestão, UX & Design, Inteligência Artificial
Formações com mais de 1500 cursos atualizados e novos lançamentos semanais, em Programação, Inteligência Artificial, Front-end, UX & Design, Data Science, Mobile, DevOps e Inovação & Gestão.
A cada curso ou formação concluído, um novo certificado para turbinar seu currículo e LinkedIn.
Acesso à inteligência artificial da Alura.
No Discord, você participa de eventos exclusivos, pode tirar dúvidas em estudos colaborativos e ainda conta com mentorias em grupo com especialistas de diversas áreas.
Faça parte da maior comunidade Dev do país e crie conexões com mais de 120 mil pessoas no Discord.
Acesso ilimitado ao catálogo de Imersões da Alura para praticar conhecimentos em diferentes áreas.
Explore um universo de possibilidades na palma da sua mão. Baixe as aulas para assistir offline, onde e quando quiser.
Luri Vision chegou no Plano Pro: a IA da Alura que enxerga suas dúvidas, acelera seu aprendizado e conta também com o Alura Língua que prepara você para competir no mercado internacional.
2 anos de Alura
Todos os benefícios do PLUS 24 e mais vantagens exclusivas:
Chat, busca, exercícios abertos, revisão de aula, geração de legenda para certificado.
Envie imagens para a Luri e ela te ajuda a solucionar problemas, identificar erros, esclarecer gráficos, analisar design e muito mais.
Aprenda um novo idioma e expanda seus horizontes profissionais. Cursos de Inglês, Espanhol e Inglês para Devs, 100% focado em tecnologia.
Escolha os ebooks da Casa do Código, a editora da Alura, que apoiarão a sua jornada de aprendizado para sempre.
Para quem quer atingir seus objetivos mais rápido: Luri Vision ilimitado, vagas de emprego exclusivas e mentorias para acelerar cada etapa da jornada.
2 anos de Alura
Todos os benefícios do PRO 24 e mais vantagens exclusivas:
Catálogo de tecnologia para quem é da área de Marketing
Envie imagens para a Luri e ela te ajuda a solucionar problemas, identificar erros, esclarecer gráficos, analisar design e muito mais de forma ilimitada.
Escolha os ebooks da Casa do Código, a editora da Alura, que apoiarão a sua jornada de aprendizado para sempre.
Conecte-se ao mercado com mentoria individual personalizada, vagas exclusivas e networking estratégico que impulsionam sua carreira tech para o próximo nível.
