O Princípio do Need to Know e a LGPD

A ANPD recentemente publicou um checklist de medidas de segurança para agentes de pequeno porte e, entre as várias medidas indicadas para a implementação da Lei Geral de Proteção de Dados nas organizações, foi sugerida, no campo da segurança dos dados pessoais por meio de controle de acesso, a adoção do princípio do need to know, o que em português é comumente adaptado para o “princípio do menor privilégio”.

Como definido por Andreas Wolter, Program Manager da Microsoft Azure SQL Database Security, o princípio do need to know determina que “um usuário deve ter acesso a uma informação apenas quando esta seja necessária para a execução de sua função na organização para a qual trabalha, independentemente do nível de adequação de segurança desta organização ou de sua aprovação por superiores”.

Embora hoje colocada como uma prática de segurança da informação, dentro do contexto de legislações como a LGPD, o princípio do need to know é um velho conceito de controle de acesso usado pelos governos ou por grandes corporações como forma de proteção de segredos de estado a segredos industriais.

Sendo assim, no âmbito da segurança de dados pessoais, o need to know é uma técnica de controle relativamente simples em conceito, a qual restringe o acesso a determinados dados ou informações àquelas pessoas que legitimamente precisam deste dado ou informação para a execução de sua função ou trabalho.

Em termos de cibersegurança, ou seja, no que diz respeito a banco de dados digitais, o bom uso do need to know  passa principalmente pela implementação conjunta de ferramentas de mandatory access control (MAC) e discretionary access control (DAC).

O MAC, traduzido para o português como “controle de acesso obrigatório”, consiste na restrição pelo sistema operacional de um usuário acessar ou realizar algum tipo de operação em algum objeto ou destino (ex: em um determinado banco de dados); o DAC, por sua vez, traduzido como “controle de acesso discricionário”, implica em uma restrição de acesso a algum objeto ou destino com base na identidade da pessoa do usuário, mas havendo margem para que a pessoa que detém certo grau de permissão de acesso possa transferir suas credenciais de permissão, mesmo que parcialmente, para outro sujeito da organização. Em geral, nos sistemas operacionais com um nível satisfatório de adequação à segurança de dados, MAC e DAC operam em conjunto.

Saindo do campo do ferramental tecnológico da cibersegurança e de sua técnica trazemos aqui qual é o core do princípio do need to know aplicável a qualquer organização, independentemente de seu grau de complexidade ou do risco existente no vazamento das informações: no final das contas, estamos falando de uma medida que é de cultura organizacional, aplicável aos dados on-line ou off-line. Veja-se, por exemplo, que o segredo industrial da Coca-Cola Company é fruto de uma guarda de sua fórmula fortemente  garantida às boas práticas do need to know.

As tecnologias, conceitos e ferramentas de controle de acesso dependem, acima de qualquer coisa, de uma cultura organizacional adequada para a sua implementação. Pouco adianta, por exemplo, contratar os melhores serviços de segurança computacional se as pessoas da organização, pensando especialmente em uma escala vertical top-down, ou seja, do topo para a base, não pensam na segurança de dados como um elemento essencial do funcionamento de seu negócio e mais, não pensa na cultura da privacidade como um norte para entrega de um serviço de excelência adequado aos novos anseios dos titulares de dados pessoais e aumentando, por vezes, o nível de segurança jurídica das organizações.

Especialmente quando nos deparamos com empresas do ramo mais tradicional e que estão acostumadas a cometer certos tipos de vícios, é necessário que, antes mesmo de apresentar conceitos aqui dispostos ao longo deste texto, se proceda a um processo de conscientização geral dos colaboradores, dirigentes e sócios da organização. Mais do que tecnologia, a implementação de princípios de controle de acesso tais como o need to know dependem de uma mentalidade aberta à importância da boa guarda e tratamento de dados pessoais.

Em verdade, muitas organizações já dispõem da tecnologia para implementar formas satisfatórias de controle de acesso. Softwares de gestão previamente instalados em uma empresa, por muitas vezes já têm em seus sistemas a capacidade de implementação, por exemplo, de MAC, faltando, apenas, a iniciativa do gestor em colocar o ferramental que dispõe, em prática.

Como dissemos, o sucesso da implantação de princípios de controle de acesso a dados, tais como o need to know, é uma questão sobretudo de caráter cultural.

Referência:https://techcommunity.microsoft.com/t5/azure-sql/security-the-need-to-know-principle/ba-p/2112393