Algumas empresas nasceram analógicas e ingressaram na chamada transformação digital, enquanto outras já nasceram digitais: mas é fato que a digitalização ampliou exponencialmente a circulação de dados dentro das organizações.
Uma ferramenta primordial para controlar o acesso e o fluxo dos dados é o RBAC (Role-Based Access Control, ou controle de acesso baseado em função), que na definição do NIST é “um conjunto de autorizações de acesso que um usuário recebe com base na suposição explícita ou implícita de uma determinada função. As permissões de função podem ser herdadas por meio de uma hierarquia de funções e normalmente refletem as permissões necessárias para executar funções definidas dentro de uma organização.”
O RBAC dá suporte a sistemas integrados, ambientes em nuvem, dispositivos móveis e aplicações distribuídas, que passaram a compor o cotidiano empresarial, em um cenário onde o acesso à informação deixou de ser apenas uma questão tecnológica e passou a representar um dos principais pontos de risco jurídico, operacional e reputacional.
Na atualidade, há notícias e estudos indicando que uma parcela significativa dos incidentes de segurança decorre do comprometimento de credenciais, tanto por vazamentos, como por engenharia social, reutilização de senhas ou ataques automatizados.
A pergunta-chave
A obediência à LGPD é nosso objetivo central, e neste contexto, o problema está deixando de ser a invasão de sistemas complexos, para passar a ser o uso indevido de acessos legítimos, pois dentro de uma organização existe uma hierarquia de cargos, que leva à mesma hierarquização em relação aos dados.
Por isso, a pergunta-chave: dentro da organização, quem pode acessar quais dados, por quê, para quê e por quanto tempo?
Neste sentido, está no art. 46 da LGPD que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Na forma legal, acessos devem ser tecnicamente controlados, havendo cargos, pessoas e escopos para sua permissão, devendo ser protegidos por medidas técnicas e administrativas para coibir acessos não autorizados, onde o controle de acesso baseado em função (RBAC) ganha especial relevância.
O RBAC como melhor medida para o art. 46 da LGPD
Não vemos o RBAC como medida indispensável para obediência da LGPD, mas como a melhor das medidas para cumprimento do art. 46, já que estão proliferando os incidentes pelo Brasil e pelo mundo, onde credenciais válidas são usadas para acessos indevidos.
Durante anos, considerou-se que incidentes de segurança decorriam de ataques externos sofisticados, mas a realidade atual tem demonstrado que o uso indevido de credenciais legítimas é um dos principais vetores de ataque:
- Usuários reutilizam senhas em múltiplos sistemas
- Credenciais são obtidas por phishing ou engenharia social
- Acessos permanecem ativos mesmo após mudanças de função ou desligamento de um colaborador
- Permissões excessivas amplificam o impacto de qualquer comprometimento
Deste modo, quando um invasor obtém uma credencial válida, ele não “invade” o sistema, mas simplesmente entra pela porta da frente, e isto se agrava nos casos em que o usuário tinha acesso a mais dados do que deveria, onde o incidente se amplia automaticamente.
Como o RBAC funciona
O RBAC conduz a uma mudança estrutural na forma de gerenciar acessos: em lugar de conceder permissões diretamente a usuários, o modelo estabelece que permissões são atribuídas a papéis (roles), que usuários são vinculados a esses papéis e que acessos decorrem da função exercida, e não da identidade individual.
Esta lógica permite que o controle de acesso seja alinhado à própria estrutura organizacional, refletindo cargos, responsabilidades e níveis de autoridade. O RBAC surge como mecanismo de governança dos acessos, pois obriga a organização a definir com clareza quais os papéis existentes, quais dados cada papel pode acessar e quais limitações e controles devem ser aplicados no caso concreto.
Assim, o RBAC se torna uma ótima ferramenta para obediência à LGPD, condizente com princípios como o da necessidade (o acesso a dados pessoais deve ser limitado ao mínimo necessário para a realização das finalidades do tratamento) e o da segurança (o acesso é estruturado e limitado de forma organizada e auditável).
Na medida em que aumenta o número de incidentes decorrentes de credenciais comprometidas, o RBAC representa barreira ao abuso de credenciais: se um usuário possui acesso limitado ao necessário, o atacante herda apenas esse nível restrito de acesso, o impacto do incidente é reduzido e a propagação lateral do ataque é dificultada.
Governança, não apenas tecnologia
O RBAC não impede, por si só, o comprometimento de credenciais, mas reduz drasticamente suas consequências. Um dos maiores equívocos das organizações é tratar o controle de acesso como responsabilidade exclusiva da área de tecnologia.
A alta direção precisa ter claras as premissas que decorrem da LGPD e colocá-las em políticas, para deixar claro que conceder acessos deve seguir critérios objetivos, para realizar revisões periódicas de permissões e para documentar quaisquer exceções a estas regras. A tecnologia não falha sozinha: nestes casos, o incidente não é causado por falha tecnológica, mas por falha de governança.
O papel do Instituto Privacidade
No Instituto Privacidade, atuamos na interseção entre direito, tecnologia, segurança da informação e governança, de modo a auxiliar organizações públicas e privadas a estruturar seus processos de forma segura, eficiente e aderente à legislação.
No contexto do RBAC como ferramenta assertiva da LGPD, o Instituto pode contribuir com diagnóstico de maturidade em controle de acesso, definição de papéis e responsabilidades organizacionais, estruturação de políticas de acesso alinhadas à LGPD, implementação de princípios como menor privilégio e segregação de funções, treinamento de equipes e conscientização sobre riscos relacionados a credenciais, e integração do controle de acesso com governança de dados, segurança da informação e continuidade de negócios.
Conclusão
Acreditamos que proteger acessos é proteger decisões. Se o controle de acesso deixou de ser uma questão operacional e passou a ser um elemento central da estratégia organizacional, é através dele que a alta direção atua em prol da obediência legal.
Em um cenário onde credenciais são frequentemente exploradas como vetor de ataque, a forma como os acessos são estruturados define não apenas o nível de segurança da organização, mas também sua capacidade de responder juridicamente a incidentes.
Já que a própria LGPD atribui ao controlador a responsabilidade pelas decisões referentes ao tratamento de dados pessoais (art. 5º, inciso VI), proteger dados é importante, mas proteger decisões que permitem o acesso a esses dados é essencial.
