ANONIMIZAÇÃO DE DADOS PESSOAIS NA GESTÃO DE SEGURANÇA DA INFORMAÇÃO:

UMA ANÁLISE A PARTIR DO SECURITY INFORMATION AND EVENT MANAGEMENT (SIEM)

Autores

  • Elivelton de Oliveira Santos Universidade Federal da Bahia-UFOB
  • Rosilene Paiva Marinho de Sousa Universidade Federal da Paraíba-UFPB https://orcid.org/0000-0002-4699-8692
  • Luiz Hilário Ferreira Damascena Universidade Federal do Oeste da Bahia-UFOB

Resumo

Esta pesquisa tem por objetivo relatar a importância da privacidade de dados no âmbito da segurança da informação e a necessidade de ajustes necessários no Security Information and Event Management (SIEM), aplicando meios técnicos razoáveis ​​a fim de anonimizar dados classificados como identificadores indiretos e diretos que são armazenados nestes sistemas utilizando a ferramenta Graylog para estar em consonância com a Lei Geral de Proteção de Dados Pessoais (Lei n.º 13.709/2018). O estudo se baseia em pesquisa de abordagem qualitativa, de natureza exploratória e documental que pressupõe a constituição dos resultados com base em leis, regulamentos, portarias, guias invariáveis passíveis de verificação e previsão para o entendimento jurídico e técnico da anonimização à luz da legislação, além disso, utilizando função pipeline somada a uma linguagem específica de domínio (DSL), desenvolvida pela Graylog Inc., utilizada nas regras para definir a lógica de processamento de eventos, aplicando técnica de mascaramento nos dados antes de serem armazenados. Assim, esta investigação visa resultar na utilização destes dados sem o risco de descoberta dos dados pessoais originais, demonstrando o funcionamento dos códigos desenvolvidos, garantindo que os usuários não sejam personificados/caracterizados, protegendo consequentemente a privacidade e a vida pessoal de uma pessoa física.

Biografia do Autor

  • Elivelton de Oliveira Santos, Universidade Federal da Bahia-UFOB

    Especialista em Segurança da Informação pelo Programa de Pós-graduação Estácio de Sá; Graduado em Gestão da Tecnologia da Informação pela Faculdade São Francisco de Barreiras.

  • Rosilene Paiva Marinho de Sousa, Universidade Federal da Paraíba-UFPB

    Doutorado em Ciência da Informação pela Universidade Federal da Paraíba (UFPB), com pesquisa na área de Informação e Propriedade Intelectual. Mestrado em Ciência da Informação pela UFPB, com pesquisa em Direito de Acesso à Informação. Mestrado em Direito pelo Centro Universitário de João Pessoa (UNIPÊ), com pesquisa em Proteção de Dados Pessoais. Especialista em Direito do Trabalho e Processo do Trabalho pelo UNIPÊ. Especialista em História do Brasil pela Universidade Cândido Mendes. Possui graduação em Ciências Jurídicas e Sociais, pela Universidade Federal de Campina Grande (UFCG) - Campus de Sousa, Licenciatura em História pela UFCG - Campus de Cajazeiras e Graduação em Biblioteconomia pelo Centro Universitário Claretiano. Professora do Programa de Pós-graduação em Propriedade Intelectual e Transferência de Tecnologia para Inovação - PROFNIT/UFOB e do Programa de Pós-graduação em Gestão nas Organizações Aprendentes - PPGOA/UFPB. Professora do Departamento de Ciência da Informação, na Universidade Federal da Paraíba (UFPB). Vice-líder do Grupo de pesquisa Estudos em Comunicação Jurídica do Instituto Brasileiro de Informação em Ciência e Tecnologia - Ibict. Atualmente, consultora da Comissão de Estudos sobre o Regime de Informação Jurídica e seus Impactos no Direito, na OAB-RJ. Membro da Comissão Brasileira de Direitos de Autor e Acesso Aberto da Federação Brasileira de Associações de Bibliotecários, Cientistas da Informação e Instituições (CBDA3/FEBAB). Foi Membro da Comissão de Direitos Difusos e Coletivos e Relação de Consumo (2017-2018) e secretária da Comissão de Tecnologia da Informação (2013-2015), ambas da OAB - Seccional Paraíba. Realiza estudos e pesquisas nas áreas de Direito e Tecnologia (com ênfase em Direito Empresarial e do Trabalho, Propriedade Intelectual e inovação, Aspectos Jurídicos da Informação, Privacidade e Proteção de Dados); História e Memória (com ênfase em Acesso à Informação e Patrimônio Cultural).

  • Luiz Hilário Ferreira Damascena, Universidade Federal do Oeste da Bahia-UFOB

    Possui graduação em Ciência da Computação pela Universidade Estadual do Sudoeste da Bahia (2010), Pós-Lato-Sensu em Desenvolvimento de Sistemas em Software Livre pela Universidade Católica de Brasília (2012) e Segurança em Redes de Computadores pela Unyleya (2017). Mestrado em Propriedade Intelectual e Transferência de Tecnologia para Inovação PROFNIT/UFOB. Trabalhou como Analista de TI do Instituto Federal de Ciência e Tecnologia da Bahia - IFBA (2011 - 2012) e como Analista de Tecnologia Militar no Exército Brasileiro (2012 - 2019). Atualmente é Analista de Tecnologia da Informação da Universidade Federal do Oeste da Bahia e Coordenador da Coordenadoria de Infraestrutura e Segurança. Tem experiência na área de Ciência da Computação, com ênfase em Desenvolvimento de Sistemas, Gerência de TI, Administração de Redes e Segurança da Informação

Referências

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001: Segurança da informação, segurança cibernética e proteção à privacidade — Sistemas de gestão da segurança da informação — Requisitos. 3. ed. Rio de Janeiro: ABNT, 2022a.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27002. Segurança da informação, segurança cibernética e proteção à privacidade - Controles de segurança da informação. 3ed., Rio de Janeiro: ABNT, 2022c.

AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. Estudo técnico sobre anonimização de dados na LGPD: uma visão de processo baseado em risco e técnicas computacionais. Brasília: ANPD, 2023a. Disponível em: https://www.gov.br/anpd/pt-br/centrais-de-conteudo/documentos-tecnicos-orientativos/estudo_tecnico_sobre_anonimizacao_de_dados_na_lgpd_uma_visao_de_processo_baseado_em_risco_e_tecnicas_computacionais.pdf. Acesso em: 16 dez. 2025.

AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. Estudo técnico sobre a anonimização de dados na LGPD: Análise Jurídica. Brasília: ANPD, 2023b. Disponível em: https://www.gov.br/anpd/pt-br/centrais-de-conteudo/documentos-tecnicos-orientativos/estudo_tecnico_sobre_anonimizacao_de_dados_na_lgpd___analise_juridica.pdf. Acesso em: 16 dez. 2025.

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Diário Oficial da União: seção 1, Brasília, DF, 15 ago. 2018. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 16 dez. 2025.

BRASIL. Emenda Constitucional No 115, de 10 de fevereiro de 2022. Altera a Constituição Federal para incluir a proteção de dados pessoais entre os direitos e garantias fundamentais e para fixar a competência privativa da União para legislar sobre proteção e tratamento de dados pessoais., Diário Oficial da União, p. 2, 2022. Disponível em: https://www.planalto.gov.br/ccivil_03/constituicao/Emendas/Emc/emc115.htm. Acesso em: 16 dez. 2025.

EUROPEAN, Union. General Data Protection Regulation. REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)nGDPR, [S. l.], 2016. Disponível em: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679. Acesso em: 16 dez. 2025.

FALEIROS JÚNIOR, J. L. M.; MARTINS, G. M. Proteção de Dados e Anonimização: Perspectivas à luz da Lei n.º 13.709/2018. Rei - Revista Estudos Institucionais, [S. l.], v. 7, n. 1, p. 376–397, 2021. Disponível em: https://doi.org/10.21783/rei.v7i1.476. Acesso em: 16 dez. 2025.

GRAYLOG, INC. Pipeline Rule Logic. 2025. Disponível em: https://go2docs.graylog.org/current/making_sense_of_your_log_data/rules.html#Rule. Acesso em: 2 mar. 2025.

GIL, A. C. Métodos e Técnicas de Pesquisa Social, 7 ed., São Paulo: Atlas, Grupo GEN, 2019.

KOTENKO, I. et al. Design and implementation of a hybrid ontological-relational data repository for SIEM systems. Future internet, v. 5, n. 3, p. 355-375, 2013. Disponível em: https://doi.org/10.3390/fi5030355. Acesso em: 16 dez. 2025.

MARCONI, M. DE A.; LAKATOS, E. M. Metodologia Científica. 8 ed. [s.l.] O Gen -

Grupo Editorial Nacional, 2021.

NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. Glossário: PII. Gaithersburg: NIST-U.S. Department of Commerce, 2025. Disponível em: https://csrc.nist.gov/glossary/term/PII . Acesso em: 17 dez. 2025.

NEU, C. et al. Extração e gerenciamento de incidentes em SIEM. In: ESCOLA REGIONAL DE REDES DE COMPUTADORES (ERRC), 17, 2019, Alegrete. Anais [...]. Porto Alegre: Sociedade Brasileira de Computação, 2019, p. 190-195. Disponível em: https://doi.org/10.5753/errc.2019.9236. Acesso em: 16 dez., 2025.

PRATA, P. et al. Garantia de privacidade versus utilidade dos dados em anonimização: um estudo no ensino superior. Risti, Porto-Portugal, n. 40, p. 112-127, dez. 2020. Disponível em: https://scielo.pt/pdf/rist/n40/1646-9895-rist-40-112.pdf. Acesso em: 16 dez., 2025.

PAVLIK, J. et al. Security information and event management in the cloud computing infrastructure. In: IEEE 15TH INTERNATIONAL SYMPOSIUM ON COMPUTATIONAL INTELLIGENCE AND INFORMATICS, 2014, [S.l.]. Proceedings... [S.l.]: IEEE, 2014. Disponível em: https://doi.org/10.1109/CINTI.2014.7028677 . Acesso em: 16 dez., 2025.

SOUZA, J. F. Privacidade e dados pessoais: o debate ético sobre o uso de big data. Revista Ilustração, [S. l.], v. 5, n. 6, p. 27–51, 2024. Disponível em:https://doi.org/10.46550/ilustracao.v5i6.340. Acesso em: 16 dez., 2025.

SEVERINO, A. J. Metodologia do trabalho científico. 24 ed., São Paulo:

Cortez, 2017.

SAMPIERI, R. H.; COLLADO, C. F.; LUCIO, M. D. P B. Metodologia de pesquisa. Porto Alegre: Penso, 2013.

TARIQ, A. et al. Open source SIEM solutions for an enterprise.Information & Computer Security, v. 31, n. 1, p. 88-107, 2023. Disponível em:https://doi.org/10.1108/ICS-09-2021-0146. Acesso em: 16 dez., 2025.

ESTADOS UNIDOS. 45 CFR Part 164 Subpart C – Security Standards for the Protection of Electronic Protected Health Information. Department of Health and Human Services. 2013. Disponível em: https://www.ecfr.gov/current/title-45/part-164/subpart-C . Acesso em: 16 dez., 2025.

Downloads

Publicado

2026-01-26

Edição

v. 18 n. 2 (2025): RETEC - Revista de Tecnologias

Seção

Artigos