Precisando testar sua segurança digital?
Fale com a gente!

BLOG

LGPD: Segurança e Sigilo de Dados

POR:

Haline Farias

As empresas consideram os dados como sua principal matéria-prima. Sem eles, as empresas não conseguem falar de inteligência empresarial, inovação e crescimento. Os dados servem como combustível; ou seja, as empresas coletam informações que transformam em conhecimento. Entendendo essa valorosidade, é preciso respeitar a legislação e oferecer um ambiente de segurança e sigilo de dados, para que as pessoas entreguem suas informações. Sua empresa está colocando em prática as ações previstas na LGPD? Ou melhor, sua empresa está atenta aos riscos e impactos que uma má utilização pode acarretar? Seu cliente sabe como se manter seguro na internet?


Confira abaixo informações valiosas que você precisa saber:

>Entenda o que é a LGPD e como se preparar!


Segurança e sigilo de dados

Segurança e Sigilo de Dados, que tem um capítulo exclusivo na LGPD, é uma das discussões mais populares quando se trata da proteção de dados pessoais. Em resumo, o objetivo da discussão é entender: “Como reduzir os riscos de ter dados vazados ou roubados?”

Este é o assunto que, pelas evoluções tecnológicas, atormenta os controladores de dados e as equipes de tecnologia da informação (T.I). Com as informações sendo armazenadas em nuvens, drives externos, servidores e computadores, a atenção para que estes dados estejam seguros é um verdadeiro desafio.

Em suma, a lei impacta todas as empresas; do verdureiro que armazena os telefones, nomes e preferências de seus clientes no caderno, até o executivo de mais alta patente com seus processos automatizados e tratamento de dados em alta escala.

Ler também: Consequências do vazamento de 220 milhões de dados pessoais

Se proteja para não ficar vulnerável a ataques

A Segurança e Sigilo de Dados dita o que é preciso para proteger os dados dos seus clientes, consumidores e colaboradores. E quando você não se protege, pode sofrer um ataque, mas a questão é: se proteger de quê?

Existem inúmeras formas de ocorrer um vazamento de dados, conhecendo suas possíveis vulnerabilidades é possível criar camadas de proteção que vão reduzir o risco de ataques. Então, quando se fala em ataque cibernético, devemos nos preocupar com 2 tipos:

Outsider: atacante mal-intencionado que não está dentro da instituição e tentará invadir os seus sistemas através de vulnerabilidades expostas em aplicações web, mobile e rede.

Insider: atacante mal-intencionado que está dentro da instituição e tentará invadir os seus sistemas através de vulnerabilidades expostas e acesso indevido a informações armazenadas em aplicações web, mobile e rede.

O grande problema é que, em uma análise realista, pode ser qualquer pessoa, desde o colega de trabalho da sala do lado até uma pessoa de outra nacionalidade. Por isso, existem medidas a serem tomadas contra os atacantes de fora e de dentro, contribuindo com a segurança e sigilo de dados.

Exemplos de ataques

Existem várias formas de ataque e, a cada dia, criminosos encontram uma nova forma de invadir suas aplicações e redes. Certamente, a necessidade de estar sempre atento às novidades torna-se uma obrigação para aqueles que querem manter seus dados seguros.

Ataques por mensagens:

No Brasil, um dos ataques mais comuns são as mensagens mal-intencionadas. Estas possuem links ou arquivos e podem ser recebidas através do e-mail, WhatsApp, redes sociais e SMS.

Neste caso, o atacante cria o conteúdo para invadir o seu computador ou celular e, assim, acessar as informações e senhas salvas no dispositivo.

Normalmente, à primeira vista, você não percebe nada ao clicar nessas mensagens, mas os programas maliciosos podem já ter se instalado no dispositivo “por baixo dos panos”.

Esse tipo de ataque era muito comum em e-mails com anexos cujo título era “veja as fotos do meu fds”.

Você pode se interessar por: Termos de Uso e Política de Privacidade do WhatsApp

Vulnerabilidades em site e aplicativos:

Os atacantes podem iniciar o ataque explorando uma vulnerabilidade no seu site, bem como no seu aplicativo, API ou e-commerce.

A criação e a atualização das aplicações web de sua empresa pode conter falhas de desenvolvimento que permitem várias possibilidades de acesso de um atacante, por isso a importância de sempre verificar se todas as passagens estão bem fechadas.

A nuvem ou servidor também podem conter falhas que permitem acesso aos dados da empresa.

Ataques de Insiders:

  • Quando se trata de um insider, podemos contar com logins com falha de restrição de acesso em softwares, por exemplo: o login de uma pessoa do almoxarifado consegue ter acesso aos faturamentos dos clientes da empresa, uma informação que deveria ser restrita apenas para ao departamento financeiro e contábil da empresa.
  • Uma pessoa mal-informada ou mal-intencionada pode sair da empresa levando consigo contatos e dados privilegiados, que obteve durante o seu contrato de trabalho, para que possa usá-los com outros propósitos.

Roubos e furtos:

Até mesmo um roubo na sua empresa onde o assaltante leva suas CPUs ou servidores pode ser um problema maior do que apenas o roubo dos equipamentos.

Caso os equipamentos não estejam devidamente protegidos, os criminosos podem ter acesso aos dados contidos nesses equipamentos de alguma maneira. Como resultado, isso pode representar uma grande ameaça para o futuro de sua instituição e clientes.

As motivações de uma pessoa, seja ela interna ou externa à instituição, podem variar, mas lembre-se de que a empresa que coleta os dados é responsável por eles. A Autoridade Nacional de Proteção de Dados (ANPD) cobrará qualquer vazamento de dados, intencional ou não, da empresa.


Consequências de um vazamento para a sua empresa

Sua empresa pode sofrer consequências distintas dependendo do tipo de ataque e intenção. As mais comuns são:

Sequestro de dados (Ransomware)

Criminosos acessam sua base de dados e “sequestram” as informações criptografando todos os arquivos naquela base. A partir daí, para acessar os seus arquivos novamente é preciso pagar um resgate milionário para que os criminosos liberem a chave de acesso.

Diferente de um sequestro no mundo real, a polícia e o governo não podem fazer nada. Os hackers usam a tecnologia de BlockChain para criptografar seus dados, especialistas estimam que com os métodos atuais, quebrar a criptografia levaria centenas de anos.

Dados perdidos

Dependendo do tipo do ataque e do nível de agressividade utilizada, o banco de dados pode ser parcialmente ou totalmente perdido.

Cópia de dados

Muitas vezes a empresa não investiga suas aplicações e redes, e por não estar ciente de um ataque sofrido, no qual os atacantes podem usar os dados capturados para vários fins, como abertura de contas, movimentações financeiras, criação de perfis falsos em redes sociais, simulação de sequestros de pessoas e muitas outras ações prejudiciais às pessoas físicas.

Veja que, nos dois primeiros casos, você perderia o potencial lucrativo de sua empresa de maneira parcial ou total. Assim, fica os questionamentos:

  • Como emitir notas sem dados de faturamento?
  • Como confirmar consultas sem os telefones?
  • Como entregar o produto ou realizar o serviço sem o endereço?
  • Como enviar um e-mail marketing, um SMS ou ao menos saber em qual estágio do funil de vendas o prospect estava?

E então você pensa que a terceira opção seria a mais tranquila. Em um primeiro momento, ela até pode ser inofensiva, mas com o passar do tempo, os danos podem ser percebidos pelas pessoas às quais pertencem os dados, e a quantidade de ações judiciais movidas contra sua empresa, indenizações e outros custos podem ser motivo para uma boa “dor de cabeça”.


Consequências adicionais de um vazamento para a sua empresa segundo a LGPD

A LGPD considera que as organizações são responsáveis por manter a Segurança e Sigilo de Dados de seus clientes, isso significa que em caso de vazamento de dados, você poderá ser punido pela lei.

Além das consequências diretas dos ataques sobre a sua base de dados, você ainda terá de prestar esclarecimentos à ANPD. No texto da lei são apresentadas 6 punições que serão aplicadas conforme o vazamento. São elas:

Receber advertência estipulando um prazo para ajustes de processos necessários para que você esteja dentro da ética prevista.

I.Multa de até 2% do faturamento, excluindo os tributos do último ano inteiro, sendo que o teto pode chegar a R$ 50 Milhões por infração.

II.Aplicação de multas diárias até o teto de R$ 50 Milhões.

III.Obrigatoriedade de tornar público o vazamento de sua empresa para todos os seus clientes e futuros clientes.

IV.Bloqueio de operações empresariais referente aos dados que estiverem fora das premissas da lei até que seja regularizado.

V.Exclusão total dos dados irregulares encontrados em sua empresa.

A empresa poderá ser muito prejudicada por um único vazamento e, caso a empresa tenha mais de um vazamento por ano, algo que é muito possível de acontecer, todo este processo acontece novamente!

A Cisco divulgou em seu relatório que 72% das empresas que sofreram ataques vão à falência em até 24 meses. Empresas de pequeno e médio porte tem o período reduzido para 6 meses.

3 dicas para manter seu dados protegidos

Existem muitas medidas a serem tomadas e cada empresa e fluxo de trabalho precisa ter cuidados especiais com o seu negócio e tipo de dados, principalmente considerando os dados que circulam em cada área da empresa e em cada ponto de manuseio e tratamento destes dados. Assim separamos 3 dicas para ajudar com a segurança da informação:

  1. Nível de acesso de colaboradores: Esta medida ajuda você a se proteger contra Insiders e outsiders. Verifique se as informações disponíveis para cada usuário estão condizentes com a função e a necessidade de cada um. Dessa forma, caso o colaborador sofra ou promova um ataque, o indivíduo não terá acesso e nem formas de escalar para outros níveis de acesso por falhas de configuração.
  2. Crie um comitê de proteção de dados: Reúna os departamentos relacionados no processo de coleta, tratamento, armazenamento e exclusão de dados pessoais e prepare-os para a interpretação correta da legislação, além de revisar os processos de cada um para verificar a necessidade de medidas específicas de segurança em pontos específicos.
  3. Contrate um certificado SSL: Um certificado SSL serve, de maneira simples, para criptografar as informações durante o trajeto que ela percorre na internet até o servidor onde fica armazenada. Este certificado possui vários níveis de proteção, então, ao contratá-los verifique se ele é condizente com as necessidades de sua empresa.

A Resh Cyber Defense possui know-how consolidado e profissionais com vasta experiência em inteligência e segurança da informação e podemos lhe ajudar a tornar a sua empresa ainda mais protegida.

Quer saber como? Clique aqui.

Por Marketing Resh

RESH

Compartilhe:

Artigos Relacionados

IoT: A Revolução Conectada e os Riscos Cibernéticos
Vulnerabilidades no Wi-Fi: Entenda Como Funcionam e Se Proteja
Pentest Automatizado: Mito ou Realidade?
IoT: A Revolução Conectada e os Riscos Cibernéticos
Vulnerabilidades no Wi-Fi: Entenda Como Funcionam e Se Proteja
Pentest Automatizado: Mito ou Realidade?