LGPD: Segurança e Sigilo de Dados

Por Marketing Resh

Os dados são considerados a principal matéria prima das empresas, sem eles não tem como falar de inteligência empresarial, inovação e crescimento. Os dados são um combustível, ou seja, são coletadas informações que são transformadas em conhecimento para a empresa. Entendendo essa valorosidade, é preciso respeitar a legislação e oferecer um ambiente seguro para que as pessoas entreguem suas informações. Sua empresa está colocando em prática as ações previstas na LGPD? Ou melhor, sua empresa está atenta aos riscos e impactos que uma má utilização pode acarretar? Seu cliente sabe como se manter seguro na internet?
Confira abaixo informações valiosas que você precisa saber.

>Entenda o que é a LGPD e como se preparar!


Segurança e sigilo de dados

Segurança e Sigilo de Dados, que tem um capítulo exclusivo na LGPD, é uma das discussões mais populares quando se trata da proteção de dados pessoais. De forma resumida, o objetivo da discussão é entender: “Como reduzir os riscos de ter dados vazados ou roubados?”

Este é o assunto que, pelas evoluções tecnológicas, atormenta os controladores de dados e as equipes de tecnologia da informação (T.I). Com as informações sendo armazenadas em nuvens, drives externos, servidores e computadores, a atenção para que estes dados estejam seguros é um verdadeiro desafio.

É importante ressaltar que a lei impacta todas as empresas; do verdureiro que armazena os telefones, nomes e preferências de seus clientes no caderno, até o executivo de mais alta patente com seus processos automatizados e tratamento de dados em alta escala.

Ler também: Consequências do vazamento de 220 milhões de dados pessoais

Se proteja para não ficar vulnerável a ataques

A Segurança e Sigilo de Dados dita o que é preciso para proteger os dados dos seus clientes, consumidores e colaboradores. E quando você não se protege, pode sofrer um ataque, mas a questão é: se proteger de quê?

Existem inúmeras formas de ocorrer um vazamento de dados, conhecendo suas possíveis vulnerabilidades é possível criar camadas de proteção que vão reduzir o risco de ataques. Quando se fala em ataque cibernético, devemos nos preocupar com 2 tipos:

Outsider: atacante mal-intencionado que não está dentro da instituição e tentará invadir os seus sistemas através de vulnerabilidades expostas em aplicações web, mobile e rede.

Insider: atacante mal-intencionado que está dentro da instituição e tentará invadir os seus sistemas através de vulnerabilidades expostas e acesso indevido a informações armazenadas em aplicações web, mobile e rede.

O grande problema é que, em uma análise realista, pode ser qualquer pessoa, desde o colega de trabalho da sala do lado até uma pessoa de outra nacionalidade. Por isso, existem medidas a serem tomadas contra os atacantes de fora e de dentro.

Exemplos de ataques

Existem várias formas de ataque e, a cada dia, criminosos encontram uma nova forma de invadir suas aplicações e redes. A necessidade de estar sempre atento às novidades torna-se uma obrigação para aqueles que querem manter seus dados seguros.

Ataques por mensagens:

No Brasil, um dos ataques mais comuns são as mensagens mal-intencionadas. Estas possuem links ou arquivos e podem ser recebidas através do e-mail, WhatsApp, redes sociais e SMS.

Neste caso, o conteúdo é feito para invadir o seu computador ou celular para que, assim, o atacante possa ter acesso às informações e senhas salvas no dispositivo.

Normalmente, à primeira vista quando você clica nessas mensagens não acontece nada, mas programas maliciosos podem ter sido instalados no dispositivo “por baixo dos panos”.

Esse tipo de ataque era muito comum em e-mails com anexos cujo título era “veja as fotos do meu fds”.

Você pode se interessar por: Termos de Uso e Política de Privacidade do WhatsApp

Vulnerabilidades em site e aplicativos:

O ataque pode ser iniciado por meio de uma vulnerabilidade em seu site, aplicativo, API ou e-commerce.

A criação e a atualização das aplicações web de sua empresa pode conter falhas de desenvolvimento que permitem várias possibilidades de acesso de um atacante, por isso a importância de sempre verificar se todas as passagens estão bem fechadas.

A nuvem ou servidor também podem conter falhas que permitem acesso aos dados da empresa.

Ataques de Insiders:

  • Quando se trata de um insider, podemos contar com logins com falha de restrição de acesso em softwares, por exemplo: o login de uma pessoa do almoxarifado consegue ter acesso aos faturamentos dos clientes da empresa, uma informação que deveria ser restrita apenas para ao departamento financeiro e contábil da empresa.
  • Uma pessoa mal-informada ou mal-intencionada que, ao sair da empresa que está trabalhando, leva com ela contatos e dados privilegiados que teve acesso durante seu contrato de trabalho e que agora poderão ser utilizados para outros motivos.

Roubos e furtos:

Até mesmo um roubo na sua empresa onde o assaltante leva suas CPUs ou servidores pode ser um problema maior do que apenas o roubo dos equipamentos.

Caso os equipamentos não estejam devidamente protegidos, os criminosos podem ter acesso aos dados contidos nesses equipamentos de alguma maneira, isso pode representar uma grande ameaça para o futuro de sua instituição e clientes.

As motivações para uma pessoa que está dentro ou fora da instituição podem ser diferentes, mas não se esqueça que a empresa que coleta é a responsável pelo dado e qualquer vazamento de dados, intencional ou não, será cobrado pela Autoridade Nacional de Proteção de Dados (ANPD).


Consequências de um vazamento para a sua empresa

Sua empresa pode sofrer consequências distintas dependendo do tipo de ataque e intenção. As mais comuns são:

  • Sequestro de dados (Ransomware): Criminosos acessam sua base de dados e “sequestram” as informações criptografando todos os arquivos naquela base.

A partir daí, para acessar os seus arquivos novamente é preciso pagar um resgate milionário para que os criminosos liberem a chave de acesso.

Diferente de um sequestro no mundo real, a polícia e o governo não podem fazer nada. Os hackers usam a tecnologia de BlockChain para criptografar seus dados, especialistas estimam que com os métodos atuais, quebrar a criptografia levaria centenas de anos.

  • Dados perdidos: Dependendo do tipo do ataque e do nível de agressividade utilizada, o banco de dados pode ser parcialmente ou totalmente perdido.
  • Cópia de dados: Muitas vezes a empresa não investiga suas aplicações e redes, e por não estar ciente de um ataque sofrido, no qual os atacantes podem usar os dados capturados para vários fins, como abertura de contas, movimentações financeiras, criação de perfis falsos em redes sociais, simulação de sequestros de pessoas e muitas outras ações prejudiciais às pessoas físicas.

Veja que, nos dois primeiros casos, você perderia o potencial lucrativo de sua empresa de maneira parcial ou total. Como emitir notas sem dados de faturamento? Como confirmar consultas sem os telefones? Como entregar o produto ou realizar o serviço sem o endereço? Como enviar um e-mail marketing, um SMS ou ao menos saber em qual estágio do funil de vendas o prospect estava?

E então você pensa que a terceira opção seria a mais tranquila. Num primeiro momento, ela até pode ser inofensiva, mas com o passar do tempo, os danos podem ser percebidos pelas pessoas às quais pertencem os dados, e a quantidade de ações judiciais movidas contra sua empresa, indenizações e outros custos podem ser motivo para uma boa “dor de cabeça”.


Consequências adicionais de um vazamento para a sua empresa segundo a LGPD

A LGPD considera que as organizações são responsáveis por manter a Segurança e Sigilo de Dados de seus clientes, isso significa que em caso de vazamento de dados, você poderá ser punido pela lei.

Além das consequências diretas dos ataques sobre a sua base de dados, você ainda terá de prestar esclarecimentos à ANPD. No texto da lei são apresentadas 6 punições que serão aplicadas conforme o vazamento. São elas:

Receber advertência estipulando um prazo para ajustes de processos necessários para que você esteja dentro da ética prevista.

I.Multa de até 2% do faturamento, excluindo os tributos do último ano inteiro, sendo que o teto pode chegar a R$ 50 Milhões por infração.

II.Aplicação de multas diárias até o teto de R$ 50 Milhões.

III.Obrigatoriedade de tornar público o vazamento de sua empresa para todos os seus clientes e futuros clientes.

IV.Bloqueio de operações empresariais referente aos dados que estiverem fora das premissas da lei até que seja regularizado.

V.Exclusão total dos dados irregulares encontrados em sua empresa.

A empresa poderá ser muito prejudicada por um único vazamento e, caso a empresa tenha mais de um vazamento por ano, algo que é muito possível de acontecer, todo este processo acontece novamente!

A Cisco divulgou em seu relatório que 72% das empresas que sofreram ataques vão à falência em até 24 meses. Empresas de pequeno e médio porte tem o período reduzido para 6 meses.

3 dicas para manter seu dados protegidos

Existem muitas medidas a serem tomadas e cada empresa e fluxo de trabalho precisa ter cuidados especiais com o seu negócio e tipo de dados, principalmente considerando os dados que circulam em cada área da empresa e em cada ponto de manuseio e tratamento destes dados. Assim separamos 3 dicas para ajudar com a segurança da informação:

  1. Nível de acesso de colaboradores: Esta medida ajuda você a se proteger contra Insiders e outsiders. Verifique se as informações disponíveis para cada usuário estão condizentes com a função e a necessidade de cada um. Desta forma, caso o colaborador sofra ou promova um ataque, o indivíduo não terá acesso e nem formas de escalar para outros níveis de acesso por falhas de configuração.
  2. Crie um comitê de proteção de dados: Reúna os departamentos relacionados no processo de coleta, tratamento, armazenamento e exclusão de dados pessoais e prepare-os para a interpretação correta da legislação, além de revisar os processos de cada um para verificar a necessidade de medidas específicas de segurança em pontos específicos.
  3. Contrate um certificado SSL: Um certificado SSL serve, de maneira simples, para criptografar as informações durante o trajeto que ela percorre na internet até o servidor onde fica armazenada. Este certificado possui vários níveis de proteção, então, ao contratá-los verifique se ele é condizente com as necessidades de sua empresa.

A Resh Cyber Defense possui know-how consolidado e profissionais com vasta experiência em inteligência e segurança da informação e podemos lhe ajudar a tornar a sua empresa ainda mais protegida.

Quer saber como? Clique aqui.