A LGPD ou Lei “Geral de Proteção de Dados”, é nova lei que regulamenta como empresas devem tratar os dados pessoais de todos os cidadãos e entra em vigor no Brasil em agosto de 2020.

Junto com ela vêm alguns conceitos que antes não eram priorizados dentro das instituições, mas que agora são objeto de fóruns, eventos e há até uma organização governamental (ANPD) específica para tratar do assunto.

“Segurança e Sigilo de Dados” e “Governança e Boas Práticas” são dois dos conceitos mais importantes da lei. E a melhor forma de se preparar para a LGPD é estar em conformidade com os dois!

>Entenda o que é a LGPD e como se preparar!

Segurança e Sigilo de Dados

Segurança e Sigilo de Dados, que tem um capítulo exclusivo na LGPD, é uma das discussões mais populares quando se trata da proteção de dados pessoais.

De forma resumida, o objetivo da discussão é entender: “Como reduzir os riscos de ter dados vazados ou roubados?”

Este é o assunto que, pelas evoluções tecnológicas, atormenta os controladores de dados e as equipes de tecnologia da informação (T.I).

Com as informações sendo armazenadas em nuvens, drives externos, servidores e computadores, a atenção para que estes dados estejam seguros é um verdadeiro desafio.

É importante ressaltar que a lei impacta todas as empresas; do verdureiro que armazena os telefones, nomes e preferências de seus clientes no caderno, até o executivo de mais alta patente com seus processos automatizados e tratamento de dados em alta escala.

Quando você não se protege, fica vulnerável a ataques!

A Segurança e Sigilo de Dados dita o que é preciso para proteger os dados dos seus clientes, consumidores e colaboradores. E quando você não se protege, pode sofrer um ataque, mas a questão é: se proteger de quê? 

Existem inúmeras formas de ocorrer um vazamento de dados, conhecendo suas possíveis vulnerabilidades é possível criar camadas de proteção que vão reduzir o risco de ataques.

Quando se fala em ataque cibernético, devemos nos preocupar com 2 tipos:

1. Outsider: atacante mal-intencionado que não está dentro da instituição e tentará invadir os seus sistemas através de vulnerabilidades expostas em aplicações web, mobile e rede.
2. Insider: atacante mal-intencionado que está dentro da instituição e tentará invadir os seus sistemas através de vulnerabilidades expostas e acesso indevido a informações armazenadas em aplicações web, mobile e rede.

O grande problema é que, em uma análise realista, pode ser qualquer pessoa, desde o colega de trabalho da sala do lado até uma pessoa de outra nacionalidade. Por isso, existem medidas a serem tomadas contra os atacantes de fora e de dentro.

Exemplos de ataques

Existem várias formas de ataque e, a cada dia, criminosos encontram uma nova forma de invadir suas aplicações e redes. A necessidade de estar sempre atento às novidades torna-se uma obrigação para aqueles que querem manter seus dados seguros.

Ataques por mensagens:

No Brasil, um dos ataques mais comuns são as mensagens mal-intencionadas. Estas possuem links ou arquivos e podem ser recebidas através do e-mail, WhatsApp, redes sociais e SMS.

Neste caso, o conteúdo é feito para invadir o seu computador ou celular para que, assim, o atacante possa ter acesso às informações e senhas salvas no dispositivo.

Normalmente, à primeira vista quando você clica nessas mensagens não acontece nada, mas programas maliciosos podem ter sido instalados no dispositivo “por baixo dos panos”.

Esse tipo de ataque era muito comum em e-mails com anexos cujo título era “veja as fotos do meu fds”.

Vulnerabilidades em site e aplicativos:

O ataque pode ser iniciado por meio de uma vulnerabilidade em seu site, aplicativo, API ou e-commerce.

A criação e a atualização das aplicações web de sua empresa pode conter falhas de desenvolvimento que permitem várias possibilidades de acesso de um atacante, por isso a importância de sempre verificar se todas as passagens estão bem fechadas.

A nuvem ou servidor também podem conter falhas que permitem acesso aos dados da empresa.

Ataques de Insiders:

– Quando se trata de um insider, podemos contar com logins com falha de restrição de acesso em softwares, por exemplo: o login de uma pessoa do almoxarifado consegue ter acesso aos faturamentos dos clientes da empresa, uma informação que deveria ser restrita apenas para ao departamento financeiro e contábil da empresa.

– Uma pessoa mal-informada ou mal-intencionada que, ao sair da empresa que está trabalhando, leva com ela contatos e dados privilegiados que teve acesso durante seu contrato de trabalho e que agora poderão ser utilizados para outros motivos.

Roubos e furtos:

Até mesmo um roubo na sua empresa onde o assaltante leva suas CPUs ou servidores pode ser um problema maior do que apenas o roubo dos equipamentos.

Caso os equipamentos não estejam devidamente protegidos, os criminosos podem ter acesso aos dados contidos nesses equipamentos de alguma maneira, isso pode representar uma grande ameaça para o futuro de sua instituição e clientes.

As motivações para uma pessoa que está dentro ou fora da instituição podem ser diferentes, mas não se esqueça que a empresa que coleta é a responsável pelo dado e qualquer vazamento de dados, intencional ou não, será cobrado pela Autoridade Nacional de Proteção de Dados (ANPD).

Consequências de um vazamento para a sua empresa

Sua empresa pode sofrer consequências distintas dependendo do tipo de ataque e intenção. As mais comuns são:

– Sequestro de dados (Ransomware): Criminosos acessam sua base de dados e “sequestram” as informações criptografando todos os arquivos naquela base.

A partir daí, para acessar os seus arquivos novamente é preciso pagar um resgate milionário para que os criminosos liberem a chave de acesso.

Diferente de um sequestro no mundo real, a polícia e o governo não podem fazer nada. Os hackers usam a tecnologia de BlockChain para criptografar seus dados, especialistas estimam que com os métodos atuais, quebrar a criptografia levaria centenas de anos.

– Dados perdidos: Dependendo do tipo do ataque e do nível de agressividade utilizada, o banco de dados pode ser parcialmente ou totalmente perdido.

– Cópia de dados: Muitas vezes a empresa não investiga suas aplicações e redes, e por não estar ciente de um ataque sofrido, no qual os atacantes podem usar os dados capturados para vários fins, como abertura de contas, movimentações financeiras, criação de perfis falsos em redes sociais, simulação de sequestros de pessoas e muitas outras ações prejudiciais às pessoas físicas.

Veja que, nos dois primeiros casos, você perderia o potencial lucrativo de sua empresa de maneira parcial ou total. Como emitir notas sem dados de faturamento? Como confirmar consultas sem os telefones? Como entregar o produto ou realizar o serviço sem o endereço? Como enviar um e-mail marketing, um SMS ou ao menos saber em qual estágio do funil de vendas o prospect estava?

E então você pensa que a terceira opção seria a mais tranquila. Num primeiro momento, ela até pode ser inofensiva, mas com o passar do tempo, os danos podem ser percebidos pelas pessoas às quais pertencem os dados, e a quantidade de ações judiciais movidas contra sua empresa, indenizações e outros custos podem ser motivo para uma boa “dor de cabeça”.

Consequências adicionais de um vazamento para a sua empresa segundo a LGPD.

A LGPD considera que as organizações são responsáveis por manter a Segurança e Sigilo de Dados de seus clientes, isso significa que em caso de vazamento de dados, você poderá ser punido pela lei.

Além das consequências diretas dos ataques sobre a sua base de dados, você ainda terá de prestar esclarecimentos à ANPD. No texto da lei são apresentadas 6 punições que serão aplicadas conforme o vazamento. São elas:

Receber advertência estipulando um prazo para ajustes de processos necessários para que você esteja dentro da ética prevista.

1. Multa de até 2% do faturamento, excluindo os tributos do último ano inteiro, sendo que o teto pode chegar a R$ 50 Milhões por infração.
2. Aplicação de multas diárias até o teto de R$ 50 Milhões.
3. Obrigatoriedade de tornar público o vazamento de sua empresa para todos os seus clientes e futuros clientes.
4. Bloqueio de operações empresariais referente aos dados que estiverem fora das premissas da lei até que seja regularizado.
5. Exclusão total dos dados irregulares encontrados em sua empresa.

A empresa poderá ser muito prejudicada por um único vazamento e, caso a empresa tenha mais de um vazamento por ano, algo que é muito possível de acontecer, todo este processo acontece novamente!

A Cisco divulgou em seu relatório que 72% das empresas que sofreram ataques vão à falência em até 24 meses. Empresas de pequeno e médio porte tem o período reduzido para 6 meses.

10 dicas para manter seus dados protegidos:

Existem muitas medidas a serem tomadas e cada empresa e fluxo de trabalho precisa ter cuidados especiais com o seu negócio e tipo de dados, principalmente considerando os dados que circulam em cada área da empresa e em cada ponto de manuseio e tratamento destes dados. Assim separamos 10 dicas para ajudar com a segurança da informação:

1-    Nível de acesso de colaboradores: Esta medida ajuda você a se proteger contra Insiders e outsiders. Verifique se as informações disponíveis para cada usuário estão condizentes com a função e a necessidade de cada um. Desta forma, caso o colaborador sofra ou promova um ataque, o indivíduo não terá acesso e nem formas de escalar para outros níveis de acesso por falhas de configuração.

2-    Crie um comitê de proteção de dados: Reúna os departamentos relacionados no processo de coleta, tratamento, armazenamento e exclusão de dados pessoais e prepare-os para a interpretação correta da legislação, além de revisar os processos de cada um para verificar a necessidade de medidas específicas de segurança em pontos específicos.

3-    Contrate um certificado SSL: Um certificado SSL serve, de maneira simples, para criptografar as informações durante o trajeto que ela percorre na internet até o servidor onde fica armazenada. Este certificado possui vários níveis de proteção, então, ao contratá-los verifique se ele é condizente com as necessidades de sua empresa.

4-    Realize teste de intrusão com frequência: Também conhecido como Pentest, o teste de intrusão é feito para verificar se a sua aplicação web, mobile ou de rede possui alguma vulnerabilidade, ou seja, se existe alguma falha na programação que permitiria um ataque aos seus dados. As vulnerabilidades podem aparecer também após versionamentos e atualizações, então crie uma rotina de testes.

5-    Possua ferramentas de auditoria: No caso da nova lei de proteção de dados, é necessário que você, além de ter medidas de segurança, ainda seja capaz de provar que estas são estabelecidas e realizadas com frequência. Desta forma, você tem mais argumentos para uma defesa judicial e melhora a gestão da sua segurança.

6-    Implemente políticas de senhas: Algo que deve estar dentro das rotinas empresariais é a troca de senhas de maneira inteligente e que dificulte a descoberta por um terceiro. Este procedimento é simples e já auxilia muito a evitar ataques.

7-    Realize ações de conscientização: Todos os colaboradores devem receber treinamentos explicando qual a importância de proteger dados e, assim, alinhar com toda a equipe os procedimentos corretos para a manipulação e tratamento de dados.

8-    Documentações jurídicas: Verifique se todos os contratos, termos de uso e políticas de privacidades estão alinhados com a LGPD e com os objetivos e planejamentos da organização. Uma falha contratual também pode ser um grande inimigo.

9-    Mantenha seus aplicativos originais e atualizados: Sim, aplicativos desatualizados ou piratas podem ser uma porta de entrada para atacantes mal-intencionados em seu ambiente de trabalho. Então, mesmo que leve alguns instantes, trata-se de uma cultura que também deve estar presente em sua empresa.

10- Tenha um plano de contingência: Crie um documento para auxiliar o desenvolvimento de ações caso haja um vazamento de dados. Seja específico e o mais realista possível para a situação, pois desta forma, você estará sempre um passo à frente e mais seguro para reduzir os custos decorrentes.

A Resh Cyber Defense possui know-how consolidado e profissionais com vasta experiência em inteligência e segurança da informação e podemos lhe ajudar a tornar a sua empresa ainda mais protegida. Quer saber como? Clique aqui. Ou se preferir solicite uma reunião com nossos especialistas aqui!