Precisando testar sua segurança digital?
Fale com a gente!

BLOG

LGPD – Segurança dos Dados

POR:

Haline Farias

A LGPD ou Lei “Geral de Proteção de Dados”, é nova lei que regulamenta como empresas devem tratar os dados pessoais de todos os cidadãos e entra em vigor no Brasil em agosto de 2020.

Junto com ela vêm alguns conceitos que antes não eram priorizados dentro das instituições, mas que agora são objeto de fóruns, eventos e há até uma organização governamental (ANPD) específica para tratar do assunto.

“Segurança e Sigilo de Dados” e “Governança e Boas Práticas” são dois dos conceitos mais importantes da lei. E a melhor forma de se preparar para a LGPD é estar em conformidade com os dois!

>Entenda o que é a LGPD e como se preparar!

Segurança e Sigilo de Dados

Segurança e Sigilo de Dados, que tem um capítulo exclusivo na LGPD, é uma das discussões mais populares quando se trata da proteção de dados pessoais.

Em resumo, o objetivo da discussão é entender: “Como reduzir os riscos de ter dados vazados ou roubados?”

Este é o assunto que, pelas evoluções tecnológicas, atormenta os controladores de dados e as equipes de tecnologia da informação (T.I).

Com as informações sendo armazenadas em nuvens, drives externos, servidores e computadores, a atenção para que estes dados estejam seguros é um verdadeiro desafio.

É importante ressaltar que a lei impacta todas as empresas; do verdureiro que armazena os telefones, nomes e preferências de seus clientes no caderno, até o executivo de mais alta patente com seus processos automatizados e tratamento de dados em alta escala.

Quando você não se protege, fica vulnerável a ataques!

A Segurança e Sigilo de Dados dita o que é preciso para proteger os dados dos seus clientes, consumidores e colaboradores. E quando você não se protege, pode sofrer um ataque, mas a questão é: se proteger de quê? 

Existem inúmeras formas de ocorrer um vazamento de dados, conhecendo suas possíveis vulnerabilidades é possível criar camadas de proteção que vão reduzir o risco de ataques, promovendo a segurança e o sigilo.

Quando se fala em ataque cibernético, devemos nos preocupar com 2 tipos:

  1. Outsider: atacante mal-intencionado que não está dentro da instituição e tentará invadir os seus sistemas através de vulnerabilidades expostas em aplicações web, mobile e rede.
  2. Insider: atacante mal-intencionado que está dentro da instituição e tentará invadir os seus sistemas através de vulnerabilidades expostas e acesso indevido a informações armazenadas em aplicações web, mobile e rede.

O grande problema é que, em uma análise realista, pode ser qualquer pessoa, desde o colega de trabalho da sala do lado bem como, uma pessoa de outra nacionalidade. Por isso, tomamos medidas contra os atacantes de fora e de dentro.

Exemplos de ataques

Existem várias formas de ataque e, a cada dia, criminosos encontram uma nova forma de invadir suas aplicações e redes. No entanto, a necessidade de estar sempre atento às novidades torna-se uma obrigação para aqueles que querem manter seus dados seguros.

Ataques por mensagens:

No Brasil, um dos ataques mais comuns são as mensagens mal-intencionadas. Assim, você pode receber links ou arquivos através do e-mail, WhatsApp, redes sociais e SMS.

Assim, criam o conteúdo para invadir seu computador ou celular, permitindo que o atacante acesse as informações e senhas salvas no dispositivo.

Normalmente, à primeira vista quando você clica nessas mensagens não acontece nada, mas programas maliciosos podem ter sido instalados no dispositivo “por baixo dos panos”.

Esse tipo de ataque era muito comum em e-mails com anexos cujo título era “veja as fotos do meu fds”.

Vulnerabilidades em site e aplicativos:

Um atacante pode iniciar o ataque por meio de uma vulnerabilidade em seu site, aplicativo, API ou e-commerce.

A criação e a atualização das aplicações web de sua empresa pode conter falhas de desenvolvimento que permitem várias possibilidades de acesso de um atacante, por isso a importância de sempre verificar se todas as passagens estão bem fechadas.

A nuvem ou servidor também podem conter falhas que permitem acesso aos dados da empresa.

Ataques de Insiders:

– Quando se trata de um insider, podemos contar com logins com falha de restrição de acesso em softwares, por exemplo: o login de uma pessoa do almoxarifado consegue ter acesso aos faturamentos dos clientes da empresa, uma informação que deveria ser restrita apenas para ao departamento financeiro e contábil da empresa.

– Uma pessoa mal-informada ou mal-intencionada que, ao sair da empresa que está trabalhando, leva com ela contatos bem como, dados privilegiados que teve acesso durante seu contrato de trabalho e que agora poderão ser utilizados para outros motivos.

Roubos e furtos:

Até mesmo um roubo na sua empresa onde o assaltante leva suas CPUs ou servidores pode ser um problema maior do que apenas o roubo dos equipamentos.

Caso os equipamentos não estejam devidamente protegidos, os criminosos podem ter acesso aos dados contidos nesses equipamentos de alguma maneira, isso pode representar uma grande ameaça para o futuro de sua instituição e clientes.

As motivações para uma pessoa que está dentro ou fora da instituição podem ser diferentes, mas não se esqueça que a empresa que coleta é a responsável pelo dado e qualquer vazamento de dados, intencional ou não, será cobrado pela Autoridade Nacional de Proteção de Dados (ANPD).

Consequências de um vazamento para a sua empresa

Sua empresa pode sofrer consequências distintas dependendo do tipo de ataque e intenção. As mais comuns são:

Sequestro de dados (Ransomware):

Criminosos acessam sua base de dados e “sequestram” as informações criptografando todos os arquivos naquela base.

A partir daí, para acessar os seus arquivos novamente é preciso pagar um resgate milionário para que os criminosos liberem a chave de acesso.

Diferente de um sequestro no mundo real, a polícia e o governo não podem fazer nada. Assim, os hackers usam a tecnologia de BlockChain para criptografar seus dados, especialistas estimam que com os métodos atuais, quebrar a criptografia levaria centenas de anos.

Dados perdidos:

Dependendo do tipo de ataque e do nível de agressividade utilizado, você pode perder parcialmente ou totalmente o banco de dados.

Cópia de dados:

Muitas vezes a empresa não investiga suas aplicações e redes, e por não estar ciente de um ataque sofrido, no qual os atacantes podem usar os dados capturados para vários fins, como abertura de contas, movimentações financeiras, criação de perfis falsos em redes sociais, simulação de sequestros de pessoas e muitas outras ações prejudiciais às pessoas físicas.

Veja que, nos dois primeiros casos, você perderia o potencial lucrativo de sua empresa de maneira parcial ou total. Como emitir notas sem dados de faturamento? Como confirmar consultas sem os telefones? De que maneira podemos entregar o produto ou realizar o serviço sem o endereço? Como enviar um e-mail marketing, bem como, um SMS ou ao menos saber em qual estágio do funil de vendas o prospect estava?

E então você pensa que a terceira opção seria a mais tranquila. Num primeiro momento, ela até pode ser inofensiva, mas com o passar do tempo, os danos podem ser percebidos pelas pessoas às quais pertencem os dados, e a quantidade de ações judiciais movidas contra sua empresa, indenizações e outros custos podem ser motivo para uma boa “dor de cabeça”.

Consequências adicionais de um vazamento para a sua empresa segundo a LGPD.

A LGPD considera que as organizações devem manter a segurança e o sigilo dos dados de seus clientes; isso significa que, em caso de vazamento de dados, a lei pode puni-las.

Além das consequências diretas dos ataques sobre a sua base de dados, você ainda terá de prestar esclarecimentos à ANPD. A lei apresenta 6 punições que aplicaremos conforme o vazamento. São elas:

Receber advertência estipulando um prazo para ajustes de processos necessários para que você esteja dentro da ética prevista.

  1. Multa de até 2% do faturamento, excluindo os tributos do último ano inteiro, sendo que o teto pode chegar a R$ 50 Milhões por infração.
  2. Aplicação de multas diárias até o teto de R$ 50 Milhões.
  3. Obrigatoriedade de tornar público o vazamento de sua empresa para todos os seus clientes e futuros clientes.
  4. Bloqueio de operações empresariais referente aos dados que estiverem fora das premissas da lei até que seja regularizado.
  5. Exclusão total dos dados irregulares encontrados em sua empresa.

A empresa poderá ser muito prejudicada por um único vazamento e, caso a empresa tenha mais de um vazamento por ano, algo que é muito possível de acontecer, assim, todo este processo acontece novamente!

A Cisco divulgou em seu relatório que 72% das empresas que sofreram ataques vão à falência em até 24 meses. Ademais, empresas de pequeno e médio porte tem o período reduzido para 6 meses.

10 dicas para manter a segurança e sigilo dos dados:

Você deve tomar muitas medidas, e cada empresa e fluxo de trabalho precisa cuidar especialmente do seu negócio e do tipo de dados. Contudo, isso é especialmente importante considerando os dados que circulam em cada área da empresa e em cada ponto de manuseio e tratamento desses dados. Assim separamos 10 dicas para ajudar com a segurança e sigilo dos dados:

1-    Nível de acesso de colaboradores:

Esta medida ajuda você a se proteger contra Insiders e outsiders. Verifique se as informações disponíveis para cada usuário estão condizentes com a função e a necessidade de cada um. Dessa forma, se o colaborador sofrer ou promover um ataque, ele não conseguirá acessar ou escalar para outros níveis devido a falhas de configuração.

2-    Crie um comitê de proteção de dados:

Reúna os departamentos responsáveis pelos dados e prepare-os para interpretar corretamente a legislação. Além disso, revise os processos de cada um para verificar a necessidade de medidas específicas de segurança em pontos críticos.

3-    Contrate um certificado SSL:

Um certificado SSL criptografa informações durante a transmissão para o servidor. Este certificado possui vários níveis de proteção, então, ao contratá-los verifique se ele é condizente com as necessidades de sua empresa.

4-    Realize teste de intrusão com frequência:

Também conhecido como Pentest, o teste de intrusão identifica vulnerabilidades em sua aplicação web, mobile ou de rede. Isso significa identificar falhas na programação que poderiam permitir um ataque aos seus dados. As vulnerabilidades podem aparecer também após versionamentos e atualizações, então crie uma rotina de testes.

5-    Possua ferramentas de auditoria:

No caso da nova lei de proteção de dados, é necessário que você, além de ter medidas de segurança, ainda seja capaz de provar que estas são estabelecidas e realizadas com frequência. Desta forma, você tem mais argumentos para uma defesa judicial e melhora a gestão da sua segurança.

6-    Implemente políticas de senhas:

É essencial que as rotinas empresariais incluam a troca inteligente de senhas para dificultar a descoberta por terceiros. Este procedimento é simples e já auxilia muito a evitar ataques.

7-    Realize ações de conscientização:

Todos os colaboradores devem receber treinamentos explicando qual a importância de proteger dados e, assim, alinhar com toda a equipe os procedimentos corretos para a manipulação e tratamento de dados.

8-    Documentações jurídicas:

Verifique se todos os contratos, termos de uso e políticas de privacidades estão alinhados com a LGPD e com os objetivos e planejamentos da organização. Uma falha contratual também pode ser um grande inimigo.

9-    Mantenha seus aplicativos originais e atualizados:

Sim, aplicativos desatualizados ou piratas podem ser uma porta de entrada para atacantes mal-intencionados em seu ambiente de trabalho. Então, mesmo que leve alguns instantes, trata-se de uma cultura que também deve estar presente em sua empresa.

10- Tenha um plano de contingência:

Crie um documento para auxiliar o desenvolvimento de ações caso haja um vazamento de dados. Seja específico e o mais realista possível para a situação, pois desta forma, você estará sempre um passo à frente e mais seguro para reduzir os custos decorrentes.

Portanto, a Resh Pentest Experts possui know-how consolidado e profissionais com vasta experiência em inteligência e segurança da informação e podemos lhe ajudar a tornar a sua empresa ainda mais protegida. Quer saber como? Clique aqui. Ou se preferir solicite uma reunião com nossos especialistas aqui!

RESH

Compartilhe:

Artigos Relacionados

Pentest Automatizado: Mito ou Realidade?
Pentest: Black Box, Gray Box ou White Box? Descubra o Ideal Para Sua Empresa
Pentest em Aplicativos: Diferenças Entre Android e iOS
Pentest Automatizado: Mito ou Realidade?
Pentest: Black Box, Gray Box ou White Box? Descubra o Ideal Para Sua Empresa
Pentest em Aplicativos: Diferenças Entre Android e iOS