Dia Internacional da Proteção de Dados: como não lembrar da LGPD? | WeLiveSecurity

Dia Internacional da Proteção de Dados: como não lembrar da LGPD?

O Dia Internacional da Proteção de Dados é comemorado hoje (28), por uma decisão do Conselho Europeu, e é inevitável não falar sobre o impacto da LGPD no Brasil.

O Dia Internacional da Proteção de Dados é comemorado hoje (28), por uma decisão do Conselho Europeu, e é inevitável não falar sobre o impacto da LGPD no Brasil.

O Dia Internacional da Proteção de Dados é comemorado em 28 de janeiro e não podemos deixar de aproveitar esta data para falar sobre um tema que está gerando algumas discussões e a preocupação das organizações, a Lei Geral de Proteção de Dados (LGPD). A nova legislação entra em vigor no dia 16 de agosto deste ano e as empresas precisam se adaptar a este novo momento.

O Brasil passou a fazer parte dos países que contam com uma legislação específica para a proteção de dados e da privacidade dos usuários. Na verdade, o período que muitas empresas acharam que não ia chegar, chegou! Muito foi falado sobre um novo adiamento e que a LGPD não iria emplacar, mas já estamos em vias de ter a lei vigente com pena de infrações que podem chegar a R$ 50 milhões.

Vale lembrar que esta lei tem uma força internacional e que pode impactar diretamente nos negócios feitos com outros países, visto que o mundo já reconhece a importância da privacidade dos dados.

Resumindo, o panorama atual é o seguinte: a Agência Nacional de Proteção de Dados (ANPD) foi criada, o mercado está cada vez mais atrás de profissionais conhecidos como Data Protection Officers (ou encarregados, nome atrabuído pela lei) e quem não acreditou na implementação da lei está se vendo em sérios apuros. Em determinados casos, algumas empresas ainda se perguntam: como adequar o meu negócio a Lei Geral de Proteção de Dados?

Reforçamos que, mesmo agora, ainda é possivel iniciar medidas que tornem o ambiente digital mais maduro e, quando a lei realmente começar a ser aplicada, sejam necessários apenas poucos passos para que a empresa esteja em conformidade. Por isso, não percam tempo.

Compartilho algumas recomendações de segurança que devem ser consideradas para a proteção do ambiente que receberá os dados dos titulares, segundo a LGPD:

  • Avaliar o ambiente – Este é um ótimo ponto inicial, pois avaliar o ambiente permitirá ter o conhecimento de quais caminhos o dado fará, quem lidará com o dado e onde ele permanecerá em descanso, tornando a tarefa de protegê-lo bem menos complexa.
  • Usar um Data Loss Prevention – Esta solução de segurança permite que regras sejam criadas visando impedir que dados saiam do ambiente sem o consentimento dos responsáveis. Caso não seja possível espalhar versões de DLP por estações de trabalho e servidores, a avaliação do ambiente mostrará quais pontos devem ser analisados por ele. Vale lembrar que boa parte dos vazamentos de dados ocorre por funcionários insatisfeitos ou por descuidos.
  • Atualizar os softwares – Manter softwares atualizados e com a última versão dos patches de segurança instalados é essencial, não apenas para o sistema operacional mas também para as eventuais aplicações e serviços instalados no ambiente. Não é possível focar apenas nos dispositivos que irão tratar os dados, independente da forma desse tratamento. Em caso de comprometimento do ambiente, ter tudo atualizado diminui bastante as chances do criminoso achar alguma brecha que o permita acessar os dados.
  • Manter os hosts seguros – As estações de trabalho costumam ser as principais portas de entrada para malware, sendo necessário sempre torná-las o mais seguras possível. Optar por soluções mais robustas que contenham recursos além do antivírus. Estas soluções devem estar presentes em todos os hosts da rede, estações de trabalho, servidores e dispositivos móveis.
  • Segregar as redes – Como em geral as estações de trabalho são os pontos de entrada utilizados por cibercriminosos para comprometer uma rede, é importante mantê-las separadas dos servidores e demais dispositivos. Essa separação não deve ser apenas física, o ideal é que elas estejam em redes distintas, a comunicação entre elas seja protegida por firewall e com regras restritas para a comunicação.
  • Realizar backups de forma periódica – Caso o ambiente tenha sido comprometido e os atacantes não tenham conseguido seu objetivo principal, por exemplo, ter acesso aos dados, é possível que eles procurem causar algum dano ao ambiente, tornando certos dispositivos inacessíveis. Ter um backup recente dos dados fará com que quase não haja danos reais ao ambiente. A execução do backup em uma periodicidade aceitável para o negócio é tão importante quanto a validação do arquivo após a execução do processo. Afinal o backup só e útil se ele estiver disponível e íntegro.
  • Revisar as permissões de acesso – É uma boa prática conceder os acessos visando manter os usuários com o mínimo possível para que consigam exercer suas funções cotidianas, e apesar deste ponto ser muitas vezes menosprezado pelas empresas, ele é de suma importância. Vamos supor que o ambiente foi protegido e as regras antivazamento e proteções estão voltadas para todos os dispositivos das áreas responsáveis por manipular os dados, mas um erro de concessão de acesso foi cometido e toda a equipe de estagiários ou funcionários terceirizados têm os mesmos privilégios de acesso que as equipes que contam com autorização para manipular os dados. Não há cenário tecnológico em que isso não seja considerado uma catástrofe, além de aumentar drasticamente as chances de vazamento dos dados.
  • Conscientizar os usuários – Manter todos os usuários da rede, sem exceção, bem instruídos sobre os riscos que eles e a empresa correm, ensiná-los o mínimo de segurança da informação para que eles possam saber o que fazer ao lidarem com e-mails, anexos ou links suspeitos. Deixando-os à vontade para reportarem qualquer acontecimento atípico no ambiente para as equipes responsáveis.

Discussão