LGPD e Segurança da Informação: 7 passos prioritários para a adequação da sua empresa
A Lei Geral de Proteção de Dados (LGPD) é a principal regulamentação brasileira sobre privacidade e proteção de dados pessoais.
Desde a sua promulgação, em agosto de 2018, passou-se a se exigir das empresas e das organizações de um modo em geral a transformação da cultura organizacional, por meio da adoção de políticas e processos voltados para garantir a segurança e a proteção dos dados de seus clientes.
Neste post, vamos falar um pouco mais sobre o que a sua empresa precisa, minimamente, implementar para estar em compliance com a LGPD, no tocante à segurança da informação.
Por que a segurança da informação é importante no contexto da LGPD?
A segurança da informação é essencial para que as empresas possam salvaguardar a privacidade e a proteção de dados pessoais, nos termos estabelecidos pela LGPD. E, para tanto, ela exige das organizações o estabelecimento de medidas técnicas e administrativas não apenas para as empresas de grande, como, também, para as de pequeno porte.
Não há dúvidas, assim, de que as boas práticas reconhecidas internacionalmente deverão fazer parte do dia a dia das organizações, como é o caso das normas previstas na família ISO 27000, que determinam como estabelecer, implementar, manter e melhorar continuamente um sistema de gerenciamento de segurança da informação.
Em especial, cabe destacar a norma ISO 27001 (padrão ouro de segurança da informação), a qual apresenta um conjunto de controles e processos para que as organizações possam garantir a segurança de seus dados. Esta norma orienta as organizações na administração efetiva das políticas, processos e procedimentos voltados para a efetiva gestão de riscos que possam comprometer as informações das instituições.
Neste contexto, é oportuno avaliar o seguinte cenário: se considerarmos o valor previsto dos prejuízos causados em função de cibercrimes em 2021, algo em torno de US $ 6 trilhões – como se fosse o PIB de um país, este seria a terceira maior economia do mundo, depois dos Estados Unidos e da China.
De acordo com a Cybersecurity Ventures, o valor global dos prejuízos causados pelo crime cibernético deverá crescer 15% ao ano, atingindo US $ 10,5 trilhões anualmente até 2025, o que representará a maior transferência de riqueza econômica da história, gerando graves riscos aos incentivos para inovação e investimento. O valor destes prejuízos é exponencialmente maior do que os danos infligidos por desastres naturais, e será mais lucrativo do que todo o comércio global de drogas ilegais combinadas.
A estimativa é baseada em números históricos de crimes cibernéticos, considerando o veloz crescimento ano após ano, bem como, o dramático aumento nas atividades de hacking do crime organizado, e a superfície de ataque cibernético que terá uma ordem de magnitude maior em 2025 do que é hoje.
Os custos do crime cibernético incluem danos e destruição de dados, perda de produtividade, roubo de propriedade intelectual, roubo de dados pessoais, apropriação indébita, fraude, interrupção pós-ataque do curso normal dos negócios, investigação forense, restauração e exclusão de dados hackeados dados e sistemas, e danos à reputação.
Os 7 passos prioritários para a adequação da sua empresa à LGPD
A seguir, constam os 7 passos prioritários para a adequação da sua empresa à LGPD, tendo como base as principais medidas administrativas e técnicas de segurança da informação.
1º Passo: Treine a sua equipe e elabore a sua Política de Segurança da Informação
Os sistemas de segurança de TI são eficazes até determinado ponto. Por isso, é necessário que os colaboradores da organização sabiam utilizar de forma segura os recursos da rede corporativa e da internet, para alcançar maior proteção contra hackers. Muitos ataques cibernéticos empregam informações roubadas de colaboradores que, inadvertidamente, as divulgam.
Logo, uma das melhores maneiras para proteger as organizações contra os ataques cibernéticos e violações de dados, é treinar os colaboradores na prevenção de ataques cibernéticos, por meio da informação acerca do tema.
A educação em segurança da informação, proteção e privacidade de dados precisa ser implementada em toda a organização, abrangendo minimamente os seguintes elementos:
- Diretrizes sobre o uso aceitável dos recursos e sistemas corporativos, tanto dentro quanto fora da organização;
- Protocolos para garantir que dados / informações pessoais e empresariais estejam sempre protegidos;
- Como executar planos de contingência e recuperação de desastres, no caso de uma violação de segurança;
- Práticas de segurança de senha;
- Informações sobre como os colaboradores devem usar a rede e os sistemas corporativos;
- Como reconhecer e-mails ou postagens “suspeitas” (inclusive nas redes sociais)
De fato, uma das formas mais comuns dos criminosos cibernéticos realizarem ataques, é por meio de técnicas de engenharia social, enviando e-mails fraudulentos, se passando por alguém da organização, solicitando detalhes pessoais ou acesso a determinados arquivos, ou ainda, requerendo que uma atualização de segurança seja instalada, ou que um link seja acessado. Os e-mails e seus conteúdos muitas vezes parecem legítimos para um olho não treinado e é fácil cair na armadilha. Por isso, a conscientização dos colaboradores da organização é vital.
Os colaboradores devem:
- Verificar os links antes de clicar;
- Verificar os endereços dos rementes do e-mail recebido;
- Empregar o bom senso antes de enviar ou revelar informações confidenciais. Se um pedido parecer estranho, provavelmente é. É melhor verificar por telefone com a pessoa em questão antes de atender a “solicitação”.
E não se esqueçam de que tudo isso, claro, deve estar, expressamente, descrito na Política de Segurança da Informação da sua empresa, a fim de que todos os colaboradores e demais partes interessadas tenham ciência plena acerca do que é permitido ou não dentro da organização, no que diz respeito a esse tema.
Lembrem-se, ainda, de que a Política de Segurança da Informação deve estar sempre adequada ao contexto da sua organização e ser proporcional ao seu modelo de negócio.
2º Passo: Mantenha seus softwares e sistemas atualizados
Frequentemente, os ataques cibernéticos acontecem porque seus sistemas ou softwares não estão totalmente atualizados, criando vulnerabilidades. Um sistema ou software desatualizado pode ocasionar vulnerabilidades graves, ocasionando prejuízos as empresas, os hackers exploram essas fraquezas, buscando obter acesso a rede ou as bases de dados das organizações. Uma vez que uma invasão ocorreu – pode ser tarde demais para tomar medidas preventivas.
Para evitar esta situação, é essencial investir em procedimentos e sistemas de gerenciamento de patches, que será responsável por todas as atualizações de software e sistema, mantendo-os resilientes e atualizados.
3º Passo: Garanta a proteção dos endpoints
Uma boa proteção dos dispositivos móveis, tablets e laptops (endpoints) irá resguardar os equipamentos que estão conectados aos recursos da rede da organização, evitando dores de cabeça e uma série de problemas, uma vez que, podem ser vetores de ameaças à segurança da informação.
Esses dispositivos e os recursos de rede precisam ser protegidos por meio de software de proteção específicos (ferramentas de segurança de endpoint, como softwares de detecção e resposta de endpoints e aplicativos de antivírus).
Nesse caso, a prática recomendada mais importante é adotar uma abordagem proativa para a segurança cibernética. Malwares (programas maliciosos) representam uma ameaça potencial contínua. Para isso, recomenda-se implementar uma solução de segurança capaz de identificar ameaças e vulnerabilidades, permitindo aos usuários responderem às ameaças, e validar se seus endpoints estão completamente “limpos”.
Essa validação de endpoints precisa ser conduzida periodicamente – idealmente automatizada e monitorado, de forma continuada.
4º Passo: Mantenha seu firewall e redes devidamente configuradas e atualizadas
Proteger a rede, sistemas e dados por meio de um firewall é uma das maneiras mais eficazes de se defender de qualquer ataque cibernético. Um firewall devidamente configurado bloqueará qualquer ataque de força bruta feito em sua rede e / ou sistemas antes que danos ou prejuízos possam ser causados.
Atualmente, o mercado oferece excelentes soluções, combinando hardware e software, e assim, potencializando a segurança que o firewall irá oferecer.
Adicionalmente, as redes corporativas devem ser segmentadas e testadas, contando com sistemas de prevenção de intrusão (IPS), visando resguardar as redes para conter infecções laterais. Além disso, auditorias completas e testes de penetração devem ser realizados em todos os sistemas regularmente.
5º Passo: Mantenha o backup de dados atualizado e testado
Na ocorrência de um ataque cibernético, sua empresa poderá ter seus dados, sistemas e redes totalmente bloqueados ou inoperantes. Visando evitar tais paralisações de sistemas, perda de dados e prejuízos financeiros e reputacionais mais graves, uma das maneiras mais eficazes de resolver este tipo de situação, é por meio da restauração de backups.
Por isso, as empresas devem manter seus backups atualizados e testados diariamente (testes regulares de backup devem ser incluídos em sua política de segurança da informação, para garantir que sua empresa nunca fique vulnerável a um ataque).
6º Passo: Utilize sistemas de gerenciamento de acesso e contas pessoais dos colaboradores
Sistemas de gerenciamento de acesso são essenciais, e os privilégios de usuário e software devem ser reduzidos ao mínimo em termos de número de usuários e tipos de acesso concedidos.
Cada colaborador precisa de seu próprio login para cada aplicativo e programa que utiliza. Vários usuários que se conectam com as mesmas credenciais, podem colocar uma empresa em risco.
Ter logins individuais, para cada membro da equipe, ajudará a reduzir o número de frentes de ataque, pois desta maneira, os usuários farão seu login uma vez por dia, empregando somente o seu login pessoal.
7º Passo: Utilize senhas fortes
Empregar a mesma senha para qualquer sistema ou aplicativo pode ser muito perigoso, pois, uma vez que um hacker venha a descobrir a senha de um usuário, ele terá acesso aos sistemas e a qualquer aplicativo que aquele usuário utiliza.
Ter diferentes senhas configuradas e alteradas frequentemente, garante um alto nível de proteção contra ameaças externas e internas. É sabido que aproximadamente 63% de todas as violações de dados internos de uma organização são resultado de login e senhas comprometidos.
Ao escolher uma senha, lembre-se: quanto mais longa, mais forte ela é. Uma senha forte tem pelo menos 12 caracteres e é difícil de adivinhar, principalmente se contiver uma combinação de caracteres especiais e números.
Não anote ou compartilhe senhas com colegas – esta é uma forma prática de proteger os dados da empresa. As senhas a seguir são consideradas as mais comuns e fáceis de quebrar – então, se você tiver qualquer uma dessas ou variações semelhantes, considere seriamente alterá-las – rapidamente!
- 123456 (ou qualquer número ordenado cronologicamente)
- 987654321
- 123123
- QWERTY
- 111111
- Senha
Evite também senhas fáceis de serem descobertas, como a data de nascimento, apelidos, nome de um animal de estimação, placa do carro, número telefônico etc. Os golpistas normalmente buscam (e conseguem) quebrar as senhas das pessoas, utilizando este tipo de abordagem.
Conclusão: A segurança da informação faz parte da LGPD
Embora as ameaças à segurança cibernética continuem a crescer, também aumentam as ferramentas que as organizações têm à sua disposição para mitigar seu impacto ou impedir que aconteçam.
A integração das práticas recomendadas de segurança cibernética ajudará as organizações a aumentar sua capacidade de resposta e resiliência cibernética na era digital.
E, como visto, não há como se falar em adequação à LGPD e implementação de Programas de Governança em Privacidade sem a utilização de controles efetivos de segurança da informação e, notadamente, da conscientização contínua dos colaboradores e de todas as partes interessadas.
Deixe seu comentário
Atenção: Os comentários abaixo são de inteira responsabilidade de seus respectivos autores e não representam, necessariamente, a opinião da GEP