A TI moderna, especialmente as tecnologias em nuvem e móvel, melhorou significativamente o acesso dos usuários a serviços de qualquer lugar a qualquer hora. 

Hoje, os usuários não estão apenas usando um dispositivo; na verdade, eles geralmente mesclam uma variedade de dispositivos pessoais e profissionais para facilitar suas tarefas do dia a dia.

Essencialmente, a TI moderna foi projetada para criar eficiência de custo e conveniência em torno de comunicações e transações. A complicação é que esses benefícios não se limitam às organizações e seus usuários autorizados, mas se estendem aos hackers e criminosos cibernéticos

A infinidade e mistura de dispositivos, somados ao número crescente de aplicativos em nuvem, aumentou enormemente a superfície de ataque, aumentando a complexidade de proteger uma organização.

Enquanto as organizações tentam criar atritos para usuários não autorizados, adotando a melhor tecnologia do mercado e contratando profissionais qualificados de segurança da informação, o Governo Brasileiro anunciou a LGPD, Lei Geral de Proteção de Dados.

O que é a Lei Geral de Proteção de Dados?

A Lei Geral de Proteção de Dados é uma nova legislação que regula como as empresas tratam e armazenam dados pessoais, aqueles que podem identificar um usuário. A lei entra em vigor em agosto de 2020 e tem o objetivo de garantir a privacidade dos cidadãos brasileiros que navegam pela internet.

O escopo do LGPD aumenta substancialmente as obrigações das organizações que são processadoras de dados pessoais de cidadãos brasileiros. As multas por não conformidade são substanciais, o que impulsionará a proteção de dados e a segurança da informação como prioridade para a TI de toda organização.

Como a LGPD afeta sua abordagem de segurança?

A LGPD fornece um regime abrangente de proteção de dados, do qual a segurança da informação é uma grande parte. Questões de privacidade e proteção de dados têm implicações de longo alcance para muitos aspectos das operações comerciais e a LGPD exige mudanças significativas em muitas partes da organização. 

A nova regulação oferece a oportunidade única para iniciar um diálogo em sua organização sobre a cultura de segurança proativa, dando maior visibilidade às estratégias de proteção de dados.

Embora a segurança da informação não seja de forma alguma a única consideração da lei, ela é estritamente necessária. De fato, a LGPD solicita explicitamente “proteção adequada” para que a conformidade com o regulamento seja alcançada.

Os objetivos fundamentais da LGPD afirmam que os dados pessoais devem ser:

  • processados de forma legal, justa e transparente;
  • coletados e processados apenas para fins específicos, explícitos e legais;
  • mantidos no mínimo exigido para a finalidade;
  • devem ser armazenados de forma a permitir a identificação do titular dos dados por não mais do que o necessário para sua finalidade;
  • processados de maneira a garantir a segurança adequada dos dados pessoais.

Veja mais >> Conheça o Microsoft Compliance Score e saiba como ele pode te ajudar a garantir conformidade com a LGPD

O que é proteção adequada?

Novamente, a LGPD é explícita sobre os objetivos — os dados devem ser protegidos contra processamento não autorizado ou ilegal. Também devem ser protegidos contra perda, destruição ou dano acidental.

No entanto, em vez de oferecer uma lista de verificação de controles específicos, a LGPD difere de muitas outras estruturas de conformidade, pois exige que as organizações implementem o controle para garantir um nível de segurança apropriado ao risco. 

Isso implica adotar uma visão de segurança baseada em risco e seguir um programa e uma estrutura também baseados em risco. Embora essa seja uma abordagem que ganhou espaço nas organizações, para algumas pode ser necessária uma mudança drástica na maneira como lidam com a segurança.

Noções básicas sobre segurança baseada em risco

Segurança baseada em risco significa estabelecer prioridades e tomar decisões, avaliando a sensibilidade dos dados, a vulnerabilidade do sistema e a probabilidade de ameaças. No entanto, exige mais do que simplesmente levar em consideração o risco na implantação de soluções de segurança. 

É uma abordagem holística, construindo uma compreensão do risco em todas as decisões relacionadas à segurança. 

Por fim, uma postura madura de segurança da informação é construída em torno do entendimento de risco de uma organização no contexto das necessidades dos negócios. 

Essa abordagem de segurança baseada em risco deve ser usada para identificar objetivamente quais controles de segurança aplicar, onde devem ser aplicados e quando devem ser aplicados.

LGPD como uma oportunidade para viabilização de negócios

Existem vários requisitos adicionais na LGPD relativos ao gerenciamento de dados que requerem uma nova abordagem. Para manobrar em direção à conformidade com a lei, as organizações devem antecipar o uso de muitos recursos de negócios, tempo e atenção, tanto na função de segurança quanto em toda a organização.

No entanto, a LGPD é uma grande oportunidade para promover uma forte agenda de segurança, com base em uma abordagem pragmática, holística e baseada em riscos, que funciona no curto e no longo prazo para criar a capacitação de negócios e a conformidade regulatória.

Afinal, as ameaças à segurança afetam a percepção e o valor da marca da organização em todo o mundo. Elas afetam seu valor financeiro, seu capital digital, seus ativos e seus dados. Claramente, uma organização que lida com as consequências de uma grande violação não é aquela com a atenção totalmente focada em seus objetivos de negócios.

Como resultado, atender aos requisitos de segurança da LGPD de maneira abrangente não apenas garantirá que as organizações evitem penalidades e protejam a privacidade dos clientes e das partes interessadas, mas também ajudará a estabelecer uma vantagem competitiva valiosa e a criar confiança com seus clientes, usuários finais e outras partes interessadas.

O que uma estratégia de segurança da informação apropriada à LGPD inclui?

Há mais segurança do que apenas prevenção. De fato, uma forte postura de segurança reconhece que a prevenção não é possível 100% do tempo. Responder à LGPD ou a qualquer exigência regulatória semelhante simplesmente comprando mais tecnologia preventiva é um erro, porque não faz parte de uma estratégia maior.

Em vez disso, existem três componentes críticos para uma forte abordagem de segurança: proteção, detecção e resposta. Eles formam não apenas a espinha dorsal de um programa de segurança focado na LGPD, mas devem ser internalizados até estarem arraigados na memória muscular de uma organização, tornando-se o núcleo de suas operações de segurança.

Proteção eficaz

A proteção eficaz é baseada em controles de segurança pragmáticos, baseados em riscos, e básicos, envolvendo tecnologia, pessoas, processos e dados e outros ativos. 

Isso requer um entendimento de suas responsabilidades e do que você está protegendo, que vem de conhecer completamente seus dados e ativos críticos para os negócios e estar ciente de quem possui direitos de acesso a eles e quão seguras são suas práticas. 

A proteção eficaz combina a avaliação de possíveis ameaças por meio de inteligência avançada contra ameaças e uma abordagem baseada em riscos para proteger esses ativos e processos associados.

Detecção bem sucedida

A detecção bem-sucedida requer visibilidade aprimorada em toda a empresa, rede, terminais, dispositivos móveis, nuvem, software como serviço e muito mais. A LGPD exige a capacidade de detectar violações — se você não tem visibilidade, não pode monitorar e, consequentemente, não poderá detectar.

Isso requer recursos de monitoramento 24×7 que vão além de simplesmente sinalizar ameaças para a capacidade de acessar informações abrangentes sobre os atores de ameaças e seus produtos. É preciso possuir a capacidade de consultar e analisar dados de intrusão.

Isso permite acelerar e aprimorar sua resposta, identificando exatamente quais sistemas estão comprometidos, quais dados foram acessados, como isso aconteceu e como você pode repará-los e restaurá-los. 

Assim, você poderá julgar se uma violação relatável sob a LGPD ocorreu e quais dados ela afetou ou se você capturou a invasão a tempo de impedir que os dados no escopo fossem comprometidos. Quanto mais precisamente você puder detectar, mais eficiente será sua resposta.

Resposta oportuna a incidentes

A resposta oportuna a incidentes requer preparação acima de tudo:

  • conhecendo e documentando seus riscos organizacionais com antecedência, alocando funções;
  • incluindo a responsabilidade pela tomada de decisões;
  • entendendo os requisitos legais de relatórios (incluindo prazos e formatos);
  • planejando como mitigar o impacto nos negócios; e
  • estando pronto para informar as partes interessadas.

Todos esses aspectos precisam ser exaustivamente testados e os participantes treinados. A LGPD exige notificação ao regulador em tempo hábil após a descoberta da violação, o que significa que não há tempo disponível para descobrir que seus planos de resposta a incidentes não funcionam.

Obviamente, os relatórios são apenas a primeira resposta a incidentes. Você deve conter quaisquer violações, corrigir os sistemas comprometidos e examinar toda a falha de segurança para aprender com o incidente e impedir que isso aconteça novamente.

Todos esses aspectos devem ser sustentados por políticas e procedimentos abrangentes, cuidando para melhorar a governança e o envolvimento dos negócios, atribuindo responsabilidade e garantindo que os usuários entendam suas responsabilidades de segurança por meio de treinamento apropriado.

Quais ferramentas garantem a segurança em conformidade com a LGPD?

Muitas organizações implementaram medidas técnicas em torno da infraestrutura de proteção de dados, desde firewalls e filtros de spam, até soluções de prevenção de perda de dados (DLP) e sistemas de prevenção de intrusões (IPSs).

Ainda assim, ouvimos falar de violações de dados que afetam milhões de usuários. As violações continuam porque, à medida que a infraestrutura de segurança se padronizou, os atores de ameaças tornaram-se hábeis em atacar e evitar as defesas.

A presunção operacional deve ser que a infraestrutura de TI da sua organização esteja sob ataque contínuo e que já esteja comprometida de várias maneiras. Isso muda a conversa da prevenção de ameaças para a detecção e resposta de ameaças.

As organizações devem considerar soluções de tecnologia que forneçam visibilidade em toda a rede utilizando dados de logs, pacotes, terminais e inteligência contra ameaças para detectar e entender rapidamente todo o escopo de um compromisso, a fim de ajudar na resposta rápida e eficaz.

Ao usar soluções com análise comportamental e aprendizado de máquina, as organizações podem correlacionar indicadores e atribuir pontuações de risco que identificam anomalias que justificam a investigação. Diferentemente dos sistemas de prevenção tradicionais, isso ajudará sua organização a procurar as ameaças que invadiram sua organização com sucesso. 

Não detectadas, essas explorações podem causar estragos em sua infraestrutura e propriedade intelectual e podem levar a tipos de violações de dados passíveis de multa segundo a LGPD.

Outra consideração seria adotar uma solução que permita configuração para limitar a exposição de dados sensíveis à privacidade e conteúdo bruto (pacotes e logs) usando uma combinação de técnicas, incluindo:

  • Software antivírus: o trabalho do antivírus é detectar vírus no seu computador e removê-los. Também alerta sobre páginas da Web e softwares potencialmente inseguros;
  • Firewall: funciona como uma parede digital que mantém usuários e softwares maliciosos fora do seu computador. Ele utiliza um filtro, que avalia a segurança e a legitimidade de tudo o que deseja entrar no seu computador;
  • Single Sign-On (SSO): um serviço de autenticação centralizado, através do qual um login é usado para acessar uma plataforma inteira de contas e software;
  • Autenticação de dois fatores (2FA): processo de login que requer um nome de usuário ou número PIN e acesso a um dispositivo ou conta externa, como endereço de e-mail, número de telefone ou software de segurança;
  • Rede Privada Virtual (VPN): cria um “túnel”, através do qual seus dados trafegam ao entrar e sair de um servidor web. Esse túnel criptografa e protege seus dados para que não possam ser lidos (ou espionados) por hackers ou softwares mal-intencionados;
  • Criptografia: uma das tecnologias ou métodos de segurança de dados mais comumente aceitos. Essa tecnologia ocorre de duas formas principais: software ou hardware;
  • Backups: uma das maneiras mais fáceis e eficazes de evitar a perda de dados ou de arquivos importantes e cruciais é fazer um backup dos dados regularmente. Há muitas maneiras de fazer backup, e cabe a você definir quantas cópias de seus dados deseja manter.

Conclusão

A LGPD apresenta diferentes desafios para cada organização. É essencial compreender e agir sobre as implicações para sua própria organização. Isso significa adotar uma abordagem baseada em risco para garantir que você esteja fazendo o que precisa para gerenciar seus próprios riscos específicos às informações pessoais.

Trabalhar com um parceiro de segurança confiável nas partes do quebra-cabeça de segurança da informação e resposta a incidentes pode realmente ajudar a tornar esse desafio menos assustador e os prazos menos comprometedores de recursos.

Sem dúvidas, estar em conformidade com a LGPD traz muitos desafios. Para ficar a frente deles, assine nossa newsletter e receba todas as nossas dicas diretamente no seu e-mail!