Pandemia, megavazamento de dados e LGPD: o voo da cibersegurança

0

Temos presenciado com frequência escândalos envolvendo o vazamento de dados pessoais. Somente neste ano foram detectadas quatro atuações maliciosas de hackers com grandes proporções: o megavazamento de dados de 223 milhões de brasileiros, incluindo falecidos, a invasão a sistemas do Ministério da Saúde, o vazamento de dados de 103 milhões de contas de celulares e a falha no site do Detran-RS, que expôs 5,1 milhões de motoristas.

Nestes tipos de crimes cibernéticos, as informações comprometidas incluíram nome, CPF, RG, CNH, título de eleitor, e-mail, telefone, endereço, ocupação, pontuação de crédito, escolaridade, estado civil, emprego, salário, renda, poder aquisitivo, foto de rosto, classe social, vínculo universitário, entre outras. Além do volume, a natureza sensível dos dados traz riscos a diferentes tipos de golpes envolvendo a identidade, como saque a contas bancárias, sequestro e fraude de cartão de crédito, contratação de serviços, compras em nomes de outras pessoas, entre várias outras possibilidades de uso indevido de dados.

Mas, a magnitude desses incidentes chama atenção não só pelo volume e caráter das informações vazadas, como também pela conjuntura na qual eles ocorreram. Desde o ano passado, o Brasil passou a contar com a Lei Geral de Proteção de Dados (LGPD) e com um órgão federal responsável por fiscalizar seu cumprimento, a Autoridade Nacional de Proteção de Dados (ANPD), que passará a aplicar multas de até 50 milhões entre outras penalidades a partir de agosto deste ano.

Entretanto, embora haja essas iniciativas, o desenvolvimento da política nacional de proteção de dados vem sendo construída gradualmente e esses incidentes servem como testes – ou megatestes – para as autoridades investigarem as origens efetivas das violações e punirem os responsáveis.

Do ponto de vista das organizações, há medidas viáveis de segurança para se adequar à LGPD e, assim, evitar os ciberataques. Em primeiro lugar, é preciso uma mudança cultural em relação aos riscos. Muitas organizações pensam em segurança para os seus ativos, mas poucas se atentam para os riscos ligados a dados de outros, principalmente pessoas físicas, clientes e funcionários. Acontece que a informação dos outros é emprestada, não doada. Sendo assim, exige-se um nível de cuidado muito maior para que esses dados não sejam expostos de uma forma à qual não foi autorizada, tendo a empresa a total responsabilidade atribuída.

Adicionalmente, é recomendável a adoção de programas de SGSI (Sistemas de Gestão de Segurança da Informação) utilizando-se de padrões ISO / IEC 27000, ITIL (capítulo de SI) e COBIT5 para SI que direcionam boas práticas de mercado, além de individualizar as necessidades de acordo com a empresa, pois cada negócio tem suas características e necessita de diagnóstico e ações próprios. Segundo a pesquisa Global Digital Trust Insights, elaborada pela consultoria PwC, 57% dos executivos de TI e segurança brasileiros planejam aumentar seus orçamentos de segurança cibernética, sendo que 60% pretendem formar equipes cibernéticas para trabalho em tempo integral em 2021.

Esse assunto virou prioridade na agenda dos CIOs em decorrência do avanço tecnológico deflagrado pela pandemia, no qual houve o crescimento da digitalização e, consequentemente, o aumento no fluxo de dados que transitam na rede, ou seja, as empresas e pessoas nunca estiveram tão vulneráveis. Somado a isso, a entrada em vigor da LGPD e os recentes vazamentos indevidos de informações tornou a cibersegurança uma preocupação latente.

Diante deste cenário, há uma série de fatores de riscos que um programa de SGSI e de cibersegurança devem controlar: engenharia social, spyware, ransomware, injeção de SQL, phishing, ataques "man-in-the-middle, entre outros  e, para cada um deles, há recomendações e boas práticas que devem ser aplicadas, tais como a utilização de regras de firewall, criptografias, anonimização, utilização de certificados de segurança, exposição ou quebra de bancos, redes e conexões privadas e tokens de segurança, entre outras medidas.

O importante é que haja um diagnóstico de cibersegurança voltado à LGPD e a outros riscos do negócio com a avaliação técnica do ambiente, pois somente assim é possível identificar as vulnerabilidades de cada empresa e, ou, aplicação, avaliar os riscos relacionados aos dados pessoais e tratá-los da maneira adequada.

Paulo França, gerente de Digital Consulting and Innovation da Engineering.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.