Os 4 passos necessários para adequação da sua empresa às boas práticas de segurança da informação

Os dados são moeda de troca no ambiente digital, mas infelizmente nem sempre estão seguros – visto os casos recentes de vazamentos de informações pessoais. Essas falhas na proteção geram insegurança, por isso, a governança digital e a proteção dos dados se tornam cada vez mais importantes:

• A Amazon divulgou (06/10/2021) que a plataforma de live streaming de games Twitch sofreu um vazamento de dados por conta de um erro de configuração. Um hacker anônimo anunciou ter colocado a mão em 125GB de dados. Entre os dados expostos estão: código-fonte do Twitch, relatórios de pagamento de 2019, clientes Twitch para dispositivos móveis, equipamentos de computador e console de jogos, AWS SDKs e serviços internos, dados de novos projetos e ferramentas de segurança interna, entre outros. O Twitch tem média de 30 milhões de visitantes diários e atrai músicos e gamers.

• A plataforma integradora de vendas HariExpres e parceira de grandes varejistas brasileiras, como os Correios, Mercado Livre, B2W Digital, Amazon, Shopee, Magalu, tinyERP. Bling! e Nuvemshop, expôs mais de 1,75 bilhão de dados confidenciais (o equivalente a 610 gigabytes de informações). Entre os dados vazados dos comerciantes, estão nome, e-mail, endereços comerciais e o CNPJ.

• Um site brasileiro expôs cerca de 426 milhões de dados pessoais, como CPF, nome, endereço, gênero, data de nascimento, e-mail e até a renda de pessoas físicas. Outros 109 milhões de dados incluem informações de veículos, como número de chassi, Renavam, modelo e placas de veículo de usuários, segundo a empresa de segurança digital PSafe.

Segundo um levantamento feito através da plataforma Toluna com 1.000 brasileiros questionando sobre a segurança dos dados online, cerca de 48% dos entrevistados afirmaram que não comprariam em uma empresa vítima de ataques cibernéticos. Com isso, a implementação de medidas de segurança para demonstrar capacidade na proteção e privacidade dos dados de seus clientes e consumidores são extremamente necessárias para a continuidade do negócio e caso não ocorra, essas empresas podem ser vistas como não confiáveis ou até mesmo sofrer algum tipo de ataque tendo como consequência:

• Reporte de incidentes que podem levar a perda de confiança na marca e danos a reputação;

• Revisão de todos os processos de governança e a implementação de medidas de segurança.

• Perdas financeiras com multas que podem chegar a 2% do faturamento limitados a 50MM;

• Prejuízo causado pela interrupção dos serviços e a recuperação dos dados,

Em resposta ao constante aumento de ciberataques que vêm sendo reportados, ocorreu o desenvolvimento de regulamentações a fim de estabelecer a proteção dos dados dos clientes e consumidores.

No Brasil, a LGPD (Lei Geral de Proteção de Dados n. 13.709/2018) é a legislação inspirada no Regulamento Geral de Proteção de Dados da União Europeia e que tem como objetivo determinar regras e diretrizes para o tratamento dos dados pessoais do titular como a coleta, armazenamento, compartilhamento e eliminação.

Segundo a proposta da PEC 17/2019 que torna a proteção de dados pessoais um direito fundamental e em processo de votação para aprovação pelo Senado, também caberá à União organizar e fiscalizar a proteção e o tratamento de dados pessoais conforme os termos estabelecidos pela lei.

Mas por que exatamente a Privacidade de Dados é importante?

A grande maioria das empresas possui elevado volume de tramitação de dados e armazenamento de informações de colaboradores, clientes e terceiros.

Qualquer processo de coleta de dados pessoais não autorizado, tratamento indevido de informações ou implementação de medidas não eficientes podem trazer consequências negativas ao titular dos dados, como possíveis fraudes e o roubo de identidade, podendo afetar diretamente os direitos e a liberdade de um indivíduo.

É necessário que o assunto privacidade seja priorizado pelas organizações para investimento nas melhores práticas de mercado. Para a avaliação das necessidades, gaps e riscos associados ao negócio, definição de uma estratégia de segurança E2E que garanta um nível aceitável de risco e a implementação dos controles necessários para garantir o cumprimento das obrigações regulatórias e de negócio, é importante seguir esses 4 passos:

• Defina uma estratégia de segurança avaliando de forma recorrente a privacidade e proteção dos dados tramitados na organização para identificação dos possíveis riscos, gaps e necessidades no ambiente. As ameaças evoluem constantemente e as medidas avaliadas no passado podem não ser efetivas contra as principais ameaças atuais do mercado.

• Estabeleça um modelo de arquitetura de segurança para implementação dos controles necessários e o cumprimento dos objetivos da organização. Diante do crescente número de crimes virtuais, é importante a definição da arquitetura baseada em segurança para implementar o conjunto de medidas necessárias contra vulnerabilidades a dados pessoais.

• Execute a gestão da infraestrutura de segurança para estabelecer o controle e o acompanhamento E2E de um ambiente seguro, permitindo a detecção de possíveis ataques cibernéticos. Toda infraestrutura de segurança deve estar dentro de um ambiente seguro e confiável, o que vale para todos os segmentos de empresas e tipos de negócios, sejam esses físicos ou virtuais. 

• Conte com o apoio de uma equipe de resposta especializada para se preparar para controlar os incidentes cibernéticos na ocorrência de um ataque ou vazamento de dados pessoais, estabelecendo dessa forma uma estrutura completa de segurança cibernética.

Confira algumas dicas que podem ser seguidas para proteger a sua privacidade na internet:

• Atente-se ao recebimento de mensagens que solicitam informações sigilosas. Se caso suspeitar da autenticidade da mensagem ou do remetente, encaminhe à empresa responsável para validar a sua autenticidade. Não preencha formulários ou realize download de arquivos com fontes desconhecidas.
• Evite a utilização de equipamentos e redes públicas para acessar informações que contenham dados pessoais sensíveis, como logins, senhas, dados de cartões de crédito, entre outros. Essas máquinas podem não ter medidas eficientes de segurança implementadas e reter informações importantes, como senhas de acesso.
• A plataforma “Have I Been Pwned?” pode ajudar no mapeamento de vulnerabilidades em redes sociais e verificar se as suas informações foram vazadas através do endereço haveibeenpwned.com. É só digitar os endereços de e-mail utilizados para entrar na rede social e você será comunicado se esses endereços estão entre os vulneráveis.

Sobre o autor: Gutiel Farias atua no aprimoramento e desenvolvimento de soluções estratégicas de segurança cibernética, com experiência em projetos de consultoria relacionados a Privacidade e Proteção de dados e a LGPD (Lei Geral de Proteção de Dados).