Pandemia, megavazamento de dados e LGPD: o voo da cibersegurança

Temos presenciado com frequência escândalos envolvendo o vazamento de dados pessoais. Somente neste ano foram detectadas quatro atuações maliciosas de hackers com grandes proporções: o megavazamento de dados de 223 milhões de brasileiros, incluindo falecidos, a invasão a sistemas do Ministério da Saúde, o vazamento de dados de 103 milhões de contas de celulares e a falha no site do Detran-RS, que expôs 5,1 milhões de motoristas.

Nestes tipos de crimes cibernéticos, as informações comprometidas incluíram nome, CPF, RG, CNH, título de eleitor, e-mail, telefone, endereço, ocupação, pontuação de crédito, escolaridade, estado civil, emprego, salário, renda, poder aquisitivo, foto de rosto, classe social, vínculo universitário, entre outras. Além do volume, a natureza sensível dos dados traz riscos a diferentes tipos de golpes envolvendo a identidade, como saque a contas bancárias, sequestro e fraude de cartão de crédito, contratação de serviços, compras em nomes de outras pessoas, entre várias outras possibilidades de uso indevido de dados.

Mas, a magnitude desses incidentes chama atenção não só pelo volume e caráter das informações vazadas, como também pela conjuntura na qual eles ocorreram. Desde o ano passado, o Brasil passou a contar com a Lei Geral de Proteção de Dados (LGPD) e com um órgão federal responsável por fiscalizar seu cumprimento, a Autoridade Nacional de Proteção de Dados (ANPD), que passará a aplicar multas de até 50 milhões entre outras penalidades a partir de agosto deste ano.

Entretanto, embora haja essas iniciativas, o desenvolvimento da política nacional de proteção de dados vem sendo construída gradualmente e esses incidentes servem como testes - ou megatestes - para as autoridades investigarem as origens efetivas das violações e punirem os responsáveis.

Do ponto de vista das organizações, há medidas viáveis de segurança para se adequar à LGPD e, assim, evitar os ciberataques. Em primeiro lugar, é preciso uma mudança cultural em relação aos riscos. Muitas organizações pensam em segurança para os seus ativos, mas poucas se atentam para os riscos ligados a dados de outros, principalmente pessoas físicas, clientes e funcionários. Acontece que a informação dos outros é emprestada, não doada. Sendo assim, exige-se um nível de cuidado muito maior para que esses dados não sejam expostos de uma forma à qual não foi autorizada, tendo a empresa a total responsabilidade atribuída.

Adicionalmente, é recomendável a adoção de programas de SGSI (Sistemas de Gestão de Segurança da Informação) utilizando-se de padrões ISO / IEC 27000, ITIL (capítulo de SI) e COBIT5 para SI que direcionam boas práticas de mercado, além de individualizar as necessidades de acordo com a empresa, pois cada negócio tem suas características e necessita de diagnóstico e ações próprios. Segundo a pesquisa Global Digital Trust Insights, elaborada pela consultoria PwC, 57% dos executivos de TI e segurança brasileiros planejam aumentar seus orçamentos de segurança cibernética, sendo que 60% pretendem formar equipes cibernéticas para trabalho em tempo integral em 2021.

Esse assunto virou prioridade na agenda dos CIOs em decorrência do avanço tecnológico deflagrado pela pandemia, no qual houve o crescimento da digitalização e, consequentemente, o aumento no fluxo de dados que transitam na rede, ou seja, as empresas e pessoas nunca estiveram tão vulneráveis. Somado a isso, a entrada em vigor da LGPD e os recentes vazamentos indevidos de informações tornou a cibersegurança uma preocupação latente.

Diante deste cenário, há uma série de fatores de riscos que um programa de SGSI e de cibersegurança devem controlar: engenharia social, spyware, ransomware, injeção de SQL, phishing, ataques "man-in-the-middle, entre outros e, para cada um deles, há recomendações e boas práticas que devem ser aplicadas, tais como a utilização de regras de firewall, criptografias, anonimização, utilização de certificados de segurança, exposição ou quebra de bancos, redes e conexões privadas e tokens de segurança, entre outras. medidas.

O importante é que haja um diagnóstico de cibersegurança voltado à LGPD e a outros riscos do negócio com a avaliação técnica do ambiente, pois somente assim é possível identificar as vulnerabilidades de cada empresa e, ou, aplicação, avaliar os riscos relacionados aos dados pessoais e tratá-los da maneira adequada.

*Paulo França é gerente de Digital Consulting and Innovation da Engineering, companhia global de Tecnologia da Informação e consultoria especializada em Transformação Digital.

Sobre a Engineering

Companhia global de Tecnologia da Informação e consultoria especializada em Transformação Digital com mais de 40 anos de atuação. Com presença na Europa, América do Norte e América Latina, contribui para a modernização do mundo, combinando tecnologias de última geração, infraestruturas tecnológicas organizadas em um único multicloud para ampliar e interpretar novos modelos de negócios. Os projetos desenvolvidos pela empresa transformam-se numa melhor relação entre custo, agilidade e inovação para os clientes. Com mais de 12 mil profissionais e projetos em mais de mil clientes de grande porte nos mais diversos segmentos de mercados, a experiência do Grupo aprimora-se ainda mais pelo investimento contínuo em Pesquisa e Desenvolvimento, contando com mais de 250 pesquisadores, além de parcerias com os principais centros de pesquisa e universidades do mundo.

Ícone Descrição gerada automaticamenteUma imagem contendo roda Descrição gerada automaticamente Ícone Descrição gerada automaticamente Desenho de um círculo Descrição gerada automaticamente com confiança média Ícone Descrição gerada automaticamente Ícone Descrição gerada automaticamente