Pandemia, megavazamento de dados e LGPD: o voo da cibersegurança

Temos presenciado com frequência escândalos envolvendo o vazamento de dados pessoais. Somente neste ano foram detectadas quatro atuações maliciosas de hackers com grandes proporções: o megavazamento de dados de 223 milhões de brasileiros, incluindo falecidos, a invasão a sistemas do Ministério da Saúde, o vazamento de dados de 103 milhões de contas de celulares e a falha no site do Detran-RS, que expôs 5,1 milhões de motoristas.

Nestes tipos de crimes cibernéticos, as informações comprometidas incluíram nome, CPF, RG, CNH, título de eleitor, e-mail, telefone, endereço, ocupação, pontuação de crédito, escolaridade, estado civil, emprego, salário, renda, poder aquisitivo, foto de rosto, classe social, vínculo universitário, entre outras. Além do volume, a natureza sensível dos dados traz riscos a diferentes tipos de golpes envolvendo a identidade, como saque a contas bancárias, sequestro e fraude de cartão de crédito, contratação de serviços, compras em nomes de outras pessoas, entre várias outras possibilidades de uso indevido de dados.

Mas, a magnitude desses incidentes chama atenção não só pelo volume e caráter das informações vazadas, como também pela conjuntura na qual eles ocorreram. Desde o ano passado, o Brasil passou a contar com a Lei Geral de Proteção de Dados (LGPD) e com um órgão federal responsável por fiscalizar seu cumprimento, a Autoridade Nacional de Proteção de Dados (ANPD), que passará a aplicar multas de até 50 milhões entre outras penalidades a partir de agosto deste ano.

Entretanto, embora haja essas iniciativas, o desenvolvimento da política nacional de proteção de dados vem sendo construída gradualmente e esses incidentes servem como testes - ou megatestes - para as autoridades investigarem as origens efetivas das violações e punirem os responsáveis.

Do ponto de vista das organizações, há medidas viáveis de segurança para se adequar à LGPD e, assim, evitar os ciberataques. Em primeiro lugar, é preciso uma mudança cultural em relação aos riscos. Muitas organizações pensam em segurança para os seus ativos, mas poucas se atentam para os riscos ligados a dados de outros, principalmente pessoas físicas, clientes e funcionários. Acontece que a informação dos outros é emprestada, não doada. Sendo assim, exige-se um nível de cuidado muito maior para que esses dados não sejam expostos de uma forma à qual não foi autorizada, tendo a empresa a total responsabilidade atribuída.

Adicionalmente, é recomendável a adoção de programas de SGSI (Sistemas de Gestão de Segurança da Informação) utilizando-se de padrões ISO / IEC 27000, ITIL (capítulo de SI) e COBIT5 para SI que direcionam boas práticas de mercado, além de individualizar as necessidades de acordo com a empresa, pois cada negócio tem suas características e necessita de diagnóstico e ações próprios. Segundo a pesquisa Global Digital Trust Insights, elaborada pela consultoria PwC, 57% dos executivos de TI e segurança brasileiros planejam aumentar seus orçamentos de segurança cibernética, sendo que 60% pretendem formar equipes cibernéticas para trabalho em tempo integral em 2021.

Esse assunto virou prioridade na agenda dos CIOs em decorrência do avanço tecnológico deflagrado pela pandemia, no qual houve o crescimento da digitalização e, consequentemente, o aumento no fluxo de dados que transitam na rede, ou seja, as empresas e pessoas nunca estiveram tão vulneráveis. Somado a isso, a entrada em vigor da LGPD e os recentes vazamentos indevidos de informações tornou a cibersegurança uma preocupação latente.

Diante deste cenário, há uma série de fatores de riscos que um programa de SGSI e de cibersegurança devem controlar: engenharia social, spyware, ransomware, injeção de SQL, phishing, ataques "man-in-the-middle, entre outros e, para cada um deles, há recomendações e boas práticas que devem ser aplicadas, tais como a utilização de regras de firewall, criptografias, anonimização, utilização de certificados de segurança, exposição ou quebra de bancos, redes e conexões privadas e tokens de segurança, entre outras. medidas.

O importante é que haja um diagnóstico de cibersegurança voltado à LGPD e a outros riscos do negócio com a avaliação técnica do ambiente, pois somente assim é possível identificar as vulnerabilidades de cada empresa e, ou, aplicação, avaliar os riscos relacionados aos dados pessoais e tratá-los da maneira adequada.

*Paulo França é gerente de Digital Consulting and Innovation da Engineering, companhia global de Tecnologia da Informação e consultoria especializada em Transformação Digital.

Sobre a Engineering

Companhia global de Tecnologia da Informação e consultoria especializada em Transformação Digital com mais de 40 anos de atuação. Com presença na Europa, América do Norte e América Latina, contribui para a modernização do mundo, combinando tecnologias de última geração, infraestruturas tecnológicas organizadas em um único multicloud para ampliar e interpretar novos modelos de negócios. Os projetos desenvolvidos pela empresa transformam-se numa melhor relação entre custo, agilidade e inovação para os clientes. Com mais de 11 mil profissionais e projetos em mais de mil clientes de grande porte nos mais diversos segmentos de mercados, a experiência do Grupo aprimora-se ainda mais pelo investimento contínuo em Pesquisa e Desenvolvimento, contando com mais de 250 pesquisadores, além de parcerias com os principais centros de pesquisa e universidades do mundo.

- Facebook
- Twitter
- Instagram
- Linkedin
- YouTube
- Telegram