LGPD e a segurança da informação podem auxiliar na prevenção contra ataques de hackers
29 de dezembro de 2020Com o advento da Lei Geral de Proteção de Dados Pessoais (LGPD) – Lei nº 13.709/2018, os temas privacidade e proteção de dados pessoais têm causado muito interesse
Por Mariana Sbaite Gonçalves
Criar uma estrutura de adequação, implementar medidas, controles de segurança e conscientizar as pessoas são os maiores desafios na atualidade para quem lida com os processos de conformidade.
Em convergência com a promoção da segurança necessária aos sistemas e bancos de dados pelos agentes de tratamento de dados pessoais temos visto, por outro lado, diversos ataques promovidos por hackers, os quais têm aumentado diariamente.
Diante disto, a grande preocupação tem sido: como evitá-los? Aqui, se reforça a importância da governança e da segurança da informação, previstos nos artigos 46 a 50 da LGPD, principalmente no que se refere à prevenção contra hackers.
É importante notar que, hackers atacam de diversas maneiras, sempre inovando, o que além de dificultar a prevenção, acaba por tornar a luta desigual.
Fato é, que não há como garantir a segurança total de um ambiente virtual, no entanto, é salutar avaliar fluxos e processos, aplicar medidas de segurança, treinar e orientar os usuários de modo a evitar oportunidades de acesso a bancos de dados e sistemas por meio de hackers, evitando-se danos patrimoniais e de imagem das empresas.
Com base no tema em tela e a título de conhecimento, seguem alguns conceitos importantes:
Hacking – é a aplicação de tecnologia ou o conhecimento técnico para suplantar algum tipo de problema ou obstáculo.
Malware – um código malicioso, programa malicioso, software nocivo/mal-intencionado, é um programa de computador destinado a infiltrar-se em um sistema de computador alheio de forma ilícita, com o intuito de causar alguns danos, alterações ou roubo de informações.
Ransomware – é um tipo de software nocivo que restringe o acesso ao sistema infectado com uma espécie de bloqueio e cobra um resgate em criptomoedas para que o acesso possa ser restabelecido.
Phishing – é a tentativa fraudulenta de obter informações confidenciais como nomes de usuário, senhas e detalhes de cartão de crédito, por meio de disfarce de entidade confiável em uma comunicação eletrônica.
Vírus: programa ou código que se alastra pelos computadores, podendo inutilizar e destruir sistemas inteiros – inclusive assumindo o controle do equipamento e executando ações por conta própria.
Trojan: espécie de malware que funciona tal como um cavalo de Troia, escondendo ameaças por trás de algo útil ou divertido.
Rootkit: fornece acesso administrativo a hackers, o que permite aos criminosos controlar livremente o computador.
Worm: vírus que se autorreplica e espalha-se pela rede, consumindo muita memória e trava o sistema.
Diante do exposto, seguem algumas dicas a fim de evitar os ataques de hackers: conscientizar e treinar usuários, utilizar softwares originais, evitar abrir e-mails e sites desconhecidos, atualizar softwares, utilizar senhas fortes (misturar letras, números, símbolos, por exemplo), utilizar antivírus e firewalls, utilizar criptografia, ter rotina de backups, utilizar proteção de dois fatores (dupla autenticação), revisar configurações de privacidade, instalar somente aplicativos confiáveis, dentre diversas outras.
Ter rotinas de segurança da informação, facilita o acompanhamento e a prevenir possíveis ataques de hackers. Combinar múltiplos controles técnicos, em diferentes camadas lógicas, possibilita a entrega de níveis de proteção apropriados, mantendo a confidencialidade, integridade e disponibilidade das informações. LGPD
Analisar vulnerabilidades é primordial quando se fala em prevenção. O intuito é definir, identificar, classificar e priorizar vulnerabilidades em sistemas, aplicativos e infraestruturas de rede, bem como fornecer à organização a avaliação com o conhecimento necessário, conscientização e histórico de risco para entender as ameaças ao seu ambiente e reagir apropriadamente.
A utilização de computação em nuvem e mobilidade, por exemplo, estende o perímetro de proteção lógica da organização. A criação de políticas, como por exemplo, de segurança da informação e de controle de acessos são essenciais para o sucesso da estrutura de segurança.
Utilizar uma solução de DLP (Prevenção contra Vazamento de Informação) também é uma sugestão, já que ela identifica e monitora dados corporativos para garantir que eles sejam acessados somente por usuários autorizados, bem como prevenir tentativas de vazamento das informações.
Ainda que não seja uma tarefa fácil manter a segurança das informações na prática, realizar testes de intrusão (pentests) é uma das melhores maneiras de se defender.
O teste de intrusão, também traduzido como “teste de penetração”, é um método que avalia a segurança de um sistema de computador ou de uma rede, simulando um ataque de uma fonte maliciosa. Outra sugestão interessante é utilizar honeypot, queé uma ferramenta que tem a função de, propositalmente, simular falhas de segurança de um sistema e colher informações sobre o invasor.
É uma espécie de armadilha para invasores (detalhe: é um teste e não uma ferramenta de proteção).
No que se refere à privacidade e proteção de dados pessoais, é importante pensar em dois momentos: manutenção e atualização.
A Manutenção consiste na verificação e conferência dos fluxos e os processos criados em conformidade com a LGPD bem como para se observar: a) se os planos de ação apresentados estão sendo executados; b) se as instruções passadas pelo Encarregados pelo Tratamento de Dados Pessoais (DPO) estão sendo cumpridas; e c) se as auditorias realizadas (internas ou externas) constataram conformidade com a LGPD.
A Atualização, por sua vez, se concretiza por meio da modificação de fluxos e processos internos que envolvam dados pessoais em conjunto com a verificação sobre nova legislação referente à privacidade e proteção de dados pessoais, reciclagem de treinamentos internos e externos, revisão de políticas, planos, contratos e procedimentos, bem como atualização de softwares e ferramentas de gerenciamento de privacidade e de segurança da informação.
Importante salientar que, ainda que sejam vítimas de hackers, caso as organizações não ofereçam os níveis de segurança e governança adequados, elas poder ser penalizadas com base no que dispõe a LGPD.
Diante do não cumprimento do que é estipulado pela lei, podem ocorrer algumas sanções administrativas, tais como: advertência, multa simples, de até 2% do faturamento da pessoa jurídica, limitados até R$ 50.000.000,00 (cinquenta milhões de reais) por infração, multa diária, publicidade da infração (quando devidamente apurada e confirmada); bloqueio dos dados pessoais e eliminação dos dados, dentre outros, todas elencadas no art. 52 da LGPD.
Sem contar com os danos reputacionais e possíveis ações judiciais por parte dos titulares dos dados pessoais.
Desta forma, apesar de não haver garantia de 100% de segurança, a utilização de ferramentas, realização de treinamentos e aplicação de controles de segurança nos moldes da LGPD e das normas certificadoras de segurança ainda são o melhor caminho para evitar ataques de hackers.
Estruturação e governança são essenciais para a reorganização da empresa nos moldes da LGPD, para manter relação de confiança com os clientes, para evitar futuras sanções, administrativas e judiciais, bem como prejuízos financeiros de qualquer ordem.
Saiba como a Lei Geral de Proteção de Dados Pessoais pode afetar o mundo dos games