LGPD, Vulnerabilidades e Hackers: Como se Manter Seguro?
Por Wagner Monteverde, Especialista em Segurança da Informação e Privacidade com Certificação ISO/IEC 27001
Após uma longa jornada desde sua criação e aprovação no congresso (2018), a lei Geral de Proteção de Dados LGPD [1] passou a vigorar no dia 18 de Setembro de 2020. Esta, com certeza, trará uma mudança drástica na forma em que as organizações tratam a segurança dos dados em sua posse. Apesar das sanções previstas na Lei só serem passíveis de aplicação pela Agência Nacional de Proteção de Dados em 2021, as entidades como o Ministério Público e o Procon podem ser canais para que os titulares dos dados façam valer os direitos adquiridos na nova Lei.
E é por conta de todos os direitos adquiridos que as empresas e órgãos públicos deverão se organizar de forma a prover um cuidado criterioso com os dados pessoais em sua posse. A exemplo da Europa, onde a General Data Protection Regulation – GDPR [2] já vigora, o comportamento das empresas e dos Hackers foram alterados. Hackers agora invadem as empresas e exigem resgate para não divulgar o vazamento. Empresas e órgãos públicos se veem vítimas de uma nova forma e extorsão, através da ameaça dos Hackers embasada nas sanções impostas pela Lei.
Através do exemplo Europeu o que podemos esperar para o Brasil? E como manter os dados pessoais de nossas organizações seguros e longe dos Hackers? Neste sentido não existe uma resposta pronta, mas existem caminhos a seguir que possam minimizar os impactos e prevenir incidentes de Segurança. Um desses caminhos é implementar mecanismos e controles de Segurança da Informação e Segurança Cibernética que possam prevenir os incidentes. Responder aos incidentes é de suma importância. Mas, por que não preveni-los?
Nos últimos tempos houve uma crescente onda de ataques cibernéticos [3]. Essa onda de ataques está ligada a motivos específicos que, se observados e sanados, contribuem para melhorar consideravelmente a segurança de sua organização. Um desses motivos é o desconhecimento das próprias organizações sobre as vulnerabilidades de segurança existentes em sua infraestrutura e nas aplicações.
“Os atacantes continuam fazendo uso de vulnerabilidades conhecidas para explorar organizações. Muitos desses ataques são iniciados através de vulnerabilidades que foram relatadas cerca de nove meses antes do ataque ser detectado ou bloqueado” [4].
Segundo a consultoria Gartner até 2022, as instituições que utilizarem métodos de gerenciamento de vulnerabilidades reduzirão em 80% as chances de sofrerem um ataque cibernético [5]. Apesar deste ser um controle de Segurança da Informação óbvio, a descoberta e o gerenciamento de vulnerabilidades tomam muito tempo das organizações, isso quando as mesmas o fazem. Este problema tende a se agravar com a chegada da 5G e o aumento dos dispositivos IoT nas redes.
Desta forma gerenciar vulnerabilidades passa ser um desafio contínuo para as organizações. Assim, analisar os riscos provenientes das vulnerabilidades além de priorizar correções é primordial elevar o nível de proteção dos dados dos titulares de posse da organização.
Neste contexto observando os controles da ISO/IEC 27001 que estabelece um padrão para implementação do Sistema de Gestão de Segurança da Informação – (ISMS – Information Security Management System), podemos sintetizar suas práticas para melhorar a Segurança de nossas instituições através de cinco passos:
- Identificar as vulnerabilidades de sua instituição;
- Medir os riscos cibernéticos;
- Priorizar os investimentos e as correções dos problemas segundo o grau de risco;
- Monitorar seus ativos;
- Repetir os passos anteriores de forma contínua.
Executando estes passos as vulnerabilidades tendem a serem minimizadas, e, por consequência, os riscos das vulnerabilidades serem exploradas por atacantes também. Automatizar este processo pode ser de grande valia para as organizações. Hoje no mercado Brasileiro existem boas soluções para tal fim, cada uma com seu nível complexidade e para perfis de usuários distintos.
Referências
- http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
- https://gdpr-info.eu/
- https://www.kaspersky.com.br/about/press-releases/2020_home-office-motiva-aumento-de-mais-de-330-em-ataques-usando-sistemas-de-acesso-remoto-no-brasil.
- https://www.cylance.com/content/dam/cylance/pdfs/reports/CylanceThreatReport2017.pdf
- Gartner, “A Guide to Choosing a Vulnerability Management Solution,” Prateek Bhajanka, Mitchell Schneider, Craig Lawson, 3 April 2019
Sobre o autor
Wagner Monteverde é Especialista em Segurança da Informação e Privacidade com Certificação ISO/IEC 27001, Co-Fundador da Startup de Segurança da Informação EarlySec, Coordenador do Grupo de Trabalho GT-Periscope e Assistente de Inovação no Grupo de Trabalho GT-Arquimedes ambos fomentados pela Rede Nacional de Ensino e Pesquisa. Atua nas áreas de Segurança da Informação & Privacidade, Sistemas Distribuídos e Inteligência Artificial. É formado em Tecnologia em Desenvolvimento de Sistemas para Internet pela Universidade Tecnológica Federal do Paraná.
Como citar este artigo:
MONTEVERDE, W.; LGPD, Vulnerabilidades e Hackers: Como se Manter Seguro?. SBC Horizontes, Setembro. 2020. ISSN 2175-9235. Disponível em: http://horizontes.sbc.org.br/index.php/2020/09/lgpd-vulnerabilidades-e-hackers-como-se-manter-seguro/. Acesso em: DD mês. AAAA.