Roadmap de segurança: o que é e como criar o ideal para sua empresa?

A cada dia surgem novas ameaças à segurança das informações e soluções para proteger as empresas contra tais ameaças.

Neste contexto, possuir todas as tecnologias de proteção disponíveis no mercado, e consequentemente se proteger contra todas as ameaças existentes, é impensável, e para isso existe o roadmap de segurança. Com ele, uma empresa consegue planejar minimamente os investimentos em segurança, deixando claro os riscos existentes ao longo do caminho.

Para entender melhor como esta ferramenta funciona, confira os tópicos a seguir.

O que é um roadmap?

A tradução literal de roadmap é “mapa rodoviário”. E por mais estranha que seja a analogia, faz todo sentido, pois este documento direciona todos os pontos de uma transição. Ou seja, a ferramenta ajuda sua empresa a entender o caminho e os prazos para sair do status atual para o status desejado. Sendo assim, o programa (conjunto de projetos) necessário para atingir os objetivos da empresa.

Com tantas necessidades latentes, o roadmap atua como uma bússola, mantendo todo o trabalho focado na estratégia de segurança desenvolvida. Entretanto, é importante dizer que roadmaps são diferentes de planos de negócios, já que precisam ser simples para facilitar a visualização e comunicação para todos os envolvidos.

A ideia é oferecer clareza para que todos saibam como o programa caminhará e quais são seus possíveis pontos de correção.

Como criar um roadmap de segurança

Antes de mais nada, uma questão fundamental na criação de um roadmap é a definição de marcos. Sendo assim, eles são as conquistas alcançadas ao longo do caminho, sinalizando o progresso do programa.

Portanto, os marcos são definidos por datas específicas e tratam cada realização como uma meta de desempenho que foi cumprida. Isso demonstra que o projeto está em pleno desenvolvimento e evolução.

Independentemente do foco, a criação de um roadmap precisa levar em consideração diversos fatores. No caso do roadmap de segurança, devemos considerar, entre outros, o objetivo da empresa (apetite ao risco), a análise dos riscos existentes e dos recursos disponíveis (financeiros e humanos). Descreveremos um pouco melhor estes tópicos abaixo.

Objetivo da empresa

Quando se trata de segurança da informação, presumindo que não será possível a obtenção de um ambiente totalmente seguro (por questões financeiras e logísticas), é fundamental definir o apetite de risco da empresa.

Para isso, normalmente se utiliza uma norma ou framework de mercado (como a ISO 27.001 ou o NIST CSF, por exemplo), pautado por um modelo de maturidade (que pode ser disponibilizado pelo próprio framework ou por um framework terceiro, como o COBiT).

Com base nos modelos escolhidos, a empresa deve definir seu nível de maturidade desejado, admitindo que os riscos não cobertos por tal nível serão aceitos. Cabe ressaltar, entretanto, que nesta etapa os objetivos devem ser estabelecidos a curto, médio e longo prazo, uma vez que o caminho de adequação tende a ser longo.

Análise dos riscos existentes

Uma vez identificado onde a empresa pretende chegar, é o momento de identificar onde ela se encontra atualmente. Para tal, deve ser realizado um assessment (avaliação de conformidade), utilizando a mesma norma ou framework, e seu respectivo modelo de maturidade, adotados para a definição de seus objetivos.

Neste momento teremos o nível atual e o nível desejado de maturidade, o que possibilitará o estabelecimento do roadmap, ou seja, conjunto de projetos de adequação necessários para alcançar os objetivos da empresa.

Um ponto fundamental quanto a este item é que um assessment deve ser realizado de forma recorrente, minimamente uma vez por ano, garantindo assim o acompanhamento da evolução e a realização dos ajustes que eventualmente sejam necessários.

Análise dos recursos disponíveis

O tempo necessário para o atingimento destes objetivos naturalmente depende dos recursos, financeiro e humanos, disponíveis para tal, sendo grandezas inversamente proporcionais. Por exemplo, uma empresa que possui o dobro de recursos que a outra, e que esteja no mesmo nível de maturidade e possua o mesmo objetivo, tende a alcançar seu objetivo na metade do tempo.

Por isso, o estabelecimento de um roadmap depende de uma análise detalhada dos recursos disponíveis. Sem isso, o roadmap não seria mais que um desejo empírico, o que tende a levar os envolvidos à frustração.

Como a Future pode ajudar no desenvolvimento de seu roadmap de segurança?

A Future há mais de 20 anos ajuda seus clientes na elaboração de seus roadmaps de segurança. Para tal, temos um processo completo, que contempla desde a realização de um assessment no ambiente do cliente, até a entrega do programa recomendado para a adequação.

Através de uma abordagem agnóstica, utilizamos as principais normas e frameworks de mercado para analisar a real situação do cliente, tratando cada cliente de forma distinta e individual. Assim, com base nos investimentos já realizados, em sua exposição ao risco, em seus objetivos e nos recursos disponíveis, sugerimos o conjunto de soluções (serviços e produtos) que melhor enderece suas necessidades.

Fale com um dos nossos consultores agora mesmo e saiba como implementar um bom roadmap em sua empresa!

 

Por que contratar Segurança como Serviço (SECaaS)?

Com o avanço da tecnologia dentro das empresas, a importância da adoção de medidas contra ameaças relacionadas às informações também aumentou, exigindo soluções de segurança cada vez mais avançadas e trazendo consigo o desafio de gerir todas estas novas tecnologias.

Nesse cenário, como forma de combater os ataques cibernéticos cada vez mais sofisticados, as empresas começaram a investir em recursos mais avançados e passaram a migrar dos modelos de segurança tradicional para a contratação da segurança como serviço (SECaaS).

Nesse artigo, iremos falar sobre os principais motivos para contratar a Segurança como Serviço.  Acompanhe!

O que é a Segurança como Serviço?

O conceito de SECaaS define que as atividades operacionais de segurança passem a ser realizadas por uma empresa especializada no tema.

Muito similar ao Software as a Service, a SECaaS oferece serviços de segurança por assinatura, incluindo produtos e serviços empacotados como uma solução completa, cabendo ao cliente o acompanhamento dos resultados e do atendimento aos níveis de serviço acordados (SLA).

A SECaaS é cada vez mais comum nas empresas que buscam uma maneira de diminuir o trabalho operacional das equipes internas, possibilitando que estas foquem nos níveis estratégico e tático.

Benefícios do Security as a Service

São muitos os benefícios em se adotar a Segurança como Serviço dentro da sua empresa, sendo os principais:

Redução de investimentos e do custo total

A primeira grande vantagem em se adotar um modelo de Segurança como Serviço está relacionada às questões financeiras.

Enquanto no modelo tradicional o cliente precisa realizar um alto investimento inicial, neste novo modelo os pagamentos ocorrem de forma mensal, diluindo assim os altos custos das soluções de proteção ao longo do tempo.

Adicionalmente, por mais que este modelo seja, normalmente, um pouco mais caro que o tradicional, se considerarmos toda a estrutura (predial e pessoal) que seria necessária para implantar uma operação de segurança in company, seu custo total é muito mais baixo que o do modelo tradicional.

Atualizações de segurança

Ao contratar SECaaS, a empresa tem a possibilidade de utilizar as ferramentas e recursos de segurança mais recentes.

Para que os mecanismos de proteção sejam eficazes, eles precisam estar sempre atualizados e nas versões mais atuais. Ao implementar a Segurança como Serviço, a organização tem a garantia de que essas atualizações são gerenciadas por especialistas em cada tecnologia, e que estas tecnologias estão configuradas de acordo com as melhores práticas de mercado.

Obsolescência dos ativos

Ainda nesta linha, a empresa contratante deste modelo não precisa se preocupar com a depreciação e a obsolescência de seus equipamentos de segurança, uma vez que o prestador do serviço deve garantir o uso de equipamentos suportados por seus respectivos fabricantes.

Maior agilidade e rapidez nas soluções

Outro grande benefício sobre o modelo tradicional é que com a SECaaS as soluções são fornecidas sob demanda, podendo ser ampliadas ou reduzidas de acordo com a necessidade da empresa, onde e quando a organização os precisar.

Liberação de recursos

Quando a segurança da informação é administrada por uma empresa especializada, as equipes internas do contratante podem se concentrar no que é mais importante para o negócio.

Além de liberar recursos, este modelo oferece total visibilidade aos gestores por meio de painéis de gerenciamento. Desse modo, a empresa poderá ter a certeza de que a segurança está sendo gerenciada com competência por uma equipe de especialistas em segurança cibernética.

Desafios de segurança

Nos dias atuais, as empresas, independentemente do tamanho ou segmento, sofrem todo tipo de ataques cibernéticos. Estar apenas atento aos ransomwares e phishings já não é mais suficiente. Assim, possuir profissionais capacitados e ferramentas adequadas de detecção, proteção e resposta é cada dia mais importante.

Entretanto, ter orçamento disponível e específico para contratar profissionais especializados em segurança da informação, especialmente para as empresas de pequeno e médio porte, é cada dia mais difícil.

Em tempos de recessão global, causada principalmente pela atual pandemia, os orçamentos destinados aos departamentos de tecnologia precisam ser cada vez mais otimizados, a fim de conciliar com os investimentos em outros setores da organização. Nesse cenário, é primordial buscar alternativas para suprir as necessidades da empresa e garantir a segurança das informações.

A Segurança como Serviço possibilita atender às necessidades de proteção, utilizando as melhores opções sob a ótica da segurança.

Exemplos de Segurança como Serviço

Cada vez mais empresas especializadas em segurança têm aprimorado suas propostas de segurança como serviço, deixando o leque de soluções disponíveis no modelo SECaaS cada dia mais amplo. São exemplos:

  • Serviço Gerenciado de Segurança: Neste serviço, o mais tradicional de todos, a empresa especializada em segurança opera, suporta e garante que os ativos de segurança sob sua gestão estejam configurados de acordo com as melhores práticas do mercado;
  • Gestão de Vulnerabilidades: Num programa de Gestão de Vulnerabilidades, uma análise completa do ambiente tecnológico é realizada de forma recorrente, através de diversas camadas de serviço. Isso garante a visibilidade do risco tecnológico real, possibilitando a correção das falhas existentes, otimizando os recursos já investidos e reduzindo a possibilidade de ocorrência de incidentes relacionados à segurança da informação.
  • Gestão de Incidentes: Caso uma tentativa de ataque ocorra, é o serviço de Gestão de Incidentes que a identificará, avaliará e tratará um eventual incidente. Seu objetivo é minimizar, ou até mesmo eliminar, eventuais impactos no ambiente tecnológico do cliente.
  • Monitoramento da Marca: Para saber se sua marca está exposta na Internet (incluindo a deep web) existe o serviço de Monitoramento da Marca. Através dele, você saberá se credenciais de acesso, e-mails e outras informações críticas foram vazadas, ou mesmo se existe algum plano de ataque cibernético contra sua empresa.
  • Alerta de Incidentes Globais: Conhecer os incidentes que estão ocorrendo no mundo, especialmente em seu mercado de atuação, tende a ajudá-lo com a elaboração de sua estratégia de defesa e possibilitar a tomada das decisões mais adequadas. Para isso serve o serviço de Alerta de Incidentes Globais.
  • Análise de Conformidade: Entender a adequação de seu ambiente às Leis e Normas, e à sua própria Política de Segurança da Informação, possibilita uma gestão adequada dos riscos e a elaboração de um plano de investimento em segurança. E este é o objetivo do serviço de Análise de Conformidade.

Saiba mais sobre SECaaS com a Future

Quer seja para economizar dinheiro, melhorar a eficiência ou proteger a infraestrutura de TI da empresa contra as ameaças de segurança mais recentes, a contratação de Segurança como Serviço pode agregar valor à sua organização, reduzindo os seus riscos e melhorando seus resultados financeiros.

A Future possui atuação no mercado de segurança da informação desde 1997, e pode auxiliar a sua empresa nesse processo de implantação e gerenciamento de segurança com todo o seu know-how e experiência.

Entre em contato agora mesmo com um de nossos especialistas e saiba mais sobre a segurança como serviço!

Security Intelligence Center: A evolução do SOC

Com a digitalização dos negócios, a segurança das informações passou a ser pauta ainda mais relevante nas reuniões executivas. E, via de regra, junto com este assunto, surgem as dificuldades habituais relacionadas ao tema

Algumas delas são a grande quantidade de tecnologias necessárias para a proteção, a escassez de mão de obra especializada, a necessidade de qualificação constante dos profissionais e, efetivamente, o custo existente para manter um time preparado para a manutenção dos mecanismos de proteção e resposta aos eventuais incidentes.

Normalmente, ao abordar este tema surge uma sigla já conhecida no mercado de segurança da informação: SOC (Security Operations Center). Entretanto, hoje abordaremos uma outra sigla, o SIC (Security Intelligence Center).

Pode-se dizer que o SIC representa uma evolução do SOC por diversos motivos. Basicamente, o objetivo desse novo tipo de central, ao contrário do SOC que focava nas operações de segurança, é prever e reagir de forma antecipada às ameaças de segurança, usando para tal mecanismos de inteligência.

Para entender mais sobre o Security Intelligence Center e qual sua diferença para o Security Operations Center, confira o texto abaixo.

O que é o SOC?

Para começar essa discussão, então, o ideal é explicar o termo original, o SOC — Security Operations Center. Em uma tradução literal, esse seria o Centro de Operações de Segurança, ou seja, um ponto de encontro dos serviços voltados à segurança da informação. Alguns exemplos seriam a administração e suporte aos ativos de segurança, a resposta aos incidentes, a execução de manutenções preventivas, entre outros.

Sendo assim, ele é formado por alguns módulos distintos (operação, suporte, relatórios, etc), atuando em diversos níveis, conforme o framework ITIL (N1, N2, N3, etc). Seu objetivo é manter as tecnologias de segurança operacionais, coletar e analisar eventos, tratar os incidentes relacionados à segurança, entre outros.

Qual a diferença entre SOC e SIC?

Dizer que o SIC representa a evolução do SOC significa que estes apresentam diferenças entre si e, segundo Greg Boison, diretor de Segurança Interna e Digital da Lockheed Martin, as distinções entre os conceitos são claras.

De forma resumida, o Security Information Center atua de maneira preditiva, enquanto seu antecessor é mais reativo. Na prática, isso significa que, enquanto um espera os alertas ocorrerem no ambiente interno, o outro analisa o ambiente externo (web, deep web, registros de incidentes globais, entre outros) e se aproveita destas informações para melhorar a proteção da empresa. Assim, o SIC acaba sendo uma central mais completa e efetiva.

Processos de um SIC

Como você já deve imaginar, a implantação de um SIC não se baseia na execução de atividades pontuais, ou na aquisição de algumas ferramentas.

Além de toda a estrutura já existente em um SOC, um SIC requer, sim, a contratação de novas ferramentas, mas principalmente a implantação de novos processos, integrados àqueles já existentes no SOC.

Abaixo listamos alguns deles, sem a pretensão de sermos exaustivos em nossa lista.

Alerta de vulnerabilidades

Além da já tradicional gestão de vulnerabilidades (que normalmente inclui varreduras de vulnerabilidades e testes de invasão periódicos), o SIC deve implantar um processo de alerta sobre as novas vulnerabilidades identificadas.

Isso reduz o intervalo entre a publicação de uma vulnerabilidade e o início da atuação do time operacional, reduzindo de forma significativa o risco inerente àquela falha.

Monitoração da marca

Outro processo fundamental a ser implantado em um SIC, e um de seus pilares, é a monitoração da marca. Este processo objetiva identificar eventuais dados vazados de uma companhia, bem como planos de ataque aos seus ativos e/ou colaboradores. Desta forma, o SIC pode antever um incidente e aumentar de forma significativa a chance de bloqueá-lo.

Monitoração de incidentes globais

Além da monitoração da marca, para que possa ser preditivo, um SIC precisa monitorar os incidentes que estão ocorrendo no mundo. Isso permite que a correção das falhas existentes seja priorizada de acordo com as atividades reais do cibercrime.

Gestão de riscos

Outra característica do SIC é a aproximação com as camadas tática e executiva da companhia. Estas camadas normalmente requerem informações pautadas em estatísticas, para que possam tomar a decisão mais adequada.

Para tal, o SIC deve consolidar as informações sobre as vulnerabilidades existentes no ambiente, baseadas no real risco de cada uma delas, e o nível de exposição da empresa, em um relatório unificado de risco. Isso tangibiliza o nível atual de proteção para a alta gestão, provendo os insumos necessários para a aprovação dos investimentos na área.

Implantação versus contratação

Como citado anteriormente, a implantação de um SIC, especialmente para atendimento continuado (24x7x365), requer a contratação e capacitação contínua de diversos profissionais, a aquisição de múltiplas ferramentas e a implantação de dezenas de processos complexos.

Desta forma, a implantação de um SIC com recursos próprios torna-se praticamente inviável para a maior parte das empresas do mundo. Assim, a opção mais factível para ter acesso a este tipo de central, fundamental para os negócios atuais, é a contratação de uma empresa especializada no tema.

Conheça o Security Intelligence Center da Future

Se implantar um SIC com recursos próprios não é algo trivial, a escolha pelo parceiro adequado para prestar este tipo de serviço tampouco o é. Afinal, para ficar realmente tranquilo e seguro, se faz necessário ter ao seu lado um parceiro no qual você pode confiar.

Com mais de 20 anos de atuação no mercado de segurança da informação, a Future é a escolha ideal para você. Graças as suas duas centrais de inteligência contingenciadas e operando no regime 24x7x365, e aos seus profissionais altamente qualificados, temos o conhecimento e a experiência necessários para te ajudar de forma totalmente eficaz.

Assim, você terá ao seu lado não somente um parceiro, mas toda uma equipe empenhada em proteger sua empresa. E, em momentos como o atual, em que os ataques são cada vez mais comuns, esse é o suporte que você precisa para se manter competitivo no mercado.

Ficou interessado? Entre em contato com um especialista da Future para mais informações.

Qual a diferença entre data mapping e data discovery?

O artigo 37 da LGPD diz: “O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse”.

Portanto, um dos primeiros passos que uma empresa deve fazer é realizar um mapeamento dos processos de negócios que realizam ações de tratamento de dados pessoais e, isto se chama data mapping.

O data mapping além de identificar os processos de negócios que realizam o tratamento de dados pessoais, também vai identificar quais ativos de tecnologias (sistemas de arquivos, bancos de dados, storages, serviços em nuvem, etc) estão envolvidos nos tratamentos dos dados, ou seja, onde os dados pessoais são armazenados e processados por exemplo.

O outro benefício direto do Data Mapping é identificar as ações de tratamento de compartilhamento de dados pessoais com fornecedores e terceiros.

O data mapping vai permitir que a empresa tenha uma visão clara e objetiva sobre as atividades de tratamento de dados pessoais, onde eles são processados e armazenados, e com quem a empresa os compartilha.

Essas são informações fundamentais para entender como os dados pessoais são capturados, processados, compartilhados e armazenados e como é possível prevenir e proteger estes dados de forma efetiva.

O que é o data discovery?

Em geral, o processo de mapeamento de dados (data mapping) faz o levantamento dos processos que tratam dados pessoais e com isto anota-se os atributos de dados pessoais.

Ou seja, quais dados pessoais (nome, CPF, data de nascimento etc.) e dados pessoais sensíveis (raça, opiniões políticas, opção religiosa etc.) são tratados nos processos. Porém, muitas vezes as empresas armazenam e tratam muitos outros atributos de dados pessoais e nem sabem.

O Data Discovery consiste na varredura e descoberta de dados pessoais e dados pessoais sensíveis nos repositórios de arquivos e bancos de dados das empresas. No contexto da LGPD, ele possui duas importantes funções.

A primeira é descobrir os dados pessoais e dados pessoais sensíveis, dar visibilidade de onde estão armazenados e avaliar os riscos de tratamento de dados desnecessários na empresa.

Já a segunda é automatizar as respostas dos direitos dos titulares, pois, sabendo de antemão onde os dados daquele titular estão, é possível criar uma lista de tarefas com os dados pessoais encontrados e então o Encarregado de Proteção de Dados valida estes dados e responde o titular, sem precisar efetivamente fazer solicitações internas de buscas de dados pessoais.

Quer conhecer mais informações sobre data mapping e data discovery? Conte com a Future! Entre em contato com um de nossos consultores agora mesmo e tire suas dúvidas.

Vazamento de Dados: Quais os seus impactos, o que fazer e como evitá-lo?

O medo a respeito de vazamento de dados toma conta de grande parte dos executivos de grandes corporações. Com as novas normas da LGPD e os recentes casos, essa angústia cresceu ainda mais. Afinal, se instituições respeitadas e com imenso alcance foram vazadas, o que fazer para o mesmo não ocorrer com você?

A resposta para essa pergunta não existe, bem como não há 100% de certeza que você não terá problemas quanto a isso. De qualquer forma, porém, são inúmeras as maneiras existentes para evitar ou ao menos diminuir os riscos deste problema acontecer. Para isso, então, se faz necessário informação e investimento.

Se deseja entender mais sobre o vazamento de dados e como escapar dele, confira o texto abaixo. Aqui, descobrirá os impactos dessa ameaça, o que fazer se ocorrer e como evitá-lo.

A LGPD e o vazamento de dados

Um ponto novo dentro de todo esse contexto é o surgimento da LGPD, a Lei Geral de Proteção de Dados. Implementada em 2020, a norma tem como objetivo regulamentar a maneira como a informação é coletada, armazenada, utilizada e protegida. Assim, promete maior segurança ao material e à vida dos cidadãos.

Para se adequar a LGPD e evitar vazamento de dados, porém, é preciso estudo. Diversos são os pontos que uma empresa deve se atentar, que vão dos direitos dos consumidores ao risco de pesadas multas. Dessa forma, compreender melhor todo o conceito e seus impactos são de extrema importância para fugir dessa armadilha digital.

Impactos do vazamento de dados

Muito mais do que apenas se importar com as multas, o vazamento de dados possui um grande risco à companhia e seus clientes. Por meio dessas informações, afinal, hackers podem ter acesso a um material bastante delicado. De dados pessoais a informações sigilosas, os perigos dessa situação assustam qualquer um atualmente.

Prejuízos financeiros

Muitas vezes, ao haver um vazamento de dados, se faz necessário pausar ou bloquear todo um sistema. Com isso, muitas organizações já precisaram ficar horas ou até dias sem seu principal software. Esse tempo, inevitavelmente, traz prejuízos financeiros que, dependendo da empresa, podem chegar aos milhões ou até bilhões de dólares.

Queda na credibilidade da empresa

Junto a isso, ocorre também uma grande perda na confiança dos consumidores e do mercado com essa companhia. Na prática, isso significa uma queda na credibilidade desta, o que também afeta seu faturamento a curto, médio e até longo prazo. Em geral, é preciso um grande esforço de marketing e relações públicas para evitar danos maiores.

Interrupção do negócio com a violação de dados

Como dito no primeiro tópico, o vazamento de dados traz consigo uma interrupção em todo o sistema. Mais do que o problema em si, isso representa uma pausa em todos os processos internos da companhia. Dessa forma, além do faturamento, outros setores são afetados, como o desenvolvimento, marketing, compras e até o financeiro e fiscal.

Processos judiciais

Deixando de lado tudo o que ocorre dentro da empresa, há também fatores externos que podem te afetar. O principal deles é a possibilidade de a organização receber inúmeros processos judiciais. Estes, em sua maioria, serão relativos ao vazamento em si e à distribuição dos dados de terceiros de maneira não autorizada, ainda que sem intenção.

Conhecimento de dados confidenciais sigilosos

Por fim, durante o vazamento de dados, não são apenas as informações de consumidores que podem se difundir. Em muitos casos, materiais sigilosos da empresa podem cair na internet, ficando ao acesso de hackers e concorrentes. Toda uma estratégia ou novos lançamentos podem ser afetados por serem expostos indevidamente.

O que fazer após um vazamento de dados?

Mesmo com todos os cuidados, pode acontecer um vazamento de dados, grande ou pequeno. Se isso ocorrer, a empresa deve estar preparada para lidar com as consequências, e nada melhor para isso do que um bom planejamento. Dessa forma, o indicado é realizar as etapas a seguir para mitigar os efeitos dessa falha de segurança.

Detectar problemas na segurança

De nada adiantará se preocupar com os efeitos dessa distribuição indevida de informações se nada for feito para estancá-la. Assim, o primeiro passo a se seguir é detectar o problema que causou o acidente. Com esse conhecimento, afinal, será possível seguir às próximas etapas para resolver a situação.

Identificar o incidente

Sabendo qual problema possibilitou o vazamento de dados, chega o momento de identificar o incidente que o causou. Aqui, o importante é compreender quem ou o que foi responsável pela situação inconveniente e perigosa. O foco, entretanto, não está na punição do culpado, mas sim na correção do processo para que tudo volte à normalidade.

Contenção

Com essas informações em mãos, se faz possível iniciar o processo de contenção do vazamento. Muito provavelmente essa etapa não será rápida, muito menos simples, mas ainda assim extremamente importante. Nenhum esforço valerá a pena, afinal, se não se estancar o processo de divulgação do material de sua empresa e clientes.

Investigação das causas

Com tudo isso feito, chega a hora de, enfim, entender mais afundo as reais causas de toda essa situação. Os motivos podem ser vários e, inclusive, combinados, como falha humana, software desatualizado ou até mesmo problemas no firewall. Independentemente da situação, porém, se faz preciso entender completamente essas causas.

Solucionar o problema

Por fim, tendo conhecimento de todas as etapas acima, chega o momento de solucionar o problema. Novamente, precisa-se ter noção da situação para construir uma estratégia de solução. Para isso, podem ser utilizados treinamentos da equipe, investimento em novos softwares ou até a procura por novos fornecedores.

Como evitar um vazamento de dados?

Mais interessante do que se focar em o que fazer após o vazamento de dados é compreender como evitá-lo. Com este objetivo, é imprescindível que se siga uma cartilha de boas práticas sobre o assunto como as que seguem. É por meio dessas dicas, afinal, que você terá um ambiente realmente seguro e dificultará o trabalho dos hackers.

Política de Segurança da Informação (PSI)

Uma boa maneira de evitar se encontrar em situações como essa é ter uma boa PSI. Essa é a Política de Segurança da Informação, um documento ao qual todo os colaboradores devem ler. Nele, constam técnicas de boas práticas que podem auxiliar nesse processo e evitar que o sistema se encontre desprotegido.

Backups periódicos

Como se sabe, o grande trunfo de qualquer organização é a quantidade de informações as quais ela tem acesso. Assim, com um vazamento de dados, o maior medo dessa empresa é, justamente, a perda desse ativo valioso. Dessa forma, realizar backups periódicos permite que sua empresa tenha sempre esse material, evitando perdas ainda maiores.

Restringir acessos

A maioria dos programas disponíveis atualmente permite que você defina os colaboradores que podem ter acesso a cada arquivo. Sua grande função é, portanto, evitar que pessoas desconectadas a um projeto possam acessá-lo. Além de impedir esse contato desnecessário, a tática diminui drasticamente a quantidade de usuários que podem causar falhas ao sistema.

Investir em tecnologias de segurança

Infelizmente, os hackers estão cada vez mais atualizados no que diz respeito às técnicas de segurança organizacional. Com isso, se faz preciso que as empresas também possuam todo esse conhecimento. Mais do que isso, precisam investir nas melhores e mais modernas soluções para evitar o temido vazamento de dados.

Plano de disaster recovery

O Disaster Recovery é um termo de TI que representa um conjunto de ações a fim de recuperar a empresa de desastres como esse. Assim, se apresenta como uma maneira estratégica de evitar a perda de todo o material informacional que uma companhia possui. Utilizando-a, mesmo que haja alguma falha, os dados de sua empresa estarão seguros.

Contrato de confidencialidade

Para finalizar, um dos pontos mais óbvios, simples e, ainda assim, eficazes na luta contra o vazamento de dados é o contrato de confidencialidade. Comum no ambiente corporativo, esse documento é assinado por toda a equipe de um projeto. Sua função é garantir que essas pessoas não vazem qualquer informação sobre este, estando sujeitas a multas e processos se o fizerem.

Saiba mais sobre o que fazer em relação a vazamentos de dados

Uma coisa que se pode perceber com o texto acima é que o vazamento de dados é um tema bastante complexo. Seus efeitos podem ser devastadores, mas há maneiras de impedir seu escalonamento, ou ainda de evitar que ocorram em primeiro lugar. Independentemente da tática escolhida, o mais indicado é contar com parceiros que te auxiliem nesse momento.

Com mais de 20 anos de atuação no mercado de segurança da informação, a Future é a escolha ideal para você. A empresa traz confidencialidade, integridade, disponibilidade e conformidade para qualquer projeto que precisar. Mais do que isso, possui o conhecimento e a experiência necessários para te ajudar de forma totalmente eficaz.

Assim, você terá ao seu lado não somente um parceiro, mas toda uma equipe empenhada em proteger sua empresa. E, em momentos como o atual, em que os ataques são cada vez mais comuns, esse é o suporte que você precisa para se manter competitivo no mercado.

Ficou interessado? Entre em contato com um especialista da Future para mais informações.

Adequação a LGPD: Medidas de segurança fundamentais para implementar as novas regras

Inspirada pela General Data Protection Regulation (GDPR), assinada em 2016 na União Europeia, a Lei Geral de Proteção de Dados, ou LGPD, é o modelo brasileiro que rege o tratamento de dados pessoais de qualquer cidadão em território brasileiro.

Ambas as leis tornam algumas medidas obrigatórias, com o objetivo de ampliar, padronizar regular o tratamento e uso de informações pessoais por empresas públicas e privadas. Sendo assim, todas as empresas precisam entender as exigências da Lei para que possam estar em conformidade com estes requisitos e atender efetivamente a Lei Federal que já está em vigor.

Muitas empresas ainda não iniciaram este processo e possuem ainda algumas dificuldades em relação a processo adequação a LGPD. Com a Lei já em vigor, todos os tratamentos de dados pessoais e dados pessoais sensíveis precisam estar em conformidade com os princípios da Lei e, portanto, precisam ser protegidos através de políticas internas e, muitas vezes com a adoção de tecnologias para monitorar o seu uso e compartilhamento dentro e fora das empresas, levando em consideração a natureza dos dados, desde as mais simples informações de contato – como nome e telefone, até as mais sensíveis como dados financeiros e de saúde.

A LGPD impõe que as companhias protejam os dados, com medidas que melhorem a segurança das informações. Para as empresas privadas, a Lei prevê sansões administrativas e pecuniárias, como multas, que podem chegar à 50 milhões por infração – um prejuízo que pode significar a falência para alguns CNPJs.

Quais foram as mudanças na LGPD?

A Lei Geral de Proteção de Dados trouxe diversas mudanças, tanto na legislação quanto no dia a dia das corporações. Um marco legal de alto impacto, é ela a responsável por regular a coleta, armazenamento, compartilhamento de dados e as penalidades pelo não cumprimento da norma.

Se um dia a frase “A internet não é terra de ninguém” já foi dita, isso não é mais verdade. A LGPD veio para proteger direitos fundamentas do indivíduo, como privacidade, autodeterminação informativa, inviolabilidade da intimidade, honra e imagem, entre outros.

Todas as informações que permitem a identificação de pessoas são abrangidas pela nova lei, garantindo privacidade e segurança contra a coleta e uso indevidos, comercialização e vazamento de dados.

Desde o início da vigência da LGPD, os usuários podem solicitar informações acerca de quais e como as empresas armazenam seus dados e exigir a exclusão, principalmente quando os dados foram obtidos de forma não consentida.

Como temos visto em toda à internet, os novos avisos de cookies nos sites pedindo permissão para serem armazenados, são apenas alguns exemplos da adequação a LGPD. Outras providências devem ser tomadas, por exemplo:

  • No momento da coleta de dados, esta deve ser acompanhada da finalidade de uso e indicação se é autorizada pelo usuário. O termo de consentimento também deve ser armazenado para consultas futuras.
  • Formulários, sejam físicos ou digitais, devem ser armazenados de forma segura, incluindo os preenchidos por usuários, clientes, funcionários e quaisquer outros públicos.
  • Para que informações possam ser compartilhadas de uma empresa com outra, a companhia deverá obter autorização específica do titular dos dados para este único fim – exceto em casos específicos onde a legislação dispensa a necessidade de tal autorização.
  • Dados pessoais sensíveis, como origem racial ou étnica, opinião política, filiação à sindicatos ou organizações de caráter religiosos, filosóficos ou políticos, dados genéticos, de saúde, biométrico ou referentes à vida sexual devem ter tratamento diferenciado.

Por que a LGPD é importante?

A transparência e segurança que a lei impõe são pontos extremamente importantes para usuários e empresas. Ao estabelecer uma regra clara, permeando práticas transparentes e seguras, todo o mercado se beneficia da padronização e desenvolvimento da confiança nas relações jurídicas entre empresas e os titulares destes dados.

Para as companhias, isso significa um novo patamar de aceitabilidade em como as informações são tratadas. Os requisitos mudaram com a entrada da nova lei e as empresas precisam se adequar para garantir a segurança, inclusive por meio de auditorias internas e externas. Não apenas a segurança do usuário se fortalece, mas os dados corporativos também.

Isso porque, para se ajustar aos moldes da LGPD, as empresas precisam contar com uma transformação no modo em que coletam e, também, processam e armazenam as informações. O aumento da segurança como um todo, inclusive de aspectos sigilosos, diminui as brechas e vulnerabilidades do cenário tecnológico.

Passo a passo da adequação a LGPD

Agora que você compreende um pouco mais sobre o que a Lei Geral de Proteção de Dados abrange, separamos os próximos passos para você garantir a adequação de acordo com o cenário da sua empresa.

Conscientização da empresa

Conhecer a fundo a atividade da empresa, qual o seu modelo de negócio, seus processos e atividades é o primeiro passo. O autoconhecimento da companhia, através de análises para encontrar gaps de segurança e como os dados são trabalhados atualmente, irá ditar o que deverá ser mantido e o que deverá ser substituído ou alterado para se adaptar à legislação.

Mapear os processos que tratam dados pessoais

A organização deve mapear os processos de negócios que executam tratamento de dados pessoais. Todos eles, inclusive dados somente pessoais e sensíveis que sejam capturados, processados e armazenados pela empresa.

Durante o mapeamento de processos, deve-se também identificar as ações de tratamento de transferências de dados para fornecedores, parceiros ou terceiros. Além disto, é importante identificar quais as bases legais com as quais estes tratamentos de dados acontecem e aqueles baseados no consentimento devem implementar a gestão sobre isto adicionalmente.

Assessoria jurídica

A conformidade com a Lei não é apenas uma questão técnica, mas um conjunto de ações que incluem também os aspectos jurídicos que permeiam as obrigações jurídicas. Portanto, não dá para fazer de qualquer jeito. Uma assessoria jurídica pode evitar erros de interpretação e levar análises para que a medida seja cumprida de forma efetiva e sem erros.

Encarregado de Proteção de Dados (DPO – Data Protection Officer)

A sua empresa certamente realiza tratamento de dados pessoais, portanto, será preciso nomear um encarregado da proteção de dados pessoais ou contratar um serviço para esta finalidade. Este colaborador ou serviço contratado será o responsável por criar e implementar procedimentos e protocolos internos e é peça chave na adequação para a LGPD.

Política de privacidade e políticas de segurança

Enquanto a primeira dita os direitos e deveres do usuário e da empresa em relação à privacidade dos dados, a última é sobre políticas internas da empresa. Ambas são importantes em relação à LGPD, tendo requisitos diferentes.

Saiba mais sobre adequação a LGPD

Com tantas exigências e circunstâncias referentes à LGPD, é fácil se perder no mundo de termos jurídicos complexos, mas isso não significa que a sua empresa pode esperar para se adequar à nova legislação.

A tecnologia pode auxiliar nesse processo, principalmente no mapeamento, tratamento e armazenamento dos dados, realizados de uma forma que tenha compliance em relação à lei.

Um bom parceiro, como a Future, pode auxiliar a sua companhia nesse processo extenso, viabilizando através de um projeto único e customizado para as necessidades do seu negócio.

Quer saber mais sobre como definir uma estratégia para adequação a LGPD? Entre em contato conosco agora mesmo e saiba tudo sobre a Lei Geral de Proteção de Dados!

IoT – Internet das Coisas, conceitos e desafios da segurança

O nome Internet of Things (Internet das Coisas) surgiu em 1999, quando o pesquisador Kevin Asthon do MIT fez uma apresentação na P&G sobre a tecnologia RFID e sua aplicação na cadeia de valor conectada à Internet. Em 2004 o conceito se consolidou com a publicação de um artigo sobre o conceito de IoT na famosa revista Scientific America.

O que é o IoT?

A Internet of Things é uma nova mudança de paradigma na arena de TI, cunhada a partir de duas palavras principais: “Internet” e “Coisas”.

A partir desse pensamento, a Internet é um sistema global de redes de computadores interconectadas que usam um conjunto de protocolos padrão (TCP/IP) para atender bilhões de usuários em todo o mundo.

É uma rede de redes que consiste em milhões de redes privadas, públicas, acadêmicas, comerciais e governamentais, de âmbito local a global, que são ligadas por uma ampla variedade de tecnologias de redes eletrônicas, sem fio e ópticas.

Ao chegar às “coisas” nos referimos a qualquer objeto ou pessoa que pode ser distinguido pelo mundo real. Os objetos do cotidiano incluem não apenas dispositivos eletrônicos que encontramos e usamos, como produtos tecnológicos diários, equipamentos e gadgets, mas também itens que normalmente não consideramos eletrônicos (comida, roupas, móveis, materiais, monumentos e obras de arte e toda a miscelânea de comércio, cultura e sofisticação).

Isso significa que aqui as coisas podem ser tanto vivas, como pessoa, animais, plantas, e não-vivas, como cadeira, geladeira, luz, cortina, placa, quaisquer eletrodomésticos ou aparelho industrial. Então, neste ponto, as coisas são objetos reais neste mundo físico ou material. Portanto, tudo que está conectado na Internet que não é um computador ou um dispositivo móvel, mas sim uma “coisa” neste conceito de IoT.

Segundo o Gartner, no ano de 2020 deveremos ter mais de 9 bilhões de dispositivos de IoT conectado à Internet, trazendo mais conforto e facilidade no dia a dia das indústrias, das empresas e das pessoas.

Tudo isto aliado as novas tecnologias de Inteligencia Artificial e os assistentes virtuais como Alexa da Amazon, Google Home da Google e a Cortana da Microsoft, que podem ler dados dos dispositivos e enviar comandos para eles, automatizando coisas simples do nosso dia a dia.

Um exemplo disso é a possibilidade de ligar um aparelho de ar-condicionado quando estivermos chegando em casa, simplesmente observando as informações do GPS do dispositivo móvel ou do carro e assim comandar a tomada do ar-condicionado quando estivermos há 10 minutos de distância.

Tecnologias

A Internet das Coisas foi inicialmente inspirada por membros da comunidade RFID, que se referiam à possibilidade de descobrir informações sobre um objeto marcado navegando em um endereço da Internet ou entrada de banco de dados que corresponde a uma determinada RFID ou NFC – Near Field Communication.

As principais tecnologias incluídas da IoT são RFID, a tecnologia de sensores e a nanotecnologia. Entre eles, o RFID é a base e o núcleo de rede da construção da Internet das Coisas.

A Internet das Coisas permitiu que os usuários trouxessem objetos físicos para a esfera do mundo cibernético. Isso foi possível graças a diferentes tecnologias, como NFC, RFID e código de barras 2D, que permitiam a identificação e referência de objetos físicos na Internet.

É também uma nova onda do setor de TI desde a aplicação dos campos de computação, rede de comunicação e tecnologia de roaming global. Entre as tecnologias aplicadas ao mundo da IoT, podemos destacar:

  • RFID – Radio Frequency Identification – aquela etiqueta que usamos para que o carro passe automaticamente pelo pedágio;
  • IP – Internet Protocol – é o principal protocolo de comunicação na Internet. Corresponde ao número que identifica um “nó” conectado na Internet. Atualmente, temos dois protocolos IP – um chamado de IPv4 e outro chamado de IPv6, que, em breve, dominará toda a Internet.
  • EPC – Eletronic Product Code – trata-se de uma identificação única gravada em uma etiqueta de RFID. É coordenado pela EPCGlobal que tem o objetivo de padronizar o uso de códigos gravados nas etiquetas (tags) de RFID em esfera global.
  • Barcode (Código de Barra) – é uma forma de codificar números e letras usando uma combinação de espaços e barras e, com isto, automatizar o processo de identificação de um objeto. Trata-se daquele código de barra que vem estampado em todos os produtos que compramos nos supermercados para agilizar o processo de leitura e identificação no caixa.
  • Wireless Fidelity (Wi-Fi) – é uma tecnologia de rede que permite a conexão de dispositivos à uma rede através de uma tecnologia sem fio. A padronização e adoção desta tecnologia nos dispositivos móveis (notebooks, telefones celulares, tablets e outros) fez com que se tornasse um padrão de comunicação para praticamente tudo que é conectado à Internet – principalmente os nossos dispositivos e sensores da IoT.
  • Bluetooth – é uma tecnologia de comunicação, também sem fio, que permite a conexão de dois ou mais dispositivos próximos. Com ela é possível construir conceitos de uma PAN – Personal Area Network, conectado assim o fone ao telefone celular, o mouse no notebook e muitos outros dispositivos entre si.
  • Zigbee – é um dos protocolos de rede para comunicação de sensores sem fio. Foi criada por uma aliança fundada em 2001 e tem por objetivo desenvolver tecnologias com características de baixo custo, baixa capacidade de transmissão, baixa cobertura, escalável e flexível. Atualmente, é muito utilizada na conexão e automação de plantas industriais, automação residencial, agricultura, sistemas médicos e outros.
  • Near Field Communication (NFC) – é uma tecnologia de comunicação sem fio de aproximação. Ou seja: os dispositivos devem estar muito próximos para que a comunicação se estabeleça. Atualmente, é muito utilizada para permitir autenticação e aprovação de transações financeiras, aproximando o telefone celular do POS – Post of Sale (máquina de cartão de crédito) para efetuar um pagamento.
  • Atuadores – qualquer dispositivos capaz de transformar energia em movimento. Existem três tipos de atuadores: os elétricos, que transformam energia elétrica em movimento, como motores, motores de passo ou solenoides; os hidráulicos, que usam um fluido para transformar em movimento (macacos hidráulicos por exemplo) e, por fim, os pneumáticos, que usam o ar comprimido para transformar em movimento (como parafusadeiras e mais)
  • Wireless Sensor Networks (WSN) – consistem em sensores sem fio para monitorar condições físicas de um ambiente. Um exemplo disso são os sensores de fumaça, humidade, temperatura, som, vibração, pressão, movimento e etc. Atualmente, são normalmente conectados a centrais de alarmes para segurança e automação residencial, e em hospitais, indústria, agricultura e defesa civil para monitoramento de fogo ou detecção de alagamento.
  • Inteligência Artificial – refere-se a ambientes eletrônicos sensíveis e responsivos à presença de pessoas. Em um mundo de inteligência ambiental, os dispositivos trabalham em conjunto para ajudar as pessoas a realizarem suas atividades cotidianas de maneira fácil e natural, usando informações e inteligência ocultas nos dispositivos conectados à rede. Observamos cada vez mais o uso de IA no dia a dia através de assistentes virtuais que incorporam poderosos algoritmos e coletam informações da Internet, além de seus diversos sensores conectados a rede.
  • Cloud Computing (Computação em Nuvem) – A computação em nuvem é a disponibilidade de um serviço de computação invés de um produto, onde recursos compartilhados, software e informações são fornecidas, permitindo o acesso e o uso destes serviços através da Internet. Este tipo de computação tem permitido a expansão do uso de IA e outros serviços, pois não há limites estabelecidos para processar ou armazenar dados para produzir um resultado.

A IoT vem trazendo enormes mudanças tecnológicas em nossas vidas diariamente, o que, por sua vez, ajuda a tornar nossa rotina mais simples e mais confortável, apesar de várias tecnologias e aplicações.

Há inúmeras utilidades dos aplicativos de IoT em todos os domínios, incluindo médico, manufatura, industrial, transporte, educação, governança, mineração, habitat, etc.

Embora a IoT tenha muitos benefícios, existem algumas falhas no nível de governança e implementação da IoT. As principais observações são que ainda não há definição padrão no mundo inteiro.

Seguir um padrão é fundamental para garantir a interoperabilidade entre sensores e componentes de diversos fabricantes. Outro ponto fundamental é estabelecer protocolos mínimos de segurança.

Como fica a segurança?

A cada dia que passa, observamos que a IoT está cada vez mais presente na vida das pessoas e das empresas. Muitos sensores, hoje, são usados para ajudar na automação da indústria.

Nas cidades, com a adoção de projetos de Cidades Inteligentes (smartcities), muitos e diversos dispositivos estão sendo incorporados à rotina das pessoas, como sensores de iluminação, lâmpadas inteligentes, câmeras de segurança, carros autônomos, sensores de estacionamento entre muitos outros.

Para que isto tudo funcione, existem diversos componentes de uma infraestrutura necessária, que nós consumidores não vemos. Alguns deles são as redes de computadores com fio e sem fio, serviços de computação e outros.

Portanto, um dos principais desafios é a segurança de toda esta infraestrutura e rede conectada autônoma, pois os sensores e dispositivos conectam e se comunicam praticamente sem a intervenção humana.

Com isto, ela se torna um grande alvo para hackers e criminosos que buscam roubar dados ou até mesmo provocar a paralização parcial ou total do serviço e, tudo isto, sem que ninguém perceba.

Nos casos mais simples, os dados dos usuários podem ser roubados e, nos casos mais críticos, significar uma ameaça contra a vida. Como exemplo, podemos citar a invasão da rede de uma indústria e manipular os sensores de uma caldeira ou até mesmo de um reator nuclear.

Um outro exemplo, é atacar e hackear a rede Wi-Fi de um carro, invadir todo o seu sistema em movimento e atuar nos sensores do acelerador ou dos freios.

Antes das coisas ganharem vida com a IoT, os ataques cibernéticos estavam restritos aos computadores e servidores conectados à rede. Hoje, basta um smartphone, um carro, uma lâmpada, um sensor ou uma geladeira conectada à Internet, que passa a ser alvo de ataques cibernéticos.

Este ano de 2020, a previsão é que tenhamos o dobro de dispositivos conectados à Internet, portanto a “superfície” de ataque para os hacker e criminosos aumentará e, como consequência, o volume de ataques também. Com o maior número de dispositivos conectados à Internet, mais coisas poderão estar vulneráveis e serem alvos de uma invasão efetivamente.

Todo o conceito da Transformação Digital vem trazendo ganhos expressivos de produtividade e novas oportunidades de negócios para as empresas e pessoas. Porém, por outro lado, aumenta os dispositivos conectados e, com isto, o desafio de manter estes ambientes seguros contra-ataques cibernéticos.

Não existe uma bala de prata, ou seja, um produto mágico que garanta 100% de segurança, pois trata-se de um desafio de alta complexidade, pois envolve, em muitos casos, vários dispositivos diferentes, diversos fabricantes e ausência de uma padronização mínima.

Uma forma de minimizar os problemas futuros de segurança é adotar desde a concepção do projeto uma metodologia de Security by Design, ou seja, se preocupar com segurança desde a escolha dos dispositivos, do que será conectado e como.

Quando a proteção e a segurança não são nativas, é necessário aplicar uma camada ou tecnologia para fazer a gestão da segurança daquele ambiente, minimizando assim as possíveis ameaças.

A segurança em um ambiente de IoT não está restrita apenas à rede, dispositivos ou sensores, mas sim em todos os elementos envolvidos para que o projeto ou serviço funcione de forma adequada.

Portanto, uma forma de minimizar os riscos é adotar uma avaliação ampla sobre todos os componentes que fazem parte da solução, como dispositivos, serviços de nuvem, aplicações, interfaces, softwares, identificação e autenticação, entre outros.

Espera-se que no futuro com o estabelecimento de padrões mínimos de segurança e adoção de mecanismos de segurança da informação, possamos ter acesso a dispositivos mais seguros e, com isto, diminuir os riscos de ataques cibernéticos.

Airton Coelho Vieira Jr, MsC

Chief Technology Officer

Os desafios do Encarregado de Proteção de Dados

Os desafios do Encarregado de Proteção de Dados

A Lei Geral de Proteção de Dados (Lei Federal 13.709/2018) no Art. 5 inciso VII, define o papel do encarregado de proteção de dados para as empresas, conforme o texto abaixo:

Art. 5º Para os fins desta Lei, considera-se:

VIII – encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);    (Redação dada pela Lei nº 13.853, de 2019)   

Em seguida, no Art. 41., a Lei define algumas das atribuições do Encarregado de Proteção de Dados Pessoais:

Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.

  • 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.
  • 2º As atividades do encarregado consistem em:

I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II – receber comunicações da autoridade nacional e adotar providências;

III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

  • 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

Pensando nas atribuições destacas na Lei e, ainda, aquelas que poderão vir em normas complementares a serem editadas pela ANPD, o encarregado terá alguns grandes desafios para desempenhar este papel dentro das organizações.

Posso afirmar que será impossível o Encarregado exercer suas funções o auxílio da tecnologia, mas não estou falando das tecnologias para monitorar, proteger ou detectar possíveis incidentes de segurança, mas estou falando de ferramentas que efetivamente ajudem o dia a dia do Encarregado na gestão da privacidade e da conformidade com as Leis de Privacidade de uma forma geral.

Para desafiar a pensar sobre o dia a dia de um Encarregado, vamos começar com algumas perguntas sobre temas que ele deverá saber responder:

  1. Quantos registros de Dados Pessoais a sua organização gerencia atualmente?
  2. Do total de repositórios (Bancos de Dados, Servidores de Arquivos, Sistemas, Serviços em Nuvem, entre outros) que uma organização utiliza, quantos tratam dados pessoais?
  3. Uma vez conhecidos os repositórios, como encontrar os dados pessoais e, como associar estes dados a uma identidade ou um indivíduo?
  4. Quando houver Dados Pessoais sob a custódia de uma base legal de consentimento, será necessário fazer a gestão desta informação adicional, quantas repositórios estão sobre esta base legal e quanto já possuem funcionalidades prontas para fazer esta gestão?
  5. Qual a estrutura que as organizações irão disponibilizar ao encarregado, para que ele consiga exercer as suas atividades?
  6. Quantos titulares deverão exercer algum dos seus direitos? Como atender esta demanda? Ou seja, identificar os Dados Pessoais de um Titular nos diversos repositórios e responder o Titular se houver centenas ou milhares de solicitações?

 

Refletindo sobre cada umas destas questões, o primeiro desafio para o Encarregado é efetivamente conhecer os processos de negócios que capturam e tratam dados pessoais, mas mais do que isto entender onde os Dados Pessoais são armazenados e processados, pois eles podem estar distribuídos em dados estruturados – quando os dados estão dentro de um sistema ou um banco de dados e, podem ser não-estruturados – quando os dados estão dentro de documentos ou planilhas sem uma estrutura padrão ou conhecida. Portanto, o primeiro desafio é saber onde eles estão e como encontra-los, mas mais do que isto, como manter este inventário de dados atualizado constantemente, pois os dados que as organizações processam crescem e se modificam todos os dias.

O outro desafio diante do volume de dados pessoais que podem ser encontrados nas organizações é como correlacioná-los de uma forma, que possamos conectar todos os registros de dados pessoais de um indivíduo, independente do repositório que este registro se encontra. Desta forma, será muito mais fácil de atender a demanda de um Titular, senão o desafio será encontrar os possíveis identificadores do Titular e procurar em cada repositório utilizando o identificador correspondente. Como fazer isto com centenas ou milhares de solicitações e, como consolidar as respostas? Estas demandas serão atendidas pelo Encarregado ou a área de TIC ou compliance quem ajudarão nestas atividades? Será que as organizações estão planejando estrutura ou métodos ou ferramentas para executar isto?

Por fim, mas não menos importante, são os dados pessoais que possuem como base legal o consentimento. Quando um dado pessoal é capturado e tratado com base no consentimento será necessário fazer a gestão do consentimento, pois o Titular poderá exercer o direito de revogar o consentimento, portanto aquela captura e tratamento deverá ser encontrada e revogada e, em consequência, identificar os dados capturados e, estes, deverão ser removidos. Recentemente, visitei uma empresa que fornecia acesso à Internet para os seus visitantes e, para que eles pudessem usufruir, eles deveriam preencher um cadastro, consentir e concordar com a Politica de Privacidade, ou seja, uma captura e tratamento de dados tipicamente baseada no consentimento do Titular. Diante disto, questionei a empresa se eles tinham a lista dos visitantes que eles tinham capturado o consentimento no dia de ontem para usar o serviço de internet deles e, se algum visitante voltasse no dia seguinte e revogasse o consentimento, como eles fariam? Enfim, descobri que na verdade a empresa que prestava o serviço havia apenas modificado o texto do captive portal de autenticação dos visitantes, adicionando as questões relacionadas com a nova Lei de Privacidade e se o usuário autorizava a captura dos seus dados, mas não havia qualquer registro efetivo do consentimento em si e que a única maneira de remover o consentimento seria apagando os dados dos visitantes, mas não teria como registrar a revogação do consentimento. Enfim, faltava ferramenta efetiva para fazer a gestão efetiva do consentimento e, é isto que observamos de uma forma geral para cookies, formulários e outros serviços que capturam dados com base no consentimento – não há gestão.

O Encarregado vai necessitar de uma ou mais ferramentas para auxiliá-lo nas suas atividades, sem nenhuma dúvida. Pois, gerenciar dados pessoais dentro das organizações de uma forma geral é uma necessidade nova e sem conhecimento profundo da quantidade e da dinâmica de como estes dados são utilizados no dia a dia de cada organização.

Revise as perguntas acima e reflita a respeito e veja se consegue responde-las no contexto da organização em que você trabalha.

Na próxima semana, vamos explorar ferramentas que podem ajudar o encarregado a tratar estes desafios.

Um abraço,

Airton Coelho Vieira Jr, MsC
Chief Technology Officer

 

 

 

Receba conteúdos exclusivos