Segurança de dispositivos móveis: o que é e qual sua importância no cenário atual

Os smartphones, tablets e outros recursos tecnológicos portáteis são ferramentas imprescindíveis para diversos profissionais. Não ter uma visão crítica sobre essa nova conjuntura é um erro grave, porque afeta o nível de segurança de dispositivos móveis e aumenta as brechas para cibercriminosos invadirem a rede corporativa. 

Esse cenário também mostra que boas práticas de segurança da informação passaram a ter um valor ainda mais estratégico no mundo corporativo. E ignorar esse fato é pedir para uma empresa perder não apenas competitividade, mas também o foco em resultados mais expressivos em médio e longo prazos.  

Neste artigo, vamos detalhar diversos procedimentos para aumentar o nível de proteção dos dados institucionais que trafegam em dispositivos móveis. Confira! 

O que é a proteção de dispositivos móveis?

Podemos definir essa iniciativa como um conjunto de ações para reduzir ao máximo a possibilidade de recursos tecnológicos (celulares, tablets, entre outros) serem invadidos por criminosos digitais. É crucial que uma empresa priorize a necessidade de manter esses dispositivos com um elevado grau de segurança da informação

Para isso ser alcançado, um passo importante consiste em campanhas de conscientização que ajudem os colaboradores a adotarem práticas que mantenham os equipamentos menos vulneráveis às ações ilícitas. Além do investimento em pessoal, outra boa medida é apostar em boas soluções de TI.  

Há diversas ferramentas que contribuem para monitorar o fluxo de informações que circulam em uma rede corporativa. Ao optar por esse recurso, uma companhia tem mais condições de identificar as ameaças virtuais e mitigá-las com um elevado grau de eficiência. 

Também é recomendado adquirir soluções de segurança para o e-mail institucional. Um dos motivos é que muitos golpes de engenharia social são aplicados pelo correio eletrônico. Ao filtrar e eliminar as mensagens ilícitas, torna-se mais simples evitar problemas que afetarão a disponibilidade dos serviços digitais ao público-alvo.  

A importância da segurança de dispositivos móveis

Com a transformação digital e a computação em nuvem sendo cada vez mais valorizadas pelas corporações, é indispensável haver uma política de segurança da informação que torne os dispositivos móveis mais seguros contra os ataques virtuais. 

Vale ressaltar que, com a Lei Geral de Proteção de Dados (LGPD), uma organização pode receber uma multa de até R$ 50 milhões ou o correspondente a 2% do seu faturamento bruto. Dependendo da situação econômica da empresa, essa penalidade pode prejudicar não apenas a imagem, mas também a capacidade de investir em ações com foco na melhoria contínua.  

Isso mostra, sem dúvida, como é preciso ter um direcionamento para evitar situações indesejadas, como o roubo ou o vazamento de informações. Ao permitir que os funcionários usem smartphones e tablets para executar tarefas, as companhias devem adotar medidas de segurança voltadas para esses recursos tecnológicos. Do contrário, serão elevadíssimas as chances desses equipamentos serem a porta de entrada para a invasão da rede institucional. 

A segurança de dispositivos móveis e o home office

O trabalho remoto deixou de ser apenas uma tendência e passou a ser uma alternativa para as corporações terem funcionários mais produtivos e focados em um desempenho notável. Uma consequência disso é que as empresas precisam se adequar ao novo cenário para manter a segurança em um elevado patamar. 

Com os colaboradores atuando fora do ambiente físico controlado, os riscos de comprometimento da rede e dos dados corporativos aumentam de forma considerável. Isso ocorre, principalmente, em virtude de os cibercriminosos adotarem mecanismos para invadir os recursos tecnológicos usados pelos empregados durante o home office.  

Para minimizar os riscos, a melhor saída é investir em soluções de segurança adicionais que sejam capazes de combater efetivamente as tentativas de invasão e de roubos de informações institucionais por meio dos dispositivos móveis dos usuários remotos.  

O aumento nos ataques contra dispositivos móveis durante a pandemia

Inegavelmente, a expansão do trabalho remoto tem chamado a atenção dos cibercriminosos, que sabem como os funcionários, fora do ambiente empresarial, ficam mais vulneráveis para serem vítimas de ataques virtuais

De acordo com uma pesquisa de mercado, os ataques de phishing cresceram 124% no período de fevereiro a março de 2021. Por isso, é fundamental muita atenção principalmente com o uso do WhatsApp, aplicativo bastante empregado pelos cibercriminosos para disseminar golpes digitais durante a pandemia.  

Se não houver investimentos em conscientização e em soluções de segurança de dispositivos móveis, uma empresa estará muito vulnerável e poderá sofrer problemas graves por causa de ciberataques. Não levar isso em consideração é um equívoco grave que pode, inclusive, afetar a sustentabilidade do negócio.   

Como colocar a segurança de dispositivos móveis em prática

A prevenção, sem dúvida, é o melhor caminho para uma organização estar mais segura ao adotar o home office como alternativa para os funcionários terem um melhor rendimento e mais qualidade de vida. Para isso se tornar uma realidade, o indicado é adotar as melhores práticas de segurança da informação

No caso dos dispositivos móveis, uma empresa deve apostar em softwares que possibilitem monitorar o fluxo de informações e eliminar as tentativas de invasão à rede. Outra medida válida é apostar em antivírus com um foco mais específico para recursos móveis, como os smartphones. 

No quesito acesso, é pertinente incluir uma solução de Zero Trust Network Access (ZTNA), caso os colaboradores da organização utilizem os dispositivos móveis para realizar acessos à bases de dados e/ou sistemas e aplicações integradas. 

Também é válido investir em softwares de AntiSpam que minimizem as chances de mensagens de correio eletrônico maliciosas serem visualizadas pelos funcionários. Com certeza, é uma opção interessante de reduzir as chances de sucesso de um golpe digital. 

Com o objetivo de elevar o nível de proteção dos dados dos clientes, a Future conta com soluções que priorizam aumentar a segurança de dispositivos móveis. Em outras palavras, disponibiliza um recurso capaz de combater, com eficiência, os ataques direcionados para equipamentos como celulares e tablets.  

Saiba mais sobre segurança de dispositivos móveis com a Future

Para manter a segurança de dispositivos móveis, é indispensável haver um esforço direcionado para a melhoria contínua dos mecanismos de proteção. Afinal, os cibercriminosos estão empregando métodos cada vez mais avançados para atingir os objetivos e prejudicar cidadãos e empresas no mundo inteiro.  

Se está em busca de uma maior proteção para a rede e os dados institucionais, entre em contato conosco agora mesmo! Estamos dispostos a ajudar o seu negócio a atingir resultados cada vez mais expressivos. 

Quais são os principais desafios para encontrar dados pessoais?

Você já deve ter ouvido a frase de Clive Humby de que os “dados são o novo petróleo”. Em tempos de tecnologia, essa é uma verdade incontestável. Além disso, a coleta e utilização de dados pessoais ficou ainda mais valiosa depois do início da LGPD – Lei Geral de Proteção de Dados – no Brasil, no final de 2020. 

Isso porque a partir da LGPD, a coleta e o gerenciamento dos dados ficaram ainda mais restritivos. Mais do que nunca, para coletar e utilizar determinados dados, é necessário obter a expressa autorização dos proprietários. Caso contrário, as empresas podem sofrer multas que chegam a R$ 50 milhões. 

Para ter facilidade para encontrar os dados pessoais e solucionar outros desafios, preparamos as dicas a seguir. Siga conosco e confira! 

O que são dados pessoais

É uma informação que pode ser integralmente ligada a uma pessoa, representando nessa cadeia a associação de algo a um indivíduo. E ainda, segundo a SERPRO (Secretaria Federal de Processamento de Dados), trata-se de informações que permitem identificar qualquer pessoa viva. Nesta lista, estão, entre outros: 

  • Nome 
  • RG 
  • CPF 
  • Gênero 
  • Data e local de nascimento 
  • Telefone 
  • Endereço residencial 
  • Retrato em fotografia 
  • Prontuário de saúde 
  • Cartão bancário 
  • Renda 
  • Histórico de pagamentos 
  • Hábitos de consumo 
  • Preferências de lazer 

Dados sensíveis

Dentro da categoria de dados pessoais existem os dados sensíveis, que demandam ainda mais atenção quanto à coleta e, principalmente, uso. Entre seus principais tipos de dados, estão: 

  • Origem racial ou étnica 
  • Convicção religiosa 
  • Opinião política 
  • Filiação a sindicato ou a organização de caráter religioso 
  • Filiação a grupo filosófico ou político 
  • Informação referente à saúde ou vida sexual 
  • Dados genéticos ou biométricos 

É importantíssimo entender corretamente a utilização dos dados sensíveis, pois esses podem ferir diretamente a liberdade de seus titulares. 

Vale lembrar que a coleta dessas informações deve ser expressamente autorizada. No caso de crianças e adolescentes, essa autorização precisa vir dos pais ou responsáveis. Além disso, caso sejam feridas as leis protetivas da LGPD sobre a coleta dessas informações, é grande a possibilidade de a empresa sofrer consequências jurídicas. 

Dados anonimizados

São conhecidos como dados anonimizados aqueles cujos titulares não são identificados. Esses dados são processados para que se percam as conexões diretas com os indivíduos. São muito utilizados em estatísticas, além de alimentar o crescimento da Inteligência Artificial, Machine Learning e Internet das Coisas (IoT), que aprendem com diferentes informações sobre como tomar decisões melhores e mais rápidas. 

É importante saber que se houverem quaisquer meios de identificação dos proprietários desses dados eles deixam de ser anonimizados e podem ferir a LGPD

Mas atenção: existem também os dados pseudonimizados, que a princípio parecem não ter associação direta com uma determinada pessoa, mas quando olhados em conjunto com outros dados, acabam por identificar o proprietário. 

Quais riscos correm os dados desprotegidos?

O número de ciberataques, conforme noticiado em várias mídias, vem crescendo de forma exponencial. São grandes as chances de um indivíduo ser atacado nos dias de hoje, e são ainda maiores de acontecer com as empresas, principais alvos dos criminosos. 

Portanto, não é exagero dizer que seu negócio está na mira. E o que reforça isso é o estudo no qual foram registrados 8,4 bilhões de tentativas de ataques no país. É um número absolutamente assustador. 

Entre os principais tipos de ataques estão as tentativas de phishing (e-mails com links falsos). Ao clicar no link, o usuário pode ter o acesso ao seu dispositivo ou rede invadidos. 

Tratando-se de empresas, a consequência mais comum é que os hackers sequestram dados sensíveis e peçam quantias altas para o resgate, ameaçando a exposição desses dados caso tal resgate não seja pago.

Como proteger os dados pessoais?

Como você pôde ver, os riscos para os seus dados desprotegidos vêm de todos os lados. E o primeiro passo para protegê-los já se adequando às regras da LGPD é por meio do mapeamento dos dados pessoais. 

Mapeamento de dados

O mapeamento de dados (data mapping) auxilia a encontrar os diferentes tipos de dados e a categorizá-los. Com ele, é possível saber onde e como os dados trafegam, o que auxilia na identificação das informações. 

Ele possibilita um detalhamento das informações, classificando, por exemplo, se os dados são originários de clientes, parceiros ou colaboradores, bem como qual o grau de risco envolvido durante a coleta dessas informações e as regras de compliance que serão aplicadas. 

Como é o mapeamento de dados, na prática?

São 4 os passos principais para realizar o mapeamento de dados nas empresas. Confira abaixo cada um desses passos: 

1. Definir equipe multidisciplinar

Para um mapeamento completo, é fundamental a participação de diferentes áreas da empresa. Isso ajudará a identificar possíveis falhas técnicas e jurídicas no tratamento dos dados. A grande vantagem desse esforço é criar uma cultura voltada à proteção dos dados na empresa

2. Identificar o fluxo dos dados

Consiste em identificar as maneiras sobre como os dados passam por cada departamento, quais ferramentas são utilizadas, entre outros. 

Neste momento devem ser realizados, entre outros: 

  • Questionários para identificar o ciclo de vida dos dados na empresa; 
  • Entendimento sobre como os dados são compartilhados com terceiros; 
  • Avaliação de documentos existentes; 
  • Identificação de ativos e mapeamento de topologia (servidores, serviços e aplicações). 

3. Análise de riscos

A partir desse mapeamento, é possível identificar quais dados serão coletados, quais podem ser descartados e quais tratamentos fogem à LGPD. Além disso, é possível notar possíveis vulnerabilidades e criar políticas de acesso aos dados com a finalidade de evitar vazamentos. 

Isso permitirá um plano de ação completo e eficaz na proteção de dados

4. Emissão de relatórios e planos de ação

Como todo o mapeamento realizado e o risco avaliado, chega o momento de emitir os relatórios finais, incluindo o Plano de Ação para correção das falhas identificadas. 

Comece a cuidar dos dados pessoais em sua empresa

Um bom parceiro é indispensável para te auxiliar no mapeamento dos dados existentes e garantir as devidas proteções. 

A Future é uma empresa que atua há 24 anos protegendo os dados dos mais diversos clientes. Especializada na LGPD, a empresa contempla uma linha de soluções completas, de ponta a ponta, para dar toda a segurança necessária às informações sensíveis de sua empresa. 

Fale agora mesmo com um especialista e saiba como elevar o nível de proteção aos dados de sua empresa para evitar ataques e vazamentos. 

Como um SIC pode apoiar na adequação à LGPD?

O cuidado com as informações se tornou uma das ações mais estratégicas para empresas e órgãos públicos nacionais com o surgimento da Lei Geral de Proteção de Dados (LGPD). Afinal, erros graves de gestão, roubo e vazamento de dados podem provocar multas com base na legislação e danos à imagem e credibilidade. Para evitar essa situação, está havendo um maior foco na adesão ao Security Intelligence Center (SIC). 

Esse recurso tem como peça-chave proporcionar às companhias mais condições de enfrentar as ameaças virtuais com agilidade e eficiência, o que é essencial para manter o ambiente de TI devidamente protegido contra os cibercriminosos. Com os ataques cibernéticos sendo cada vez mais sofisticados, é necessário adotar mecanismos para minimizar riscos e perdas. 

Neste artigo, vamos apontar diversos detalhes sobre como o SIC pode ser útil para as organizações estarem mais preparadas e menos vulneráveis às ações de cibercriminosos no tocante a privacidade. Confira! 

O que é o Security Intelligence Center?

Consiste em uma central de segurança, com funcionamento no sistema 24/7/365, atuando de maneira ininterrupta para manter os serviços de uma instituição com elevado nível de proteção. 

Um aspecto positivo dessa central é a capacidade de fazer um monitoramento inteligente, permitindo identificar de forma ágil e proativa as ameaças virtuais. Para isso, conta com profissionais altamente capacitados e com o uso de métodos e ferramentas que previnem e eliminam tentativas que possam gerar incidentes de segurança

Também vale destacar que o SIC é uma evolução do Security Operation Center (SOC). Em virtude das táticas dos hackers estarem evoluindo de forma contínua, é muito importante que as organizações contem com recursos avançados para diminuir ao máximo problemas relacionados com a dificuldade de manter os dados protegidos.  

Como o SIC funciona

Ter mecanismos avançados para enfrentar os hackers com eficiência é, sem dúvida, um fator que merece ser levado em consideração. Com o objetivo de ajudar você a compreender isso melhor, vamos mencionar como o Security Intelligence Center age para proporcionar um maior nível de segurança aos usuários. Acompanhe! 

Antecipando ameaças

Analisar o ambiente de TI de maneira ágil e eficiente é crucial para uma organização estar mais segura. Por isso, apostar no SIC consiste em uma medida inteligente para antecipar ameaças com uma postura mais proativa. 

Por meio de relatórios, a solução permite avaliar como minimizar as vulnerabilidades na rede corporativa. À medida que há uma visão mais ampla sobre como os cibercriminosos estão tentando roubar informações, maiores são as possibilidades de utilizar os procedimentos corretos de proteção. 

Não há dúvidas de que investir em segurança da informação de forma estratégica é a melhor alternativa para manter os sistemas institucionais e os serviços digitais com um alto nível de disponibilidade. Com a transformação digital cada vez mais enraizada, isso não pode ser ignorado em hipótese alguma.  

Detectando riscos

Com a implantação do SIC, podem ser configurados alertas personalizados. Assim, é viável identificar, com mais rapidez, as tentativas de acesso indevido. Ter à disposição um recurso moderno para a notificação de eventos é um elemento que ajuda na melhoria contínua do uso de mecanismos voltados à proteção dos dados. 

A velocidade em constatar a presença de ameaças contribui para elevar o nível de segurança de um ambiente de TI. Quanto mais rápido forem empregadas ações para combater as ações de cibercriminosos, maiores são as chances de evitar problemas graves, como o vazamento de dados, alvo principal da LGPD.  

A inserção no mundo digital exige das organizações uma maior capacidade de identificar riscos. Nenhum serviço público ou privado pode ficar várias horas inacessível para os cidadãos, porque isso afeta negativamente o atendimento às demandas e o nível de satisfação dos usuários.   

Solução e proteção

Cada instituição tem uma realidade que precisa ser analisada com muita atenção. Tratar uma corporação financeira da mesma forma que, por exemplo, uma indústria é um erro que não pode ser cometido pelos gestores de TI. Por isso, o SIC tem como elemento marcante disponibilizar recomendações de segurança personalizadas. 

Ou seja, o ambiente de TI é analisado considerando o contexto em que o cliente está inserido e o tráfego de informações. Uma avaliação precisa é fundamental para que os mecanismos de segurança sejam mais efetivos e minimizem os riscos de ataques virtuais alcançarem as metas estabelecidas.   

Um monitoramento eficiente é cada vez mais necessário para proteger os dados e dificultar ao máximo as ações de hackers. E isso somente se torna possível quando há um investimento em soluções avançadas de proteção dos dados.   

Qual sua importância na LGPD?

O avanço tecnológico tem como uma das principais consequências a capacidade de os cibercriminosos adotarem processos cada vez mais sofisticados para roubar informações de uma instituição. Essa situação deve ser evitada ao máximo, porque causa transtornos ao público-alvo e pode resultar em multas relacionadas com o descumprimento das normas da LGPD

Dependendo do caso, é possível uma organização ser obrigada a pagar até R$ 50 milhões ou 2% do seu faturamento bruto. Para minimizar os riscos de conviver com prejuízos financeiros e de imagem, uma excelente alternativa é apostar em recursos com grande capacidade de proteger os dados

Essa conjuntura mostra como o investimento no SIC é uma boa escolha para uma instituição não apenas estar menos sujeita a vazamentos de dados, mas também demonstrar maturidade em segurança da informação, adequação às leis e normas e governança, de forma estratégica e inteligente, o que melhora a reputação e credibilidade, elementos bastante positivos para engajar os stakeholders. 

Saiba mais sobre o SIC

É muito importante contar com soluções modernas de segurança, porém é crucial ter parceiros que saibam usar a tecnologia a favor do seu negócio. Com foco em resultados concretos para seus clientes, a Future tem um robusto centro de inteligência e monitoramento. 

Ao priorizar investimentos planejados em recursos de ponta, uma organização pode contar com ferramentas avançadas e atualizadas. Essa ação é fundamental para ter à disposição um SIC que seja capaz de identificar vulnerabilidades e combater as ameaças digitais de forma estratégica. 

Se está à procura de uma solução diferenciada para proteger seus dados, realizar adequação à LGPD e aumentar a maturidade de segurança da sua organização, entre em contato com a nossa equipe agora mesmo! Estamos à disposição para tirar todas as suas dúvidas e garantir uma maior sustentabilidade para a sua instituição! 

ISO 27701: a norma da Privacidade

ISO 27701, uma extensão ISO 27001, é uma norma internacional focada em gestão de privacidade de dados. Seu principal objetivo é definir os requisitos adicionais à norma de segurança, de modo que o tratamento das informações considere a questão da privacidade das mesmas.  

Por se tratar de uma norma generalista, é aplicável a organizações de diferentes portes e segmentos de mercado, sendo estas do setor público ou privado. Graças a isso, as empresas podem utilizá-la como base para se adequarem à Lei Geral de Proteção de Dados (LGPD), e as demais leis deste tipo que foram criadas ao redor do mundo nos últimos anos. 

Neste artigo destacaremos o que é a ISO 27701, suas vantagens e para quem é indicada. Além disso, destacaremos o passo a passo para sua implantação. Acompanhe a seguir. 

Qual a diferença entre a ISO 27001 e a ISO 27701?

A ISO 27001 é a norma que estabelece os controles necessários para uma adequada gestão de segurança da informação. Por meio dessa norma, torna-se possível implantar os princípios de segurança da informação de maneira eficiente e eficaz. 

Já a ISO 27701 endereça especificamente a questão das informações relacionadas a privacidade, trazendo para isso controles adicionais a ISO 27001. Ou seja, a implantação da 27701 depende da implantação 27001.  

Como a ISO 27701 apoia a Lei Geral de Proteção de Dados?

Antes de prosseguirmos com este artigo é necessário entendermos o conceito básico da Lei Geral de Proteção de Dados (LGPD).  

LGPD está em vigor no Brasil desde agosto de 2020, tendo como objetivo garantir a transparência e a segurança no tratamento de dados pessoais por parte das empresas. Baseia-se na General Data Protection Regulation (ou Regulamento Geral sobre a Proteção dos Dados), uma lei europeia que define as regras sobre a coleta e o compartilhamento de informações pessoais, respeitando os princípios da privacidade e da liberdade. 

Entretanto, a LGPD, assim como as leis de privacidade específicas de cada país, determina o que deve ser feito, mas não como deve ser feito. E neste momento chegamos a ISO 27701. Esta norma pode, e deve, ser utilizada como um direcionador para implantar os controles necessários para uma adequada gestão de privacidade, dando assim um maior respaldo legal à empresa que a implanta. 

Quais as vantagens da ISO 27701?

A ISO 27701 é capaz de proporcionar diversos benefícios para as empresas. Entre os principais estão: 

  • mostrar aos funcionários, fornecedores e clientes que a empresa se preocupa com seus dados, melhorando assim a imagem da empresa perante o mercado; 
  • otimizar os processos internos referentes à proteção dos dados pessoais, reduzindo o risco de vazamento de dados; 
  • conscientizar os funcionários sobre a importância da segurança e da privacidade das suas informações; 
  • proporcionar transparência nos controles direcionados à gestão da privacidade, pois todos saberão como os dados são tratados; 
  • facilitar o fechamento de acordos com parceiros que se preocupam com o tema da privacidade; 
  • E, finalmente, direcionar a adequação à Lei Geral de Proteção de Dados e às outras leis relacionadas à privacidade. 

Para quem a ISO 27701 é indicada?

A ISO 27701 é recomendada para as empresas que realizam o armazenamento e/ou tratamento de informações pessoais em larga escala, ou para fornecedores de empresas que os fazem. 

É cada vez mais comum a inclusão de cláusulas relacionadas à privacidade em minutas contratuais, e uma certificação como a ISO 27701 traz a tranquilidade do cumprimento de tais cláusulas para ambas as partes. 

Como implementar a ISO 27701?

Primeiramente, a empresa deve adequar-se aos controles definidos na ISO 27001, que, como mencionado anteriormente, é a norma base para essa. Depois de tal adequação, os próximos passos são: 

  • Avaliar os processos corporativos, identificando aqueles que tratam informações pessoais; 
  • Adequar os processos corporativos à norma; 
  • Implantar os demais controles especificados na norma; 
  • Promover treinamentos regulares para todos os colaboradores, garantindo que os mesmos seguirão as novas práticas de gestão de segurança da informação
  • Contratar uma instituição avaliadora para verificar se a sua organização adota os processos da ISO 27701 de forma adequada. 

Como a Future pode te ajudar?

Sabemos que a execução dos passos citados acima não é algo simples, dependendo de conhecimento específico e da disponibilidade de recursos (humanos e financeiros). 

Com ampla experiência em processos de avaliação e adequação à LGPD, a Future destaca-se no mercado brasileiro como uma das principais alternativas para apoiar empresas de todos os portes e segmentos em sua jornada de adequação à ISO 27001. Conte conosco. 

Ficou com alguma dúvida sobre a ISO 27701? Entre já em contato conosco! Nós, da Future, estamos disponíveis para ajudá-lo a esclarecer os seus questionamentos. Será um grande prazer auxiliá-lo! 

Controle de acesso será fundamental para atender regras do LGPD

Um dos pontos chave da Lei Geral de Proteção de Dados Pessoais (LGPD), que entra em vigor em agosto de 2020, são as regras relacionadas ao registro de atividades de processamento em relação aos dados pessoais, incluindo a necessidade de controladores e operadores manterem o registro das operações de tratamento de dados (Artigo 37) e a formulação de boas práticas de governança (Artigo 50). Mas será que as empresas estão preparadas para atender às novas exigências?

Levando em consideração um estudo realizado pela Varonis no último ano, que revelou que 64% das organizações dizem não saber onde seu conteúdo sensível está localizado e quem pode acessá-lo, as empresas ainda têm um longo caminho pela frente para atenderem às novas regras.

Segundo a última edição do Varonis Data Risk Report, divulgada em 2018, 21% de todas as pastas em uma empresa são abertas a todos os funcionários, e 88% das organizações com mais de 1 milhão de pastas têm mais de 100 mil abertas para qualquer membro da equipe. Ou seja, quase não há controle e nem registros do que é realizado dentro dos arquivos de dados e por quem.

Saber onde estão localizadas as informações pessoais que precisam ser protegidas é só o primeiro passo para estar em conformidade com a LGPD. Uma vez que você sabe onde está localizado o conteúdo sensível, os maiores desafios vêm a seguir: entender quem tem acesso a essas informações, quem está usando, quem é o dono, se foram violados, se podem ser excluídos, se oferecem riscos e quem vai ser afetado com uma eventual mudança em seu conteúdo.

O LGPD, mesmo sendo algo relativamente novo – especialmente para as empresas que não foram afetadas pelo GDPR, a lei europeia de proteção de dados –, reafirma uma boa prática já bastante conhecida dos especialistas de segurança, mas frequentemente esquecida pelos líderes de negócio: quanto mais sensíveis são as informações, menos pessoas devem ter acesso a esses dados.

Isso reforça a necessidade de contar com as ferramentas adequadas para controle de acesso às informações e, principalmente, para realização de análises de segurança das informações de forma rápida e fácil, focando nos dados de arquivos específicos ou até nas atividades de um indivíduo ou grupo de indivíduos em relação às informações que acessam.

Assim, as empresas vão poder definir amplamente tendências nas atividades de acesso da empresa, incluindo a presença de dados obsoletos sensíveis que estão gerando riscos desnecessários ao negócio. Segundo informações do último Varonis Data Report, 76% de todas as pastas contêm dados obsoletos, um problema que, inclusive, também é previsto pelo LGPD, uma vez que a lei deixa claro que as empresas só podem manter informações enquanto forem necessárias e, caso não atendam a esse requisito, devem eliminá-las permanentemente.

Ou seja, contar com as ferramentas adequadas para controle de acesso e análise de segurança das informações para a LGPD, além de facilitar a geração de relatórios para dar aos auditores o poder de determinar se as políticas de segurança apropriadas estão em aplicação, vai melhorar a estratégia de segurança de dados como um todo, reduzindo os riscos para o negócio.

Diante deste cenário, buscar soluções equipadas com tecnologias de análise do comportamento do usuário, como o User Behaviour Analytics (UBA), vai ser o foco para estar em conformidade com o LGPD. Como detectam atividades em tempo real, mostrando exatamente onde um problema está acontecendo, essas tecnologias permitem identificar com precisão quais dados e quais clientes vão ser afetados, aumentando a velocidade de resposta.

Sua empresa já está adequada à LGPD? A Future pode ajudar! Preencha o formulário abaixo e entre em contato conosco.

Fonte: IT Forum 365.

Read More

Impactos das mudanças na Lei de Proteção de Dados Pessoais

Quem acompanha de perto as estratégias políticas predominantes em nosso país, sabe que, há vários anos, se tornou hábito sancionar pacotes de medidas provisórias no término de mandato presidencial ou final de ano letivo. Portanto, não chegou a ser surpresa a edição da Lei de Proteção de Dados Pessoais – LGPD – Lei 13709/18 – via a publicação da Medida Provisória 869 em 28/12/2018, que trouxe novidades relevantes àquelas organizações ou pessoas físicas que são alvo da lei.

A MP 869/18 teve por objetivo preencher uma lacuna importantíssima, decorrente do veto presidencial que revogou a criação da Agência Nacional de Proteção de Dados – ANPD. A justificativa do veto era que o Poder Legislativo não tinha poderes para propor a criação de uma autarquia vinculada ao Ministério da Justiça, que por sua vez, exercesse suas atividades com independência orçamentária. Daí a fórmula estratégica adotada na Medida Provisória, foi modificar a vinculação hierárquica do órgão mudando o conceito original, para vinculá-lo diretamente com a Presidência da República, sem aumento de despesas à União e com autonomia técnica.

Esta escolha indubitavelmente afetará a autonomia, independência e as decisões de caráter essencialmente técnico inerentes ao tema, em relação ao conceito previsto na primeira versão da Lei de Proteção de Dados Pessoais. Fica no ar uma dúvida: até que ponto uma futura decisão política da Presidência da República poderá suplantar uma análise técnica e independente sobre o escopo da LGPD?

Em outras palavras, a vinculação direta com a Presidência da República, poderá diminuir o alcance do poder das decisões da ANPD, sobretudo se comparado, por exemplo, com a atuação do CADE, quanto a fixação das penalidades ou decisório sobre temas essencialmente técnicos e avessos a interesses políticos?

A formação multissetorial do Conselho Nacional de Proteção de Dados mitiga a influência do Poder Executivo sobre as decisões tomadas pela Autoridade, mas pode não ser suficiente para impedir o sufocamento da autonomia do órgão.

A ANPD não terá função apenas reguladora, mas também sancionadora das penalidades previstas quanto a violação do tratamento de dados pessoais, em busca de efetividade ao controle e fiscalização. Órgãos com funções semelhantes já existem em mais de cem países, que já haviam aprovado anteriormente ao Brasil legislações correlatas para regulamentar a coleta de dados online e offline, o tratamento e transferência internacional de dados, a privacidade, além da implantação de mecanismos de proteção que assegurem ao titular meios para exercer seus direitos e evitar o uso inadequado ou abusivo de seus dados pessoais.

Os pontos relevantes modificados pela Medida Provisória 869/2018, para aqueles que deverão se adequar à Lei Geral de Proteção de Dados Pessoais, que entrará em vigor a partir de 15 agosto de 2020, são os seguintes:

1. Aumento do prazo para adequação aos requisitos da LGPD

A exemplo do que ocorreu na União Europeia, o prazo para a vigência efetiva da LGPD, foi dilatado de dezoito para vinte e quatro meses, ou seja, as adequações necessárias deverão ser efetivadas até 15 de agosto de 2020.

2. Ampliação do escopo de aplicação da LGPD

A primeira versão da LGPD teve o escopo bem ampliado para definir quem deveria se sujeitar ao seu cumprimento. Ou seja, serão alvo da lei aqueles cuja atividade de tratamento de dados tenha por objetivo, a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional. Anteriormente o foco se restringia apenas aos dados pessoais, cujo objeto do tratamento tenha sido coletado no território nacional.

3. Mudança quanto ao perfil do encarregado da Proteção de Dados Pessoais

A MP 869/18 modificou a atribuição do perfil deste profissional, que deverá existir em todas organizações que se submeterem à LGPD. Este encarregado exercerá o cargo de representante legal para interlocução junto a ANPD além diversas atividades operacionais previstas na lei. Ao contrário do que se interpretava inicialmente, sobre qual deveria ser a relação desta figura com a empresa, restou claro que este encargo não é mais referenciado como sendo contratação como celetista ou de exclusividade de uma pessoa natural. Com as mudanças, está claro que esta atividade poderá ser terceirizada, seja para um escritório de advocacia, prestador de serviço, comitê ou até mesmo um grupo de trabalho especializado sobre o tema.

4. Autorização para que entidades privadas possam tratar dados pessoais sensíveis

A MP 869/18, revogou o trecho da LGPD que impedia que entidades privadas tratassem dados pessoais referentes a órgãos públicos, tais como: segurança pública, defesa, segurança ou atividades de investigação e repressão de infrações penais.

Algumas destas mudanças recaem sobre os dados sensíveis, que informações sobre origem racial ou étnica, convicções religiosas, opiniões políticas, saúde ou vida sexual.

5. Flexibilização quanto ao tratamento de dados pessoais no setor da saúde

A norma também ampliou a possibilidade do tratamento de dados pessoais sensíveis na área da saúde. A versão anterior da LGPD proibia a comunicação ou o uso compartilhado de dados sensíveis do setor da saúde, com o objetivo de obter vantagem econômica, exceto com o consentimento do titular nos casos de portabilidade.

Agora, a exceção foi ampliada e passa a valer também para casos de necessidade de comunicação para a adequada prestação de serviços de saúde suplementar, ou seja, as atividades que demandem a necessária troca de dados de vários serviços públicos de saúde suplementar.

6. Alcance da atuação da Agência Nacional de Proteção de Dados

A ANPD terá atribuições para criar normas regulamentadoras da Lei Geral de Proteção de Dados, tornando-a mais efetiva, além de determinar as diretrizes específicas que atendam as necessidades de cada ramo de atividade que trata com determinadas informações pessoais de brasileiros, de acordo com sua área de prestação de serviço.

7. Exclusividade da Agência Nacional de Proteção de Dados para aplicar sanções

A ANPD atuará como o órgão central de interpretação das questões relativos à LGPD, podendo requisitar informações, relatórios sobre o tratamento de dados ou qualquer outro diligenciamento dirigido aos controladores e operadores que exerçam o tratamento de bases de dados pessoais, para exercício de suas atividades.

A agência terá exclusividade para aplicar sanções na hipótese de tratamento de dados em descumprimento à legislação, mediante processo administrativo. A Medida Provisória prevê ainda que a atuação da Agência seja articulada com o Sistema Nacional de Defesa do Consumidor e com outros órgãos e entidades ligadas ao tema de proteção de dados pessoais.

Esta exclusividade legal hoje conflitaria, com o papel exercido pelo Ministério Público, que tem atuado de forma proativa, mesmo antes da vigência da lei, para propor termos de ajustes de conduta e multas em caso de vazamento ou outros incidentes envolvendo dados pessoais.

8. A possibilidade de requisição de relatórios de impacto à proteção de dados

Segundo a versão anterior da LGPD, a Autoridade Nacional de Proteção de Dados poderia requisitar ao Poder Público ou as empresas, a apresentação de relatórios de impacto à proteção de dados, nos casos de tratamento de dados para fins públicos e de segurança. Com a nova redação, essa possibilidade deixa de existir, o que dificultará a fiscalização das atividades dos órgãos públicos ou empresas que estejam operando estes dados.

9. Obrigações quanto a transparência das comunicações para o titular dos dados nos casos de cumprimento de obrigação legal e política pública

A obrigação dos controladores de dados pessoais em informar ao titular de forma clara e transparente acerca de qualquer atividade quanto ao tratamento de dados foi reduzida. Com a mudança, não será mais necessário alertar ou buscar o consentimento do titular, quando seus dados forem tratados para fins de cumprimento de obrigação legal ou de política pública.

10. Tomada de decisões automatizadas sobre revisão de dados pessoais

O direito do titular à revisão de seus dados pessoais se mantém, mas esta atividade não demandará ser exercida obrigatoriamente por uma pessoa natural. Ou seja, poderá ocorrer atendimento sistêmico para sanar estas dúvidas.

Foi excluída a possibilidade da ANPD de conduzir auditoria, para verificação de aspectos discriminatórios no tratamento automatizado de dados pessoais. Entretanto, a autoridade poderá a qualquer momento requisitar informações acerca do assunto aos controladores e operadores.

11. Uso compartilhado de dados pessoais pelo poder público

Está preceituado na Medida Provisória, a transferência de dados pessoais de responsabilidade do Poder Público para entidades privadas. Será necessário, entretanto, que sejam atendidos os seguintes requisitos: i) o ente privado ter um encarregado; (ii) havendo previsão legal ou em instrumentos jurídicos administrativos; (iii) quando a transferência for para fins de prevenção à fraude, segurança e integridade do titular dos dados; e (iv) dados forem publicamente acessíveis.

Conclusão

Em resumo, se por um lado a MP 869/18 ampliou o prazo para a adequação à Lei de Proteção de Dados Pessoais em seis meses, por outro, a lacuna que faltava para garantir a maior efetividade do poder regulatório sobre dados pessoais em nosso país foi preenchida.

É inegável as mudanças no texto da LGPD flexibilizaram as operações envolvendo dados pessoais em vários níveis, sobretudo criando diversas vantagens para o Poder Público em suas atividades operacionais.
Ainda é duvidoso o alcance da autonomia que uma autoridade fiscalizadora de um absolutamente tema técnico, submissa a Presidência da República onde, como se sabe sempre prevalece o aspecto político como centro das decisões.

Embora a Medida Provisória 869/18 tenha aplicação imediata, sua conversão em lei, está sujeita a aprovação do Congresso Nacional no prazo máximo de 60 dias, o que significa dizer que sua aprovação será na próxima legislatura.

Sabemos que as diversas obrigações legais que estarão vigentes, afetarão inúmeras atividades operacionais de todos aqueles que se sujeitam à lei, ainda não foram nem de longe sanadas ou sequer analisadas de modo a dar início a rota pela conformidade.

Aqueles que exercem o poder decisório se tornaram alvo de possíveis sanções sobre proteção de dados pessoais tratados em suas organizações. Porém, estes ainda não foram sensibilizados sobre o tema. Sobretudo, devido a um equívoco costumeiro de confundir o assunto como sendo mais um projeto da área de tecnologia da informação. Esta premissa é falsa.

Na verdade, a adoção de medidas protetivas quanto aos dados pessoais deixou de ser uma boa prática para ser tornar obrigação legal. Estas atividades se somam a reputação na mídia digital, segurança cibernética, compliance para formar a estratégia de governança digital corporativa.

Como se sabe, governar não é atribuição operacional dos encarregados de tecnologia da informação, mas sim do board que exerce o poder decisório. Na maioria das vezes estes sequer sabem disso, a não ser que um dia uma sanção lhes venha a ser aplicada.

Isto não é um problema atinente apenas a quem exerce o poder decisório, mas também do titular de dados que sequer ainda amadureceu para conhecer de fato os seus direitos e possíveis violações.

O caminho da conformidade legal para a proteção de dados pessoais no Brasil é muito mais longo do que se imagina. Se existia um óbice legal em retardar que as empresas começassem esta rota, devido ao veto quanto a criação da Agência Nacional de Proteção de Dados pessoais, este óbice já não mais existe. O timer está ligado e o período de adequação é muito mais curto do que parece.

Você está preparado? Sua empresa está preparada? A Future é parceira dos maiores fabricantes de segurança, disponibilidade e performance do mundo; e está pronta para auxiliar na adequação de sua empresa a LGPD! Clique aqui e entre em contato conosco!

Fonte: CIO.

Read More

LGPD deve liderar investimentos em cibersegurança em 2019

O assunto segurança da informação tem ganhado destaque dentro das empresas – seja pelo bem ou pelo mal. O ano de 2018, por exemplo, registrou inúmeros casos de vazamento de dados que resultaram em prejuízos financeiros e desgastes para a reputação de grandes empresas.

Para a Blockbit, fornecedora global de produtos de cibersegurança, esses incidentes representam desafios ainda maiores para organizações nos próximos anos.

Marcel Mathias, Diretor de P&D da Blockbit, comenta que, no Brasil, a partir de 2019 as empresas precisarão definir investimentos para estar em compliance com a LGPD (Lei Geral de Proteção de Dados) – recentemente aprovada pela Presidência da República -, protegendo clientes de forma adequada, prevenindo o vazamento de dados e evitando severas penalidades.

Para o especialista, empresas passarão a se preocupar mais com a proteção de dados por conta do reforço da lei. “Mas essa é uma mudança boa para o mercado, pois nos últimos anos vimos inúmeros incidentes ocorrer por falta de adoção de medidas de segurança da informação, seja em relação a tecnologia basilar, seja em relação a gestão eficaz”, disse.

Liderada pela adaptação à LGPD, as seis tendências de cibersegurança para 2019 são:

Privacidade com transparência

A LGPD determina a adoção de medidas técnicas de segurança, mas não define quais. E para definir medidas adequadas, as empresas precisão aumentar a visibilidade sobre o seu ambiente de TI. As ferramentas de proteção ativa contra ameaças (detecção) serão importantes, mas também as de gestão de vulnerabilidades (prevenção) e registro de atividades (auditoria). Segundo Mathias, além da proteção, para estar em conformidade as organizações também devem estar preparadas para reportar eventuais incidentes e ataques aos órgãos competentes. “Esse estágio também demanda tecnologia integrada a todas as ferramentas e garante não apenas a conformidade com a lei, como mais transparência”, apontou.

Menos complexidade na gestão de cibersegurança

“As empresas devem estar preparadas para ameaças cada vez mais avançadas, mas precisam de soluções que simplifiquem suas análises, tornando a tomada de decisão mais ágil”, alertou o executivo. Para ele, os próximos anos serão decisivos para posicionar a segurança da informação como fator estratégico para as empresas. Para investir mais em cibersegurança, o mercado demandará soluções mais integradas, que diminuam a complexidade da gestão de segurança e overhead financeiro e técnico.

Segurança no escopo

Mathias alerta também para a necessidade urgente que é adotar segurança desde o escopo de desenvolvimento (security by design) de qualquer produto ou serviço. Tecnologias como internet das coisas (IoT), computação em nuvem e soluções para mobilidade avançam ano a ano e será preciso oferecer uma experiência mais segura para os usuários.

Máquinas inteligentes

Outra tendência crescente é o uso de machine learning, mas esta é uma faca de dois gumes. Por um lado, a indústria está evoluindo e empregando técnicas baseadas em aprendizado de máquina para detectar ameaças e ataques. Por outro, esse mesmo aprendizado pode ser aplicado pelos criminosos, para desenhar e customizar suas técnicas. Ou seja, como é utilizada para garantir a segurança das informações, a tecnologia também será aplicada para desenvolver ataques cada vez mais sofisticados.

A onda de sequestros virtuais continua

Ransomware continuará a preocupar nos próximos anos, porém inaugurando uma nova era de ataques mais direcionados. Com a perspectiva maior retorno financeiro, os alvos serão principalmente as pessoas jurídicas e os ataques mais customizados.

Contudo, a onda de sequestros abrangentes não perderá força, porém a principal ameaça será o criptojacking, um golpe baseado na exploração de dispositivos (mobile e desktop) para minerar criptomoeadas. A diferença desta técnica é que não interessa ao atacante bloquear as funções do dispositivo, como no caso do ransomware. Ao contrário, interessa a exploração anônima de um dispositivo em pleno funcionamento, para minerar por mais tempo.

Em ambos os casos, haverá uma grande demanda de uso de serviços de Threat Intelligence, monitorando atividades na Deep Web, onde há uma rede de troca de informações e venda de aplicações maliciosas para promover estes tipos de ataque.

Atenção às técnicas básicas

Embora não sejam novidades, ataques distribuídos (DDoS), ataques baseados em força bruta e, principalmente, as técnicas a serviço da engenharia social, que focam na camada humana, continuarão crescendo. A evolução dos formatos de phishing e fraudes cibernéticas é um grande ponto de atenção e demanda que as empresas sejam diligentes na gestão de segurança e incentivem os seus usuários a conhecer mais sobre cibersegurança. “O aperfeiçoamento na engenharia social é constante, pois funciona como uma primeira etapa para diversos tipos de golpes, explorando a camada mais suscetível a falhas, que é o usuário”, finalizou Mathias.

Quer investir em cibersegurança em 2019 e adequar sua empresa ao LGPD? Conte com uma consultoria Future! Somos parceiros dos maiores fabricantes de segurança, disponibilidade e performance do mundo! Clique aqui e entre em contato conosco.

Fonte: ComputerWorld.

Read More

Classificação de dados é a chave para proteger as informações, incluindo o cumprimento das normas GDPR e LGPD

Martin Sugden, CEO da Boldon James, esteve no Brasil esta semana e alertou para o cumprimento da LGPD: “as empresas precisam saber que tipo de informação têm, se são armazenadas e como lidar com isso”.

Embora as organizações estejam cada vez mais preocupadas com a proteção de dados, muitas não possuem as ferramentas adequadas para proteger suas informações e não aplicam a classificação de dados a seus processos de coleta, processamento e tratamento de dados.

Os sistemas foram projetados para visualizar os dados como “pertencentes à empresa” e não ao “indivíduo que os compartilhava” com a organização. Com a chegada do GDPR e da LGPD, as organizações estão tendo que se adaptar à nova realidade.

Martin Sugden, CEO da Boldon James, esteve no Brasil esta semana para conversar clientes e parceiros locais e em um encontro com jornalistas, alertou para o cumprimento da LGPD: “As empresas precisam saber que tipo de informação têm, se é armazenado e como lidar com isso”.

De acordo com Sugden, “Depois de entender as informações que você tem e onde as informações são armazenadas, você pode tomar decisões sobre o nível de segurança a ser aplicado, quem pode acessá-las, caso seja criptografada ou anônima. A estratégia de segurança atual deve levar em conta que as regras de GDPR e LGPD são rígidas e que qualquer informação deve ser protegida onde quer que ela esteja, incluindo em dispositivos móveis, na cadeia de suprimentos ou com consultores”, comentou. “Os usuários precisam conhecer, entender e aplicar as políticas de segurança das organizações”, enfatizou.

Martin Sugden citou pesquisas recentes que apontam que pelo menos um terço dos executivos de TI afirmam que a segurança móvel é uma das maiores preocupações, especialmente porque práticas de trabalho modernas envolvendo dispositivos móveis, mídias sociais e BYOD, “o que facilita a perda ou o compartilhamento de dados”, afirmou ele.

De acordo com o CEO da Boldon James, as empresas de serviços financeiros relatam mais preocupações sobre segurança de dados, mas são elas que estão entre as empresas que mais investem em políticas e ferramentas de classificação de dados. Com o GDPR e LGPD, os investimentos das instituições bancárias e financeiras em segurança devem aumentar.

“Outras organizações devem seguir o mesmo caminho, para que possam proteger melhor seus dados vitais de negócios”, enfatiza Sugden, que trabalha há 30 anos no desenvolvimento de técnicas de classificação de dados. Ele é responsável por inúmeros projetos pioneiros de classificação de dados em grandes empresas em vários países.

A solução Boldon James permite que as etiquetas sejam filtradas para manipular, reter ou enviar documentos com segurança fora das organizações, seja para dispositivos móveis, parceiros ou clientes. Por exemplo, o executivo lembrou que no ano passado um USB foi encontrado em uma rua de Londres com 76 arquivos sobre a rota tomada pela rainha Elizabeth ao usar o aeroporto de Heathrow, incluindo o horário das patrulhas do aeroporto contra ações terroristas.

“Esses dados não devem ser baixados e devem ser criptografados. Um rótulo simples acionaria uma ferramenta de gerenciamento de direitos para impedir que isso acontecesse”, comentou.

“Você sabe o que é crítico em sua empresa? Se a tecnologia de classificação de dados fosse aplicada em conjunto com uma solução de prevenção de perda de dados ou gerenciamento de direitos, essa perda de dados sensível provavelmente teria acontecido”, disse Martin Sugden.

A Boldon James atua no Brasil através de uma rede de parceiros locais, incluindo Apura, Netconn e B & A – Brasiliano & Associados. Para a empresa brasileira deve considerar as oportunidades que a GDPR e LGPD oferecem para elevar o nível de segurança dos dados.

“Os parceiros locais podem ajudá-lo a fornecer uma solução abrangente para atender às suas demandas regulatórias”, destaca o executivo.

Quer adequar sua empresa ao LGPD e/ou GDRP? Conte com a Future! Clique aqui e entre em contato conosco.

Fonte: CryptoID.

Read More

Lei de Proteção de Dados impõe novos comportamentos a usuários e empresas

Há poucos meses do início de sua vigência, a Lei Geral de Proteção de Dados ainda é terreno obscuro às empresas (públicas e privadas) e também aos usuários brasileiros. O tema, que já vinha sendo discutido no país desde o ano 2000, ganhou relevância após a aprovação do GDPR (General Data Protection Regulation), na Europa, em maio deste ano, possibilitando maior controle das pessoas sobre suas informações pessoais.

Segundo Roberto Stern, CEO da Adamos Tecnologia, apesar de ambas terem nomes semelhantes, o GDPR e a LGPD possuem alguns aspectos diferentes. “A GDPR é mais abrangente e detalhista. A LGPD tem diversos aspectos dúbios e sem definições detalhadas, salvo a regulação da proteção e armazenamento de dados pessoais”, explica Stern, especialista em segurança da informação.

Nos poucos meses de vacatio legis, empresas públicas e privadas, bem como os usuários de seus serviços, precisam se adequar aos aspectos legais e entender a nova dinâmica comportamental que ela gerará a partir da sua incidência, em fevereiro de 2020. Entre os principais desafios que a LGPD traz é a adoção reiterada e demonstrada de mecanismos e políticas internas capazes de minimizar o dano e demonstrar o tratamento seguro e adequado aos dados pessoais, tudo atrelado a um sistema de governança voltada à imediata implementação de medidas corretivas. Porém esses procedimentos não são a realidade em 80% das empresas internacionais, ou seja, as de grande porte, que dirá as nacionais”, aponta Stern.

Segundo o executivo, apesar de alarmante, é bastante comum grandes provedoras de internet, de serviços de e-mail, cloud e até fornecedoras de software não terem um sistema criptografado para a armazenar os dados de seus clientes. “Casos famosos de vazamento de dados provam isso, como ocorrera com o Yahoo, a Netshoes, o Facebook e o Ashley Madison, por exemplo, o que deve ser visto com bastante preocupação pelos usuários, ainda mais quando comparada a estrutura das gigantes do Vale do Silício às empresas nacionais, públicas ou privadas”, alerta o especialista.

Para o executivo, como o objetivo da LGPD é trazer maior segurança aos dados e, ao mesmo tempo, maior autonomia aos usuários, que poderão ou não autorizar a coleta, o compartilhamento e o tratamento de seus dados pessoais e até optar pelo esquecimento, a população deve ser alertada para a nova e importante dinâmica que a LGPD traz. “Cada pessoa terá o direito ao correto tratamento, armazenamento, correção, sigilo e à criptografia de seus dados”.

“A lei, como qualquer outra, não pretende evitar o uso indevido, mas dará o respaldo jurídico para que cada usuário recorra ao Poder Judiciário fazendo com que os que hajam ilegalmente sejam processados por suas inadvertências, abusos ou fraudes, correndo o risco de pagar multas altíssimas”, aponta o especialista.
Algumas dessas adequações, é manter os dados pessoais de forma segura e sigilosa, ou seja, as empresas necessariamente precisarão adotar um sistema criptografado para realizar o armazenamento e compartilhamento (quando permitido pelo usuário) o mais inviolável possível. “Manter os dados da empresa num backup, em nuvem, e 100% criptografado não será mais uma opção, mas sim uma obrigação. Na Adamos, o que mais chamou nossa atenção, a partir da promulgação da LGPD é que já estávamos com nossa solução, o Safe Cloud Backup, totalmente adequada aos requisitos legais”, detalha Stern.

De acordo com o especialista, como a prática da empresa já era a de usar a criptografia end to end, de forma que somente o cliente final saiba a senha, e todo o conteúdo enviado de maneira automática para o backup à nuvem é inviolável, ninguém tem acesso, logo não é possível realizar tratamento sem autorização nesses dados.

Além disso, a LGPD indica que as empresas, públicas ou privadas, devem informar as finalidades especificas do tratamento de dados, bem como sua forma e duração. Também deverão indicar, de forma transparente, quem é o controlador e quais os seus contatos, bem como se haverá uso compartilhado das informações, elencando, ainda, os direitos do titular sobre os mesmos, entre outros aspectos.

Ademais, dentro da nova legislação, o usuário torna-se mediador de seus próprios dados, ou seja, toda e qualquer movimentação, deve ser autorizada por ele. “Esses são os pilares centrais da LGPD: o consentimento do proprietário dos dados e a definição do motivo da organização coletar os mesmos. Ambos devem caminhar em sintonia, tendo, portanto, as autoridades um papel importante na manutenção do equilíbrio entre os direitos dos usuários e os deveres das empresas captadora dos dados. “O tratamento deve ser explicitado e o consentimento requerido antes do “tratamento”. Ou seja, não será mais possível “monetizar” os dados e informações sem a autorização do usuário”, finaliza o CEO.

Quer adequar sua empresa a LGPD? Leia nossas dicas e clique aqui para entrar em contato conosco!

Fonte: SEGS.

Read More

Os impactos do GDPR e da LGPD na estratégia de segurança da informação

O ano de 2018 será conhecido como um divisor de águas para a segurança da informação mundial. Em maio, entrou em vigor na União Europeia o Regulamento Geral sobre a Proteção de Dados (General Data Protection Regulation – GDPR). A diretriz é que as empresas locais e, também, as que tenham relações comerciais com a região, realizem a coleta e tratamento de informações apenas com o consentimento explícito do usuário. Pouco tempo depois, em agosto, foi a vez de o Brasil seguir a onda, com a Lei Geral de Proteção de Dados (LGPD) sendo sancionada pelo presidente Michel Temer. A norma passa a valer em fevereiro de 2020 e possui diretrizes similares ao documento europeu.

As exigências recaem direta e primeiramente na área de compliance, que deve ser responsável por garantir que todos os departamentos e stakeholders sigam as determinações: pedir a autorização da coleta de dados para cada cliente; apontar o objetivo do recolhimento; usá-los para o objetivo descrito; e aceitar a autonomia de o usuário solicitar esclarecimentos ou a exclusão dos dados coletados. Além disso, as empresas são declaradamente responsáveis pela proteção das informações dos clientes e, em caso de vazamentos ou erros de utilização, têm a obrigação de comunicar os atingidos em até 72 horas. As multas pelo descumprimento das exigências na LGDP, por exemplo, chegam a até R$ 50 milhões, ou 2% do faturamento do grupo econômico.

A partir de agora, clientes podem exigir que as empresas detalhem quais informações pessoais são coletadas, e para qual fim. O que todo o consumidor, seja ele pessoa física ou jurídica, quer, é garantir que os dados cedidos ao seu fornecedor não saiam do perímetro corporativo. No segmento B2B, já vejo hoje, clientes interessados em atuar como auditores de seus fornecedores, como medida cautelar vinda de uma crônica falta de confiança. Com a regulamentação, o que seriam pedidos esparsos tendem a se tornar exigências recorrentes, o que vai demandar a criação de processos, adoção de ferramentas e construção de mecanismos que atendem a essas solicitações.

Não há segredo: para que os dados sejam protegidos de maneira integral é necessário um investimento em tecnologias de segurança da informação. Mas isso não é o bastante: como citei anteriormente, qualquer ação deve partir de uma política clara, bem fundamentada e amplamente comunicada internamente por compliance. Invariavelmente, os processos terão de estar muito bem amarrados. Uma outra estratégia importante é a contratação de hackers que trabalhem para a empresa buscando vulnerabilidades antes que invasores mal-intencionados o façam.

Especialmente com LGPD e GDPR, o sucesso da estratégia de segurança da informação está na antecipação de brechas e prevenção de ocorrências mais graves.

Mais um fator que não pode ser ignorado é a companhia contar com profissionais de segurança da informação certificados e atualizados, que sigam padrões internacionais e realizem reuniões mensais para acompanhamento de trabalho e melhoria – inclusive junto da diretoria. A partir de agora, a garantia de proteção e integridade dos dados não será uma tarefa somente de um departamento ou estará centralizada em uma figura, como o Chief Security Officer: é essencial que permeie todos os departamentos da empresa, em especial aqueles que se relacionam diretamente com os clientes e seus dados.

Mas não há motivos para reclamar nem do GDPR, nem da LGPD. Adequar-se às exigências dá trabalho e exige investimento de recursos – seja de tempo ou financeiro -, mas é uma atividade importantíssima para elevar o nível de transparência e até mesmo maturidade das organizações. Afinal, garantir a segurança da informação da carteira de clientes pode, até então, não ter sido obrigatório – mas sempre foi uma atitude estratégica e de extremo bom senso para companhias que querem ter credibilidade em seu ecossistema.

Quer adequar sua empresa ao GDPR ou LGPD? Conte com a Future! Clique aqui e entre em contato conosco!

Fonte: Infor Channel.

Read More

LGPD: 10 dúvidas sobre a nova Lei

A Lei Geral de Proteção de Dados (LGPD) foi sancionada pela Presidência da República em agosto e suas novas regras afetarão todas as atividades que envolvam a utilização de dados pessoais em empresas brasileiras, que têm até 2020 para se adequarem. As regras buscam proteger os dados contra as vulnerabilidades e vazamento.

Veja abaixo algumas dúvidas frequentes sobre o assunto, respondidas por Vitor Corá, especialista em cibersegurança na Trend Micro, e Gabriela Crevilari, advogada do escritório Assis e Mendes.

Quem fiscalizará se as empresas estão em conformidade com a lei e efetivamente protegendo os dados?

O controle sobre a proteção de dados será exercido pela Autoridade Nacional de Proteção de Dados que será criada para este fim. A partir do momento em que for criada, é que saberemos mais sobre diretrizes quanto a fiscalização e formas de controle.

Como será comprovado que a empresa garante a proteção dos dados?

É necessário que as empresas, por meio de assessorias especialistas em proteção de dados, estude quais são os dados que coleta e armazena e com quem compartilha para, então, definir estratégias de segurança, nos quais poderão futuramente serem considerados os meios de comprovação da garantia sobre a proteção de dados sob seu controle.

Como fica o relacionamento com parceiros?

É necessário que atualizem os contratos, com cláusulas específicas sobre a proteção de dados com parceiros em que seja necessário o compartilhamento de dados.

Apenas o contrato firmado entre as partes garantirá que elas seguem a lei?

Não. O contrato firmado entre as partes será apenas um dos instrumentos para a comprovação de atendimento à lei. É importante que as empresas que realizarem o tratamento de dados se preocupem em investir em dispositivos de segurança para que minimize as possíveis penalidades impostas pela lei.

Caso ocorra, como comprovar que a empresa sabia do vazamento de dados?

Quando estiver sob investigação, a empresa deverá comprovar os métodos de segurança que utilizou. Assim, apenas após a apuração, é que haverá a decisão sobre a aplicação de penalidades ou não.

Assim como na Europa, haverá a necessidade de um funcionário terceiro para checar se a empresa está seguindo as novas regras?

Sim. Assim como no Regulamento Europeu, a LGPD brasileira demanda da figura do Encarregado pela Proteção de Dados. A Lei não determina sobre o tamanho das empresas que devem atender esta exigência, cabendo até o momento para todas as empresas que realizarem o tratamento de dados.

E caso um vazamento ocorra de uma empresa estatal?

O artigo 3º da LGPD diz que a Lei será aplicada a qualquer operação de tratamento realizada por pessoa física ou por pessoa jurídica de direito público ou privado. Desta forma, a LGDP delimitou um capítulo (art. 23 ao 30) exclusivo que definem as regras para o tratamento de dados pelo poder público.

Em caso de vazamento dos dados, a Legislação prevê a publicação do ocorrido via canais de mídia? A empresa terá um prazo para corrigir a falha?

Este ponto é uma espécie de penalidade prevista pela lei e que dependerá da decisão do órgão investigador, inclusive quanto ao prazo de correção.

O simples cadastro de funcionários de uma empresa também é um exemplo de informação que deverá ser cuidada sobre a LGPD?

Sim. Todo documento que contenha dados pessoais deverá ser protegido em conformidade com o que diz a LGPD.

Como deve seguir a relação entre a empresa e o cliente quando a finalidade de uso dos dados consentido mudar?

Nesta hipótese, a empresa deverá informar o cliente sobre a nova finalidade dos dados anteriormente coletados, devendo a empresa, ainda, recolher o consentimento do cliente para as novas finalidades.

Quer colocar sua empresa em conformidade com a LGPD? Conte com a Future! Clique aqui e entre em contato conosco!

Fonte: IT Forum 365.

Read More

Receba conteúdos exclusivos