GDPR: As empresas que operam no Brasil estão prontas para o regulamento?

Faltam apenas alguns meses para entrada em vigor do Regulamento Geral de Proteção de Dados da União Europeia (RGPD, ou GDPR), previsto para maio de 2018. E a pergunta que não quer calar é: As empresas no Brasil estão preparadas para cumpri-lo? Pois, mesmo sendo um regulamento europeu, todas as empresas europeias (bancos, seguradoras, etc.) com presença ou operações no país deverão segui-lo.

Muitas organizações ainda desconhecem ou questionam alguns dos aspectos mais relevantes relacionados ao seu cumprimento. Mas, como saber se uma determinada empresa brasileira deve cumprir o GDPR? A resposta é clara: qualquer empresa que possua filiais ou armazene ou processe dados de cidadãos europeus está obrigada a cumpri-lo.

É importante levar em conta que a GDRP visa garantir a livre circulação de dados na União Europeia. Levando isto em consideração, o Princípio de Transferências Internacionais compila somente o que pode ser realizado em um processo de transferência de dados pessoais a um terceiro país ou organização internacional, quando a Comissão tenha considerado que este (país ou organização) dispõe de um nível adequado de proteção, com garantias adequadas de proteção dos dados recebidos no seu destino ou existem circunstâncias previstas como exceções, mas devem ser levados em conta os outros requisitos do regulamento. Como reação aos inúmeros casos de vazamento de dados noticiados pela imprensa, a Secretaria Nacional de Defesa do Consumidor (Senacon, órgão do Ministério da Justiça), passou a discutir a possibilidade de um decreto que não só obrigará as empresas a informar no caso de vazamento de dados, mas também trará punições no âmbito administrativo. Importante lembrar que este mesmo órgão aplicou a maior multa já determinada (R$ 3,5 milhões) em um caso de violação de direitos à privacidade e à proteção de dados pessoais no país.

Atualmente, há discussões em andamento no Congresso Nacional para a aprovação de uma Lei Geral de Proteção de Dados Pessoais, que traria essa e outras obrigações e teria aplicação multissetorial, transversal, no âmbito público e privado, online e offline. Os dois projetos hoje em trâmite no país, o PL 5276/2016 e o PLS 330/2013, têm chances de serem aprovados em 2018 e devem entrar em vigor entre três meses a um ano depois.

O Brasil possui mais de 30 leis que, direta ou indiretamente, tratam do tema proteção de dados. Desde o Marco Civil da Internet e seu decreto regulamentador, que trazem regras rígidas e aplicáveis a todos os serviços de Internet, com destaque para o Código de Defesa do Consumidor, Lei do Cadastro Positivo e a Lei do Sigilo Bancário.

Nesse contexto, a adoção da GDPR trará um avanço significativo, embora também implique um maior investimento nos processos e tecnologias necessários para garantir a segurança desses dados, tanto aqueles que permanecem sob o perímetro de TI como aqueles que viajam através da nuvem.

Dados não reconhecem fronteiras

Certamente, a nuvem permite ultrapassar as fronteiras tecnológicas, geográficas e administrativas, garantindo a disponibilidade, acessibilidade e compartilhamento de dados, mas também facilita a entrada de uma grande variedade de ameaças. Portanto, um dos maiores problemas que ocorrem em torno dessa infraestrutura é que os dados pessoais são processados na nuvem, de modo que as equipes de segurança e TI não têm percepção nem controle sobre o que acontece com eles. Essas equipes, além disso, perdem visibilidade sobre o número de aplicativos da nuvem usados no ambiente de trabalho.

Diante dessa situação, e especificamente devido aos regulamentos tais como o GDPR, as empresas que usam aplicações na nuvem já optaram pela implementação de políticas e controles de segurança que as ajudem a proteger e usar dados pessoais de maneira apropriada. Além disso, o aumento no uso de aplicações na nuvem está estimulando no ambiente corporativo a efetivação de fórmulas que permitam controlar seu uso. Nesse ponto, apenas um Cloud Access Security Broker (CASB) pode detectar fenômenos como “shadow IT” e “shadow data” produzidos pelos dispositivos não gerenciados, BYOD (sigla em inglês para traga seu próprio aparelho) ou terceiros. Além disso, um CASB oferece visibilidade sobre o uso das aplicações na nuvem e os dados que viaja através dessas aplicações, controlando, adicionalmente, quais aplicativos trocam dados privados.

As empresas não podem limitar o uso de serviços na nuvem para seus funcionários. No entanto, não controlar as atividades que eles realizarem na nuvem, também significará que os dados sensíveis podem acabar nas mãos erradas, deixando todo o ecossistema empresarial vulnerável a maiores problemas.

GPRD já está aqui. Portanto, conseguir a visibilidade total do uso e atividades de serviços e aplicações na nuvem nunca foi tão importante. Todas as empresas, independente da sua localização, devem ser responsáveis pela proteção dos dados dos seus clientes.

Fonte: ComputerWorld

Read More

Novo golpe sequestra e-mails reais para espalhar malwares

A audácia e perspicácia dos cibercriminosos assustam, e cada vez mais eles se superam para infectar as máquinas e obterem dados pessoais dos incautos. Prova disso é uma nova modalidade de golpe virtual identificada pela Unit 42, unidade de pesquisa da Palo Alto Networks, que sequestra e-mails reais para espalhar malwares.

Batizado de FreeMilk, o golpe usa uma nova técnica de spear phishing, que funciona assim: ao invés de criar e-mails falsos e distribui-los indiscriminadamente, é feita a interceptação de um e-mail verdadeiro. Com a conversa original em mãos, os crackers incluem um anexo com conteúdo malicioso para infectar o dispositivo do usuário.

De acordo Unit 42, os alvos do novo golpe são específicos, como CEOs, funcionários ligados a executivos de alto escalão, amigos destas pessoas e até mesmo seus familiares. Até o momento, já foram identificadas vítimas como um banco no Oriente Médio, uma empresa de serviços de propriedade intelectual na Europa, uma organização internacional de esportes e pessoas ligadas indiretamente com um país do nordeste da Ásia.

A Unit 42 não fala especificamente quais os objetivos do FreeMilk, mas, dadas as vítimas e perfil dos alvos do golpe, é possível especular sobre isso. Com infecções bem-sucedidas, os cibercriminosos têm acesso a documentos sigilosos das empresas, podendo chantageá-las com isso ou vendê-los a concorrentes. Obviamente, dados pessoais e bancários das companhias e de seus executivos também devem ser obtidos para fins ilícitos nesse golpe.

Como se prevenir

A infecção pelo FreeMilk ocorre principalmente por uma vulnerabilidade identificada em uma suíte de aplicativos Office. Para se proteger dele e de ataques similares, os especialistas orientam os usuários a manterem seus sistemas e dispositivos atualizados com os mais recentes pacotes de segurança.

No âmbito empresarial, a sugestão é que os profissionais de infraestrutura e de TI implementem várias camadas de segurança, de maneira a oferecer proteção adicional para prevenção desses tipos de ataques. Com esse esquema de segurança montado, por exemplo, o invasor não conseguiria utilizar credenciais roubadas para se autenticar em um sistema que exige login em duas etapas.

Fonte: CanalTech

Read More

Future no UpDayTI

A Future foi patrocinadora do UpDayTI, que aconteceu no Nordeste dos dias:

  • 01/06/2017 – Fortaleza
  • 06/06/2017 – Recife
  • 08/06/2017 – Salvador

O UpDayTI é um Road Show com 50 profissionais (por etapa), entre CIOs e Gestores de TI, selecionados dentre as maiores empresas nos principais setores da economia do Nordeste.

Confira as fotos da participação da Future no UpDayTI:

[Best_Wordpress_Gallery id=”3″ gal_title=”UpDayTI”]

Read More

Receba conteúdos exclusivos