Central de atendimento +55 (24) 2232-5850 - contato@future.com.br

Proteção

29 janeiro 2019
adm.future
0
Categories: Blog, Notícias, Performance, Segurança

Symantec expande cloud no país e promete máxima proteção e performance

Três soluções chave fazem parte da expansão da nuvem da Symantec no Brasil: WSS (proxy na nuvem), Web Isolation e Cloud SOC (Casb). Agora hospedadas em território nacional, elas protegem ainda mais a navegação web e o uso de nuvem dos clientes. Com a estratégia, a empresa sinaliza que a latência é uma questão importante e perceptível com foco no oferecimento de segurança com mais performance.

Felippe Barros, especialista em Segurança em Cloud da Symantec, destaca que a nuvem acelera bastante os negócios e que segurança é um fator muito importante porque estimula ingresso das empresas na nuvem, quebra o ceticismo e viabiliza a mudança de modelos de negócio.

Segundo ele, a Symantec fez expressivo investimento na jornada de cloud e para isso, desde 2016, adquiriu nada menos do que 15 empresas para aprimorar a segurança e ampliar o oferecimento de serviços de nuvem. O Brasil, prossegue, representa um mercado valioso para a corporação, o que justifica o recente investimento em expansão da nuvem no País.

Além disso, de acordo com o especialista, já se percebe movimentação por aqui para substituir o modelo on-premise por nuvem, com o objetivo de reduzir custos com infraestrutura, facilitar o gerenciamento, minimizar o esforço operacional e liberar espaço valioso dentro das empresas. “Sem contar com o benefício da escalabilidade, agilizando e simplificando a expansão da infraestrutura a um clique”, diz.

Barros acrescenta ainda que um outro forte motivador para ampliação da demanda pela nuvem com mais segurança no Brasil é a Resolução do Banco Central do Brasil (Bacen) 4658, que dispõe sobre a política de segurança cibernética e requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem.

“Essa resolução requer que clientes do segmento financeiro tomem medidas de segurança e informem o uso de nuvem pública fora do Brasil. Conquistamos muitos clientes nos segmentos financeiro, varejo e governo, que já estão consumindo bastante esses serviços. Com a nossa plataforma aqui no país, os clientes ficam mais tranquilos e confiantes.”

Em linha com a nova era

“Estamos investindo na segurança para um público hiperconectado, que exige conectividade todo o tempo, flexibilidade, que quer trabalhar em home office tendo as mesmas segurança e performance de quando está trabalhando na empresa”, diz Barros.

E acrescenta ter consciência de que a Symantec é um importante agente da transformação digital, considerando que sem segurança não há avanço para a nuvem, e sem nuvem não há mobilidade.

“A segurança da informação é um grande habilitador de negócios. E, para isso, estamos focados na experiência do usuário, esteja ele onde estiver.”

As vedetes da expansão

  • WSS – O Symantec Web Security Service é um serviço de segurança da rede fornecido na nuvem que impõe uma segurança abrangente na Internet, assim como políticas de conformidade dos dados, não importando o local ou o dispositivo. Permite às empresas controlar o acesso, proteger usuários contra ameaças e proteger seus dados confidenciais.
  • Web Isolation – A ferramenta impede ameaças de malware e de phishing, melhorando as soluções de segurança dos parceiros de OEM, como gateways da Web e de e-mail seguros. A tecnologia executa sessões da web longe de endpoints, enviando apenas informações de renderização segura para os navegadores dos usuários. Elimina spear-phishing e roubo de credenciais.
  • Cloud SOC (CASB) – Controla as transações do usuário em tempo real para aplicativos na nuvem sancionados e não sancionados, protege e controla dados, protege contra ameaças com análise extensa do comportamento do usuário, integra com controles de acesso e criptografia de dados e investiga e responde a incidentes de segurança.

Quer conhecer as novas Soluções? A Future, além de parceira, possui entre seus colaboradores um Knight da Symantec! Preencha o formulário abaixo e entre em contato conosco.

Fonte: Computer World.

Read More
28 janeiro 2019
adm.future
0
Categories: Blog, Notícias

Dia da Privacidade de Dados reforça necessidade de proteção das informações

Muitas pessoas não entendem bem sobre a importância de proteger seus dados, o que pode representar um perigo ainda maior nos dias atuais. Grande parte das empresas no Brasil ainda não implementou medidas técnicas e administrativas para proteger os dados pessoais que coleta e trata, providências que têm entrado na pauta prioritária de grandes empresas, mesmo não nativas digitais. A mudança desse tipo de pensamento é tão urgente, que o Dia Internacional da Privacidade de Dados, celebrado nesta segunda-feira (28/01), vem ganhando um espaço cada vez maior em todo o mundo.

A data chama a atenção para a necessidade de conscientização, ações educativas para prevenção e leis de fiscalização em casos como os de vazamento de dados. Quase que diariamente, os noticiários contam com publicações sobre milhares de dados pessoais divulgados indevidamente na internet. Porém, o problema não se restringe ao ambiente virtual, de acordo com o advogado Rafael Maciel, especialista em direito digital.

“Quantas vezes paramos para pensar sobre por que o vendedor de uma loja pede nosso CPF, e-mail, data de nascimento e outras informações que desnecessária para a compra de um produto? Falta essa reflexão. Afinal, empresas “não digitais” também podem vender esses dados para terceiros e eles podem ser usados até mesmo para a aplicação de golpes”, explica o profissional.

Ocorrências desse tipo têm sido comuns e a omissão ainda é um dos grandes agravantes. Segundo Maciel, há vazamentos de dados, por exemplo, que aconteceram há anos e, apesar de cientes, as empresas não informaram as vítimas. “O controlador de dados de uma empresa tem o dever de notificar os titulares de dados sobre um vazamento que possa trazer risco ou dano relevante para que as pessoas possam buscar maneiras de se proteger de consequências ainda piores. A omissão é uma falha gravíssima e mostra o quanto a população está vulnerável”, alerta o advogado.

A Lei Geral de Proteção de Dados pode ajudar?

Acredita-se que, assim como o Regulamento Geral de Proteção de Dados da Europa (GDPR, na sigla em inglês) tem sido efetivo na prevenção e combate às ações irregulares ligadas à coleta, uso e tratamento de dados pessoais e sensíveis da população, a lei brasileira de proteção de dados (Lei nº 13.709/18) também poderá dar um novo rumo a essa realidade no país.

“Para uma mudança efetiva, as empresas precisam se adequar a todas as regras da Lei Geral de Proteção de Dados. Não apenas pelo medo das multas, mas pela preservação da sua credibilidade e respeito aos seus clientes”, afirma Maciel.

Como prevenir o vazamento dos seus dados?

Enquanto a legislação específica para o tema não começa a valer, cabe a cada indivíduo proteger sua privacidade. Veja algumas dicas do advogado para proteção dos seus dados pessoais na internet:

  • Conheça exatamente todas as funcionalidades ofertadas pelos aplicativos.
  • Tenha atenção às informações das políticas de privacidade, de forma que possa ter controle sobre o que posta, sabendo exatamente quem poderá ter acesso.
  • Evite postar conteúdos comprometedores, mesmo usando filtros de privacidade, pois sempre há um risco de vazamento.
  • Proteja sua senha e utilize mecanismos de autenticação de dois fatores.
  • Não clique em links desconhecidos.

Mantenha seus dados privados. Conte com a Future! Somos parceiros dos maiores fabricantes de Soluções de Segurança, Disponibilidade e Performance do mundo! Preencha o formulário abaixo e entre em contato conosco.

Fonte: IT Forum 365.

Read More
25 janeiro 2019
adm.future
0
Categories: Blog, Dicas, Segurança

5 tipos de fraudes na web e como se proteger

Os ataques as redes, plataformas, sites e mesmo perfis pessoais são mais constantes e frequentes. Diariamente vemos nos tabloides ou nos telejornais notícias sobre o assunto, a cada segundo redes são invadidas, clonadas e fraudadas por bandidos virtuais. Segundo Daniel Nascimento, especialista em segurança digital e CEO da DNPontoCom, cada vez mais o usuário tem que se policiar e prestar mais atenção onde acessa e como acessa às suas redes.

Para ajudar, o especialista enumerou alguns casos e dicas como se prevenir de futuros ataques e transtornos.

Phishing

O ataque consiste em envio de e-mails em massa, com propagandas enganosas, onde os hackers levam vantagens com as necessidades das pessoas, usando este ataque para revelar informações pessoais, dados de cartões de crédito, cadastro de pessoas físicas e dados bancários.

Os hackers encaminham e-mails de grandes empresas conhecidas ou de instituições bancárias, com promoções dos produtos ou serviços que vendem estes bem abaixo do preço de mercado, ludibriando os usuários. Ao usuário clicar no link da promoção, ele é redirecionado a um site totalmente idêntico ao da falsa loja virtual ou instituição bancária. Chegando ao falso site o usuário completará seus dados finalizando a compra, incluindo seus dados de cartão de crédito ou credenciais de acesso bancário copiadas (nos casos dos falsos sites de instituições bancárias).

Como se proteger?

Para evitar ser vítima destas fraudes verifique os remetentes destes e-mails, pois o endereço eletrônico do remetente sempre terá algum indício de que não seja a empresa de verdade (Ex: loja123@loja.com.br). Desconfie sempre quando os preços dos produtos ofertados nestes e-mails não condizem com a realidade (Ex: Televisor de 75 polegadas por R$ 1,2 mil), verifique também o link destes websites, assim como os e-mails, eles também terão divergências quanto ao website oficial da empresa ou instituição bancária. Para maior garantia de proteção de seu computador e para ajudar a reconhecer, remover e prevenir do phishing use um antivírus e uma ferramenta antiphishing.

Keylogger DNS

Este ataque diferentemente do que foi explicado acima, é realizado por meio de dos websites, o hacker atacante irá inserir um código maliciosamente em determinados websites que possuam um grande número de acessos diários, onde geralmente são websites invadidos por eles mesmos ou terceiros que tenham o mesmo intuito de roubar as suas informações.

O código malicioso que o atacante inseriu em determinado website que você acessou irá testar todas as senhas possíveis para fazer login em seu modem, ao conseguir a senha de seu aparelho ele irá trocar o seu DNS pelo DNS da máquina do próprio hacker, esse ataque se chama DNS HIJACKING ou também pode ser chamado de SEQUESTRO DE DNS.

Após conseguir substituir o seu DNS pelo DNS da máquina do hacker, quando o usuário acessar determinados websites que seja de seu interesse, o usuário cairá em uma tela falsa, porém com o mesmo endereço de origem e as mesmas características do website.

Como se proteger?

Para evitar esse tipo de ameaça, o usuário deve ter um antivírus que conte com ferramentas para avaliar a segurança do modem, devendo ele estar devidamente atualizado e configurado para que ninguém possa acessá-lo sem a devida autorização, evitando o uso de senhas fracas ou que tenha serviços que permitam acessá-lo remotamente. Também ficar atento à demora do website para carregar, caso fique sempre carregando sem entrar na página, verifique se o seu DNS foi alterado.

Keylogger DNS + Operador

Esse tipo de ataque consiste na mesma forma do anterior, o usuário será infectado por acessar algum website que tenha o código malicioso. Após o usuário acessar determinados websites que o criminoso tenha interesse para roubar suas informações pessoais, ele será cairá em uma página falsa.

A diferença entre este tipo de prática e da anterior que havíamos explicado, é que neste tipo de ataque, o criminoso terá um painel de monitoração em tempo real, onde ele poderá saber quando o usuário estará acessando um website de sua instituição financeira, para roubar informações do token que permite o acesso a sua conta bancária, códigos de SMS que chegam pelo celular para recuperação de senhas e habilitação de novos dispositivos, senhas secundárias em tempo real, entre outras.

Keylogger DNS + Operador + SSL Falsificado

O ataque nessa modalidade é realizado da mesma forma do que nos dois anteriores mencionados, o usuário entrará em determinado website que esteja corrompido pelo código malicioso que o criminoso atacante inseriu. Assim, ele testará todas as possíveis senhas para invadir o modem/roteador para realizar a troca do DNS pelo DNS do hacker.

Diante disso, todo website que o usuário acessar que o criminoso tenha interesse em roubar os seus dados e informações bancárias, irá ser remetido para uma tela falsa.

A diferença entre este ataque e o anterior é que além de o criminoso ter um painel de monitoração em tempo real, onde ele pode saber quando o usuário estará acessando um website de sua instituição financeira, para roubar informações do token que permite o acesso a sua conta bancária, códigos de SMS que chegam pelo celular para recuperação de senhas e habilitação de novos dispositivos e senhas secundárias em tempo real, o SSL é falsificado, onde o cadeado que prova a autenticidade é falsificado, fazendo cópia idêntica do website oficial.

Como se proteger?

Para evitar esses dois tipos de ameaça descritas acima, o usuário deve ter um antivírus que conte com ferramentas para avaliar a segurança do modem, devendo ele estar devidamente atualizado e configurado para que ninguém possa acessá-lo sem a devida autorização, evitando o uso de senhas fracas ou que tenha serviços que permitam acessá-lo remotamente. Também ficar atento à demora do website para carregar, caso fique sempre carregando sem entrar na página, verifique se o seu DNS foi alterado.

Keylogger Remota

Essa é de longe a ameaça e ataque de dados mais perigosos, onde o criminoso dissemina o vírus com um código malicioso que baixa automaticamente para o computador do usuário.

Geralmente para ter esse malware instalado na máquina do usuário, aparecem “atualizações” falsas do flash ou algum software para visualizar o website acessado. Após a instalação ou atualização falsa, o usuário estará infectado e todo website que ele entrar que o criminoso tenha interesse você cairá em uma página falsa, uma cópia idêntica à que o usuário desejava entrar, roubando todos os seus dados e senhas.

Alguns desses hackers usam um bootkit complementado com este keylogger que infecta uma partição do HD do usuário, chamado MBR (Master Boot Recorder), o qual é impossível a sua remoção. Sendo que, a solução é a substituição por um novo HD, visto que o vírus não pode ser removido através de formatação.

Como não há como removermos através de antivírus e formatações do HD, o usuário para se prevenir deste ataque com a consequente invasão, deve sempre estar alerta a downloads automáticos e pedidos de atualizações de softwares para acessar websites.

Diante do tema e das diversas modalidades de ataques cibernéticos desta matéria, podemos concluir que não adianta estarmos preparados com um bom antivírus se não estivermos atentos às possíveis tentativas pelos criminosos cibernéticos de ludibriar os usuários da rede com falsas promoções, atualizações para visualizar websites, etc.

Quer se proteger contra fraudes na web? A Future pode ajudar! Somos parceiros dos maiores fabricantes de Soluções de Segurança, Disponibilidade e Performance do mundo! Preencha o formulário abaixo e entre em contato conosco.

Fonte: IT Forum 365.

Read More
24 janeiro 2019
adm.future
0
Categories: Blog, Segurança

Entenda a diferença entre phishing e spear phishing

Os ataques de phishing começaram com golpes do príncipe nigeriano em meados da década de 1990, mas hoje se transformaram em campanhas bem pesquisadas e direcionadas que são altamente eficazes e incrivelmente difíceis de serem interrompidas.

O spear phishing, por sua vez, é o ato de enviar e-mails para destinos específicos e bem pesquisados, a partir de um remetente confiável. O objetivo é infectar dispositivos com malware ou convencer as vítimas a entregar informações ou dinheiro.

Enquanto campanhas de phishing regulares têm rendimento relativamente baixo para os hackers, o spear phishing visa alvos específicos usando e-mails criados especialmente para a vítima pretendida com o objetivo de aumentar o ganho. “O phishing é apenas um tipo de ataque genérico, de baixa tecnologia e não direcionado”, explica Aaron Higbee, cofundador e CTO da empresa anti-phishing Cofense (anteriormente conhecida como PhishMe). “Eles não se importam particularmente com quem é seu alvo. Eles estão apenas lançando uma rede ampla tentando capturar tantas pessoas e tantas empresas quanto possível.” O spear phishing, por sua vez, é uma campanha que foi construída intencionalmente por um agente de ameaças com o objetivo de penetrar em uma organização e onde eles realmente pesquisarão nomes e funções dentro de uma empresa, acrescenta Higbee.

Ou seja, enquanto o phishing em massa envolve principalmente o uso de kits automatizados para coletar credenciais em massa usando páginas de login falsas para serviços bancários ou de e-mail comuns ou espalhar ransomware ou criptografar malwares, os ataques de spear phishing são mais complicados. Algumas campanhas direcionadas envolvem documentos que contêm malware ou links para sites de furto de credenciais para roubar informações confidenciais ou propriedade intelectual valiosa, ou simplesmente comprometer os sistemas de pagamento. Outros evitam cargas maliciosas e, em vez disso, usam a engenharia social para sequestrar processos para um pequeno número de grandes pagamentos por meio de uma única ou série de transferências bancárias. A parte do remetente do e-mail costuma ser falsificada para parecer que é de uma entidade conhecida ou de um domínio parecido com os seus parceiros confiáveis. Por exemplo, a letra “o” pode ser substituída pelo número “0”, ou a letra “w” pode ser alterada para “ш” do alfabeto russo.

As campanhas de spear phishing mais antigas costumavam simplesmente conter os documentos maliciosos anexados no e-mail ou talvez em um arquivo zip. Mas os criminosos adaptaram seus métodos. Higbee explica que muitos documentos maliciosos agora estão hospedados em sites legítimos, como Dropbox, OneDrive ou Google Drive, pois os agentes de ameaças sabem que é improvável que sejam bloqueados pela equipe de TI.

“Também estamos começando a ver ataques de phishing que estão tentando comprometer tokens de API ou tokens de sessão para obter acesso a uma caixa de email ou para obter acesso a um site do OneDrive ou do SharePoint”, citou.

Reconhecimento é a chave para o spear phishing

Além da segmentação extremamente focada, as campanhas de spear phishing contêm um grande elemento de reconhecimento. Os agentes de ameaças podem começar com os e-mails coletados de uma violação de dados, mas complementam isso com uma série de informações facilmente encontradas on-line. O grupo criminoso nigeriano conhecido como London Blue utilizou até mesmo sites de geração de leads comerciais legítimos para reunir informações sobre CFOs e outros funcionários do departamento de finanças.

As mídias sociais, como o LinkedIn e o Twitter, fornecem informações sobre funções, responsabilidades e relações profissionais dentro de uma organização e, assim, ajudam a informar quem é o melhor para segmentar e representar. Os sites da empresa podem fornecer informações sobre processos, fornecedores e tecnologia, enquanto redes como o Facebook e o Instagram podem fornecer informações pessoais sobre alvos em potencial que poderiam ser aproveitados.

“Fraudadores fazem uso dessas informações a fim de criar uma narrativa crível”, diz Oz Alashe, CEO da CybSafe. “Combinando os dados obtidos a partir da página de equipe de uma organização, um perfil do LinkedIn, um perfil no Twitter e um perfil no Facebook, o criminoso geralmente consegue capturar uma imagem bastante detalhada de sua vítima. Eles podem usar seu nome, informações sobre onde você trabalha, com quem você faz transações bancárias, um pagamento recente que você fez, informações sobre sua família e amigos e qualquer outra informação privada que eles possam encontrar.”

Spear phishing e whaling

Ataques de spear phishing dirigidos a executivos de alto nível são geralmente conhecidos como ataques de whale phishing e envolvem um invasor tentando representar o CEO ou pessoa igualmente importante dentro da empresa com o objetivo de usar superioridade para coagir a vítima a fazer pagamentos ou compartilhar informações. Estudos sugerem que os executivos são mais propensos do que outros funcionários a serem vítimas de tais ataques. Um experimento recente do Rapid7 conseguiu enganar três quartos dos CEOs visados. A instituição beneficente de pesquisa médica do Reino Unido Wellcome Trust perdeu recentemente US$ 1 milhão depois que quatro executivos seniores inseriram credenciais em um site falsificado.

“Executivos no topo de uma organização têm maior probabilidade de serem alvos do que outros funcionários, estão sob pressão e lidam com tarefas críticas e muitas vezes sofrem com o que os psicólogos chamam de preconceito de atenção e podem subestimar a ameaça de spear phishing”, explica Alashe. “Eles incorporam uma combinação perigosa de ser altamente valiosa e altamente disponível para criminosos. Para os criminosos cibernéticos, as recompensas potenciais de alvejar um executivo em comparação com os membros juniores de uma organização fazem com que valha a pena investir na pesquisa e criação de e-mails altamente segmentados.”

Os ataques direcionados que buscam abusar de processos como folha de pagamento ou faturamento são comumente conhecidos como comprometimento de e-mail comercial. A empresa de segurança Agari recentemente encontrou exemplos de golpistas que visam os departamentos de RH para convencê-los a mudar as contas de depósito direto da folha de pagamento existente para aquelas criadas pelos criminosos. Um exemplo mais comum é que os invasores fingem ser fornecedores e solicitam uma alteração nos detalhes de faturamento.

Os ataques direcionados que envolvem mensagens de texto ou chamadas de voz são conhecidos como smishing e vishing, respectivamente, e seguem padrões semelhantes aos ataques baseados em email.

Ferramentas de spear phishing

Como os hackers são organizações criminosas ou estados-nações – a Ucrânia recentemente frustrou um suspeito ataque russo contra a Administração Judicial do Estado -, as ferramentas são basicamente as mesmas. Os ataques que dependem exclusivamente de engenharia social e transações comerciais podem ser feitos por meio de uma conta de e-mail básica de um provedor comum, sem qualquer ferramenta extra.

“Qualquer um pode fazer isso, no final das contas”, diz Tony Gee, sócio associado da Pen Test Partners. “Parece que o nome certo do CEO é muitas vezes suficiente para convencer as pessoas e pode ser realizado por alguém com uma conta do Gmail. Nos ataques mais sofisticados, você precisa ter infraestrutura para suportar o ataque, mas a maioria dos kits de phishing e back-ends são praticamente os mesmos. Em vez de enviar muitos e-mails, você está apenas enviando um ou dois e você está criando-os de uma maneira melhor.”

Por que o spear phishing é eficaz?

De acordo com a última edição do Relatório de Ameaças à Segurança na Internet, da Symantec, spear phishing foi o principal vetor de infecção entre os agentes do crime organizado e empregado por 71% dos grupos em 2017.

“Se você pensar em oportunidades para interagir com uma empresa ou conseguir algo para ser executado dentro da empresa, o e-mail ainda é a porta de entrada. Como esse é o caminho para dentro de uma organização, parece que o phishing será um pouco o vetor por algum tempo”, explica Higbee.

Ataques recentes e notáveis incluem voluntários e funcionários da campanha presidencial de Hillary Clinton como parte do ataque do Comitê Nacional Democrata e a fabricante europeia Leoni AG, perdendo US$ 45 milhões depois que seu departamento financeiro foi enganado para transferir fundos para a conta errada.

A eficácia do spear phishing também se resume ao elemento humano e ao fato de que eles contêm um elemento pesado de engenharia social que se baseia em como as pessoas pensam e agem. “A confiança é uma parte natural e benéfica da psique humana – uma parte inata e necessária da formação de relacionamentos”, diz Alashe. “É essa capacidade arraigada de confiança que os phishers gostam de abusar. As pessoas são significativamente mais propensas a atender solicitações de autoridades e figuras confiáveis.”

Como funciona o spear phishing

Embora os e-mails de spear phishing sejam altamente segmentados e, portanto, provavelmente diferentes de organização para organização, as tendências de unificação devem gerar sinais de alerta entre os usuários. O sinal de alerta mais óbvio é um endereço de e-mail incorreto ou semelhante a um esperada, mas é um pouco diferente. No entanto, os endereços de e-mail podem ser falsificados ou podem não ser visivelmente diferentes sem inspeção rigorosa.

“Um dos traços mais comuns de spear-phishing envolve a exploração de um senso de urgência”, diz Liviu Arsene, analista sênior da Bitdefender. “Se clicar em uma URL para alterar uma senha expirada sem a qual você não pode mais acessar conta ou abrir um anexo (geralmente uma fatura, documento de rastreamento de remessa ou contrato de política atualizado), a meta final é incutir um senso de urgência ao executar uma tarefa ao usar um idioma conhecido”.

A urgência será muitas vezes acompanhada de uma vontade de quebrar a política ou as normas da empresa, acelerando os pagamentos sem as verificações e procedimentos habituais. Eles também podem usar linguagem emotiva para invocar simpatia ou medo. O diretor-presidente impersonificado pode dizer que você está desistindo, caso você não faça o pagamento urgente, por exemplo.

Outra característica a ser observada é a redação e terminologia. O e-mail inclui linguagem comercial ou expressões que normalmente não são ouvidas em sua empresa ou de sua equipe? “Muitas empresas com quem conversamos, quando experimentam fraudes com CEOs, realmente detectam isso por causa de pequenas coisas realmente bobas. Como no Reino Unido, usamos termos como ‘transferência bancária’, enquanto muitos [fraudadores] usam o termo ‘transferência eletrônica’, ou se o chefe assina os e-mails ‘obrigado’, enquanto eles normalmente assinam com ‘saudações’”, alerta Gee.

Ele acrescenta que muitas vezes os e-mails conterão arquivos – ou links para arquivos – que exigem que as macros sejam ativadas. “Isso é um sinal de alerta. A maioria das macros é benigna, mas você normalmente espera receber isso? Se você fizer isso, você precisa permitir que as macros façam essa tarefa? ”.

Prevenção de spear phishing

As organizações podem implementar controles técnicos e humanos para mitigar a ameaça de spear phishing. Juntamente com controles padrão, como filtros de spam, detecção de malware e antivírus, as empresas devem considerar testes de simulação de phishing, educação do usuário e um processo estabelecido para que os usuários relatem e-mails suspeitos para a equipe de segurança de TI.

“Uma das maneiras simples pelas quais as empresas podem reagir, como o comprometimento de e-mail comercial, é simplesmente marcar e-mails quando chegam ao gateway e colocar ‘externo’ na linha de assunto. Isso não necessariamente irá impedir um ataque, mas potencialmente permitirá que os usuários finais pensem que algo pode não estar certo”, explica Gee, da Pen Test Partner.

Ele também acrescenta que ter linhas de comunicação abertas entre funcionários e gerência é importante. “Em algumas culturas de empresas, a hierarquia é muito, muito importante, então os usuários finais não estão dispostos a conversar com os chefes. Mas eles devem saber que não devem se sentir preocupados se precisarem desafiar o chefe por qualquer motivo.”

Embora a educação e a conscientização do usuário sejam parte essencial da redução do risco de phishing, o departamento de segurança da informação também precisa envolver-se na proteção de processos de negócios para estreitar janelas de oportunidade para os invasores.

Por exemplo, garantir que nenhum pagamento seja feito sem várias pessoas e várias etapas de autorização ou que nenhum detalhe de pagamento seja alterado sem primeiro confirmar por telefone ou outro canal de comunicação pode reduzir o risco de que os CEOs ou fornecedores estejam sendo personificados. Ter máquinas separadas para tarefas relacionadas a e-mail e internet e tarefas de pagamento de faturas pode diminuir a chance de as máquinas serem infectadas por malwares que coletam informações bancárias.

A conscientização de sua equipe é fundamental para que ataques deste tipo não aconteçam. A Future possui uma solução de conscientização sobre segurança da informação. Clique aqui para conhecer!

Fonte: CIO.

Read More
23 janeiro 2019
adm.future
0
Categories: Blog, Segurança

4 dicas para proteger a empresa de ciberataques

O Dia Anual de Proteção de Dados, que acontece em 28 de janeiro, está se tornando cada vez mais importante como resultado de recentes ataques de hackers. Neste mês, os dados privados de centenas de políticos e celebridades alemães foram publicados na Internet. Nos Estados Unidos, o hack da cadeia de hotéis Starwood resultou na quebra de mais de 500 milhões de registros de clientes. Estes são apenas dois entre inúmeros exemplos de cibercrime em andamento.

O Data Privacy Day foi criado pelo Conselho da Europa em 2006. Em 2008, a National Cyber ​​Security Alliance (NCSA) começou a liderar a iniciativa nos Estados Unidos e em toda a América do Norte. O objetivo do dia é aumentar a conscientização sobre proteção de dados em todo o mundo.

De acordo com uma pesquisa recente conduzida pelo OTRS Group entre diretores e executivos de TI, mais de um terço (34%) dos entrevistados nos Estados Unidos e Canadá estão muito preocupados com o cibercrime, com outros 29% se classificando como preocupados. Assustadoramente, apenas 34% dos líderes de TI declararam que estavam muito preparados para incidentes de segurança, mas outros 35% se classificaram como preparados.

“Infelizmente, não há como proteger 100% contra ataques cibernéticos, mas práticas de segurança multinível com processos claramente definidos, preparação técnica, treinamento e reação rápida reduzem o risco”, disse Jens Bothe, diretor de consultoria global do OTRS Group. “A luta contra o crime cibernético é sempre responsabilidade conjunta de empresas, governo e usuários digitais.”

Como um membro oficial do NCSA Data Privacy Day Champion, o Grupo OTRS compilou as seguintes dicas para as empresas ajudarem a minimizar o risco e o impacto dos ataques cibernéticos:

Assegure processos suaves

Aceite o fato de que existem ameaças cibernéticas e reserve um tempo para investigar todos os processos relacionados à segurança na empresa. Todos os envolvidos precisam saber o que fazer quando o pior acontece, além de quem envolver e quais são os próximos passos. Documente esses processos e fluxos de trabalho – tanto para se defender contra ameaças quanto para responder a ataques. Defina seus processos agora para economizar um tempo valioso depois: quanto mais curto um ataque durar, menos dano poderá ser causado.

Tome as precauções técnicas necessárias

Até mesmo precauções técnicas aparentemente simples podem ajudar a evitar ataques. Instale firewalls, sistemas antivírus, ferramentas de criptografia, atualizações de segurança e sistemas de detecção de invasão. Se você não tiver a experiência, peça a um consultor para ajudá-lo a identificar e corrigir vulnerabilidades.

Forneça treinamento regular

Envolva todas as partes interessadas e mantenha-as regularmente informadas sobre possíveis incidentes e precauções técnicas. Todos os funcionários precisam saber a importância dos processos de manutenção para impedir que hackers acessem sua rede e causem o caos.

Responda rapidamente e com segurança em uma emergência

Quando o alarme soar, defina seu cenário de emergência o mais rápido possível. Um sistema como o STORM, desenvolvido pela OTRS, simplifica isso. O sistema de comunicação integrou processos específicos de segurança e pode ser adaptado individualmente aos requisitos da empresa usuária. Isso significa que, no caso de um ataque, o incidente é registrado imediatamente. Processos e notificações são iniciados automaticamente. Todas as etapas ocorrem em tempo real, para que a equipe possa minimizar o perigo o mais rápido possível.

Quer proteger sua empresa contra ciberataques? Conte com a Future! Somos parceiros dos maiores fabricantes de soluções de segurança, disponibilidade e performance do mundo! Clique aqui e entre em contato conosco.

Fonte: IT Forum 365.

Read More
16 janeiro 2019
adm.future
0
Categories: Blog, Disponibilidade, Notícias

3 tendências em proteção de dados

O ano passado registrou mudanças substanciais no universo da proteção de dados na medida em que as organizações se defrontaram com novas e mais rigorosas regulamentações relacionadas à privacidade, ataques criminosos cada vez mais sofisticados exigindo resgates e estratégias de recuperação de desastres na nuvem que passaram a enfrentar custos inesperados aliados ao aumento da perda de informações.

Como a marca com mais experiência no mundo em proteção dos dados, a Arcserve utiliza seu conhecimento para apresentar as três principais tendências para 2019 e seus impactos nos próximos doze meses:

1. Nuvem pública perderá espaço como estratégia para recuperação de desastres

Muitas organizações adotaram estratégias de proteção envolvendo a nuvem para se beneficiar da crescente agilidade e economia de escala dessas soluções. Entretanto, elas passaram a enfrentar um inesperado e significativo aumento de valores associados ao movimento e à recuperação de dados nas nuvens públicas.

Em razão desse novo cenário, um número maior de organizações diminuirá o uso de nuvens públicas para a recuperação de desastres, passando a optar pelo emprego de estratégias híbridas e provedores de serviços na nuvem, que oferecem soluções em nuvem privada com modelos de custos bem mais previsíveis.

2. Soluções poderosas, mais completas, auxiliarão as equipes de TI a trabalhar de forma mais inteligente

Um ano em tecnologia pode ser medido em segundos, com as novas capacitações transformando o modo com que interagimos e protegemos dados críticos relacionados aos negócios. Ao longo de 2019, as organizações podem esperar por soluções de proteção de dados que irão bem além do conceito de tempo real, incorporando funcionalidades de Inteligência Artificial que podem prever, e até mesmo evitar, paradas não planejadas derivadas de desastres físicos antes mesmo que eles ocorram.

Essas soluções automatizarão os processos de recuperação de desastres, restaurando de forma inteligente prioritariamente os dados acessados com maior frequência, os dados interfuncionais e os críticos, replicando-os de uma forma proativa para a nuvem antes que ocorra o evento de queda do sistema.

3. As preocupações com custos alavancarão o emprego do autogerenciamento por meio de Disaster Recovery as a Service (DRaaS)

O modelo “como serviço” experimenta um crescimento na velocidade da luz e essa tendência se manterá nos próximos doze meses. Especificamente, a proposta auto gerenciável de disaster recovery as a service (DRaaS) crescerá em importância na medida em que as organizações procuram compatibilizar o valor total da nuvem como uma opção de recuperação de desastre com um investimento menor do que o do DRaaS gerenciado.

Em resposta a esse quadro, os canais parceiros agregarão mais opções de self service para dar suporte à crescente demanda dos consumidores por tempo de recuperação (PTOs) e pontos de recuperação (RPOs) garantidos em contrato, enquanto expandem seus mercados sem a responsabilidade de gerenciar os ambientes dos consumidores.

“Está claro que as empresas estão levando muito a sério a questão da proteção de dados e investirão um significativo volume de tempo e dinheiro para assegurar que contam com as ferramentas, os recursos e os serviços corretos para manter seguros os dados corporativos, algo praticamente impossível de ser precificado”, comenta Oussama El-Hilali, vice-presidente de produtos da Arcserve.

“Entretanto, se 2018 nos mostrou algo, é que os negócios ainda necessitam de um pouco mais de cultura quando se trata de gerenciamento de dados a um custo efetivo e com eficiência. Será interessante observar como os líderes encaminharão e enfrentarão os desafios que eles já previamente tinham em suas mentes em 2019”, conclui o executivo.

A Future é parceira Arcserve! Quer conhecer as soluções? Clique aqui e entre em contato conosco.

Fonte: IT Forum 365.

Read More
11 dezembro 2018
adm.future
0
Categories: Blog, Notícias, Segurança

LGPD deve liderar investimentos em cibersegurança em 2019

O assunto segurança da informação tem ganhado destaque dentro das empresas – seja pelo bem ou pelo mal. O ano de 2018, por exemplo, registrou inúmeros casos de vazamento de dados que resultaram em prejuízos financeiros e desgastes para a reputação de grandes empresas.

Para a Blockbit, fornecedora global de produtos de cibersegurança, esses incidentes representam desafios ainda maiores para organizações nos próximos anos.

Marcel Mathias, Diretor de P&D da Blockbit, comenta que, no Brasil, a partir de 2019 as empresas precisarão definir investimentos para estar em compliance com a LGPD (Lei Geral de Proteção de Dados) – recentemente aprovada pela Presidência da República -, protegendo clientes de forma adequada, prevenindo o vazamento de dados e evitando severas penalidades.

Para o especialista, empresas passarão a se preocupar mais com a proteção de dados por conta do reforço da lei. “Mas essa é uma mudança boa para o mercado, pois nos últimos anos vimos inúmeros incidentes ocorrer por falta de adoção de medidas de segurança da informação, seja em relação a tecnologia basilar, seja em relação a gestão eficaz”, disse.

Liderada pela adaptação à LGPD, as seis tendências de cibersegurança para 2019 são:

Privacidade com transparência

A LGPD determina a adoção de medidas técnicas de segurança, mas não define quais. E para definir medidas adequadas, as empresas precisão aumentar a visibilidade sobre o seu ambiente de TI. As ferramentas de proteção ativa contra ameaças (detecção) serão importantes, mas também as de gestão de vulnerabilidades (prevenção) e registro de atividades (auditoria). Segundo Mathias, além da proteção, para estar em conformidade as organizações também devem estar preparadas para reportar eventuais incidentes e ataques aos órgãos competentes. “Esse estágio também demanda tecnologia integrada a todas as ferramentas e garante não apenas a conformidade com a lei, como mais transparência”, apontou.

Menos complexidade na gestão de cibersegurança

“As empresas devem estar preparadas para ameaças cada vez mais avançadas, mas precisam de soluções que simplifiquem suas análises, tornando a tomada de decisão mais ágil”, alertou o executivo. Para ele, os próximos anos serão decisivos para posicionar a segurança da informação como fator estratégico para as empresas. Para investir mais em cibersegurança, o mercado demandará soluções mais integradas, que diminuam a complexidade da gestão de segurança e overhead financeiro e técnico.

Segurança no escopo

Mathias alerta também para a necessidade urgente que é adotar segurança desde o escopo de desenvolvimento (security by design) de qualquer produto ou serviço. Tecnologias como internet das coisas (IoT), computação em nuvem e soluções para mobilidade avançam ano a ano e será preciso oferecer uma experiência mais segura para os usuários.

Máquinas inteligentes

Outra tendência crescente é o uso de machine learning, mas esta é uma faca de dois gumes. Por um lado, a indústria está evoluindo e empregando técnicas baseadas em aprendizado de máquina para detectar ameaças e ataques. Por outro, esse mesmo aprendizado pode ser aplicado pelos criminosos, para desenhar e customizar suas técnicas. Ou seja, como é utilizada para garantir a segurança das informações, a tecnologia também será aplicada para desenvolver ataques cada vez mais sofisticados.

A onda de sequestros virtuais continua

Ransomware continuará a preocupar nos próximos anos, porém inaugurando uma nova era de ataques mais direcionados. Com a perspectiva maior retorno financeiro, os alvos serão principalmente as pessoas jurídicas e os ataques mais customizados.

Contudo, a onda de sequestros abrangentes não perderá força, porém a principal ameaça será o criptojacking, um golpe baseado na exploração de dispositivos (mobile e desktop) para minerar criptomoeadas. A diferença desta técnica é que não interessa ao atacante bloquear as funções do dispositivo, como no caso do ransomware. Ao contrário, interessa a exploração anônima de um dispositivo em pleno funcionamento, para minerar por mais tempo.

Em ambos os casos, haverá uma grande demanda de uso de serviços de Threat Intelligence, monitorando atividades na Deep Web, onde há uma rede de troca de informações e venda de aplicações maliciosas para promover estes tipos de ataque.

Atenção às técnicas básicas

Embora não sejam novidades, ataques distribuídos (DDoS), ataques baseados em força bruta e, principalmente, as técnicas a serviço da engenharia social, que focam na camada humana, continuarão crescendo. A evolução dos formatos de phishing e fraudes cibernéticas é um grande ponto de atenção e demanda que as empresas sejam diligentes na gestão de segurança e incentivem os seus usuários a conhecer mais sobre cibersegurança. “O aperfeiçoamento na engenharia social é constante, pois funciona como uma primeira etapa para diversos tipos de golpes, explorando a camada mais suscetível a falhas, que é o usuário”, finalizou Mathias.

Quer investir em cibersegurança em 2019 e adequar sua empresa ao LGPD? Conte com uma consultoria Future! Somos parceiros dos maiores fabricantes de segurança, disponibilidade e performance do mundo! Clique aqui e entre em contato conosco.

Fonte: ComputerWorld.

Read More
4 dezembro 2018
adm.future
0
Categories: Blog, Notícias

Classificação de dados é a chave para proteger as informações, incluindo o cumprimento das normas GDPR e LGPD

Martin Sugden, CEO da Boldon James, esteve no Brasil esta semana e alertou para o cumprimento da LGPD: “as empresas precisam saber que tipo de informação têm, se são armazenadas e como lidar com isso”.

Embora as organizações estejam cada vez mais preocupadas com a proteção de dados, muitas não possuem as ferramentas adequadas para proteger suas informações e não aplicam a classificação de dados a seus processos de coleta, processamento e tratamento de dados.

Os sistemas foram projetados para visualizar os dados como “pertencentes à empresa” e não ao “indivíduo que os compartilhava” com a organização. Com a chegada do GDPR e da LGPD, as organizações estão tendo que se adaptar à nova realidade.

Martin Sugden, CEO da Boldon James, esteve no Brasil esta semana para conversar clientes e parceiros locais e em um encontro com jornalistas, alertou para o cumprimento da LGPD: “As empresas precisam saber que tipo de informação têm, se é armazenado e como lidar com isso”.

De acordo com Sugden, “Depois de entender as informações que você tem e onde as informações são armazenadas, você pode tomar decisões sobre o nível de segurança a ser aplicado, quem pode acessá-las, caso seja criptografada ou anônima. A estratégia de segurança atual deve levar em conta que as regras de GDPR e LGPD são rígidas e que qualquer informação deve ser protegida onde quer que ela esteja, incluindo em dispositivos móveis, na cadeia de suprimentos ou com consultores”, comentou. “Os usuários precisam conhecer, entender e aplicar as políticas de segurança das organizações”, enfatizou.

Martin Sugden citou pesquisas recentes que apontam que pelo menos um terço dos executivos de TI afirmam que a segurança móvel é uma das maiores preocupações, especialmente porque práticas de trabalho modernas envolvendo dispositivos móveis, mídias sociais e BYOD, “o que facilita a perda ou o compartilhamento de dados”, afirmou ele.

De acordo com o CEO da Boldon James, as empresas de serviços financeiros relatam mais preocupações sobre segurança de dados, mas são elas que estão entre as empresas que mais investem em políticas e ferramentas de classificação de dados. Com o GDPR e LGPD, os investimentos das instituições bancárias e financeiras em segurança devem aumentar.

“Outras organizações devem seguir o mesmo caminho, para que possam proteger melhor seus dados vitais de negócios”, enfatiza Sugden, que trabalha há 30 anos no desenvolvimento de técnicas de classificação de dados. Ele é responsável por inúmeros projetos pioneiros de classificação de dados em grandes empresas em vários países.

A solução Boldon James permite que as etiquetas sejam filtradas para manipular, reter ou enviar documentos com segurança fora das organizações, seja para dispositivos móveis, parceiros ou clientes. Por exemplo, o executivo lembrou que no ano passado um USB foi encontrado em uma rua de Londres com 76 arquivos sobre a rota tomada pela rainha Elizabeth ao usar o aeroporto de Heathrow, incluindo o horário das patrulhas do aeroporto contra ações terroristas.

“Esses dados não devem ser baixados e devem ser criptografados. Um rótulo simples acionaria uma ferramenta de gerenciamento de direitos para impedir que isso acontecesse”, comentou.

“Você sabe o que é crítico em sua empresa? Se a tecnologia de classificação de dados fosse aplicada em conjunto com uma solução de prevenção de perda de dados ou gerenciamento de direitos, essa perda de dados sensível provavelmente teria acontecido”, disse Martin Sugden.

A Boldon James atua no Brasil através de uma rede de parceiros locais, incluindo Apura, Netconn e B & A – Brasiliano & Associados. Para a empresa brasileira deve considerar as oportunidades que a GDPR e LGPD oferecem para elevar o nível de segurança dos dados.

“Os parceiros locais podem ajudá-lo a fornecer uma solução abrangente para atender às suas demandas regulatórias”, destaca o executivo.

Quer adequar sua empresa ao LGPD e/ou GDRP? Conte com a Future! Clique aqui e entre em contato conosco.

Fonte: CryptoID.

Read More
28 novembro 2018
adm.future
0
Categories: Blog, Notícias, Segurança

Lei de Proteção de Dados impõe novos comportamentos a usuários e empresas

Há poucos meses do início de sua vigência, a Lei Geral de Proteção de Dados ainda é terreno obscuro às empresas (públicas e privadas) e também aos usuários brasileiros. O tema, que já vinha sendo discutido no país desde o ano 2000, ganhou relevância após a aprovação do GDPR (General Data Protection Regulation), na Europa, em maio deste ano, possibilitando maior controle das pessoas sobre suas informações pessoais.

Segundo Roberto Stern, CEO da Adamos Tecnologia, apesar de ambas terem nomes semelhantes, o GDPR e a LGPD possuem alguns aspectos diferentes. “A GDPR é mais abrangente e detalhista. A LGPD tem diversos aspectos dúbios e sem definições detalhadas, salvo a regulação da proteção e armazenamento de dados pessoais”, explica Stern, especialista em segurança da informação.

Nos poucos meses de vacatio legis, empresas públicas e privadas, bem como os usuários de seus serviços, precisam se adequar aos aspectos legais e entender a nova dinâmica comportamental que ela gerará a partir da sua incidência, em fevereiro de 2020. Entre os principais desafios que a LGPD traz é a adoção reiterada e demonstrada de mecanismos e políticas internas capazes de minimizar o dano e demonstrar o tratamento seguro e adequado aos dados pessoais, tudo atrelado a um sistema de governança voltada à imediata implementação de medidas corretivas. Porém esses procedimentos não são a realidade em 80% das empresas internacionais, ou seja, as de grande porte, que dirá as nacionais”, aponta Stern.

Segundo o executivo, apesar de alarmante, é bastante comum grandes provedoras de internet, de serviços de e-mail, cloud e até fornecedoras de software não terem um sistema criptografado para a armazenar os dados de seus clientes. “Casos famosos de vazamento de dados provam isso, como ocorrera com o Yahoo, a Netshoes, o Facebook e o Ashley Madison, por exemplo, o que deve ser visto com bastante preocupação pelos usuários, ainda mais quando comparada a estrutura das gigantes do Vale do Silício às empresas nacionais, públicas ou privadas”, alerta o especialista.

Para o executivo, como o objetivo da LGPD é trazer maior segurança aos dados e, ao mesmo tempo, maior autonomia aos usuários, que poderão ou não autorizar a coleta, o compartilhamento e o tratamento de seus dados pessoais e até optar pelo esquecimento, a população deve ser alertada para a nova e importante dinâmica que a LGPD traz. “Cada pessoa terá o direito ao correto tratamento, armazenamento, correção, sigilo e à criptografia de seus dados”.

“A lei, como qualquer outra, não pretende evitar o uso indevido, mas dará o respaldo jurídico para que cada usuário recorra ao Poder Judiciário fazendo com que os que hajam ilegalmente sejam processados por suas inadvertências, abusos ou fraudes, correndo o risco de pagar multas altíssimas”, aponta o especialista.
Algumas dessas adequações, é manter os dados pessoais de forma segura e sigilosa, ou seja, as empresas necessariamente precisarão adotar um sistema criptografado para realizar o armazenamento e compartilhamento (quando permitido pelo usuário) o mais inviolável possível. “Manter os dados da empresa num backup, em nuvem, e 100% criptografado não será mais uma opção, mas sim uma obrigação. Na Adamos, o que mais chamou nossa atenção, a partir da promulgação da LGPD é que já estávamos com nossa solução, o Safe Cloud Backup, totalmente adequada aos requisitos legais”, detalha Stern.

De acordo com o especialista, como a prática da empresa já era a de usar a criptografia end to end, de forma que somente o cliente final saiba a senha, e todo o conteúdo enviado de maneira automática para o backup à nuvem é inviolável, ninguém tem acesso, logo não é possível realizar tratamento sem autorização nesses dados.

Além disso, a LGPD indica que as empresas, públicas ou privadas, devem informar as finalidades especificas do tratamento de dados, bem como sua forma e duração. Também deverão indicar, de forma transparente, quem é o controlador e quais os seus contatos, bem como se haverá uso compartilhado das informações, elencando, ainda, os direitos do titular sobre os mesmos, entre outros aspectos.

Ademais, dentro da nova legislação, o usuário torna-se mediador de seus próprios dados, ou seja, toda e qualquer movimentação, deve ser autorizada por ele. “Esses são os pilares centrais da LGPD: o consentimento do proprietário dos dados e a definição do motivo da organização coletar os mesmos. Ambos devem caminhar em sintonia, tendo, portanto, as autoridades um papel importante na manutenção do equilíbrio entre os direitos dos usuários e os deveres das empresas captadora dos dados. “O tratamento deve ser explicitado e o consentimento requerido antes do “tratamento”. Ou seja, não será mais possível “monetizar” os dados e informações sem a autorização do usuário”, finaliza o CEO.

Quer adequar sua empresa a LGPD? Leia nossas dicas e clique aqui para entrar em contato conosco!

Fonte: SEGS.

Read More
16 novembro 2018
adm.future
0
Categories: Blog, Notícias

LGPD: 10 dúvidas sobre a nova Lei

A Lei Geral de Proteção de Dados (LGPD) foi sancionada pela Presidência da República em agosto e suas novas regras afetarão todas as atividades que envolvam a utilização de dados pessoais em empresas brasileiras, que têm até 2020 para se adequarem. As regras buscam proteger os dados contra as vulnerabilidades e vazamento.

Veja abaixo algumas dúvidas frequentes sobre o assunto, respondidas por Vitor Corá, especialista em cibersegurança na Trend Micro, e Gabriela Crevilari, advogada do escritório Assis e Mendes.

Quem fiscalizará se as empresas estão em conformidade com a lei e efetivamente protegendo os dados?

O controle sobre a proteção de dados será exercido pela Autoridade Nacional de Proteção de Dados que será criada para este fim. A partir do momento em que for criada, é que saberemos mais sobre diretrizes quanto a fiscalização e formas de controle.

Como será comprovado que a empresa garante a proteção dos dados?

É necessário que as empresas, por meio de assessorias especialistas em proteção de dados, estude quais são os dados que coleta e armazena e com quem compartilha para, então, definir estratégias de segurança, nos quais poderão futuramente serem considerados os meios de comprovação da garantia sobre a proteção de dados sob seu controle.

Como fica o relacionamento com parceiros?

É necessário que atualizem os contratos, com cláusulas específicas sobre a proteção de dados com parceiros em que seja necessário o compartilhamento de dados.

Apenas o contrato firmado entre as partes garantirá que elas seguem a lei?

Não. O contrato firmado entre as partes será apenas um dos instrumentos para a comprovação de atendimento à lei. É importante que as empresas que realizarem o tratamento de dados se preocupem em investir em dispositivos de segurança para que minimize as possíveis penalidades impostas pela lei.

Caso ocorra, como comprovar que a empresa sabia do vazamento de dados?

Quando estiver sob investigação, a empresa deverá comprovar os métodos de segurança que utilizou. Assim, apenas após a apuração, é que haverá a decisão sobre a aplicação de penalidades ou não.

Assim como na Europa, haverá a necessidade de um funcionário terceiro para checar se a empresa está seguindo as novas regras?

Sim. Assim como no Regulamento Europeu, a LGPD brasileira demanda da figura do Encarregado pela Proteção de Dados. A Lei não determina sobre o tamanho das empresas que devem atender esta exigência, cabendo até o momento para todas as empresas que realizarem o tratamento de dados.

E caso um vazamento ocorra de uma empresa estatal?

O artigo 3º da LGPD diz que a Lei será aplicada a qualquer operação de tratamento realizada por pessoa física ou por pessoa jurídica de direito público ou privado. Desta forma, a LGDP delimitou um capítulo (art. 23 ao 30) exclusivo que definem as regras para o tratamento de dados pelo poder público.

Em caso de vazamento dos dados, a Legislação prevê a publicação do ocorrido via canais de mídia? A empresa terá um prazo para corrigir a falha?

Este ponto é uma espécie de penalidade prevista pela lei e que dependerá da decisão do órgão investigador, inclusive quanto ao prazo de correção.

O simples cadastro de funcionários de uma empresa também é um exemplo de informação que deverá ser cuidada sobre a LGPD?

Sim. Todo documento que contenha dados pessoais deverá ser protegido em conformidade com o que diz a LGPD.

Como deve seguir a relação entre a empresa e o cliente quando a finalidade de uso dos dados consentido mudar?

Nesta hipótese, a empresa deverá informar o cliente sobre a nova finalidade dos dados anteriormente coletados, devendo a empresa, ainda, recolher o consentimento do cliente para as novas finalidades.

Quer colocar sua empresa em conformidade com a LGPD? Conte com a Future! Clique aqui e entre em contato conosco!

Fonte: IT Forum 365.

Read More

Receba conteúdos exclusivos