nota6

Processos de segurança da informação geram dados sujeitos a leis de proteção

Enquanto as organizações focam na proteção de dados nos sistemas de negócios, informações relativas à própria operação e gerenciamento da infraestrutura de rede e segurança podem ser um ponto sensível na hora da auditoria de conformidade às legislações de privacidade e proteção de dados pessoais.

“O volume e as consequências dos grandes incidentes mostram a dificuldade de controlar a estrutura de TI. À medida que a legislação obriga a notificação e define responsabilidades, é tão essencial que as empresas documentem os incidentes, os impactos e as medidas de mitigação nos termos legais”, advertiu Jens Bothe, diretor de consultoria da OTRS, provedora de sistemas para gerenciamento de serviços de TI.

Segundo Bothe, o volume de ataques e incidentes hoje leva as organizações a estruturar Centros de Operações de Segurança (SOC), próprios ou terceirizados. Ao mesmo tempo em que as equipes de TI e cibersegurança, assim como os provedores de serviços gerenciados, trabalham na conformidade à GDPR (regulação geral de proteção de dados, da União Europeia) e à LGPD (Lei Geral de Proteção de Dados), as atividades da própria gestão de TI geram dados pessoalmente identificáveis. “As informações sobre autorizações, acessos etc. pertencem à companhia e a exposição está em contrato. Ainda assim, é recomendável que as comunicações sejam criptografadas e os dados restritos aos gestores autorizados”, menciona. No entanto, há casos mais específicos, em que parte das informações (o IP de origem de um relatório, por exemplo) é sujeita à notificação à pessoa identificável, ou é preciso anonimizar esse dado.

Embora a regulação no Brasil seja incipiente em comparação à União Europeia, Bothe avalia que as corporações em todo o mundo tenham um nível de maturidade semelhante. Com as legislações, as transferências internacionais de dados ficam restritas a países com mecanismos “equiparáveis” de proteção de dados, o que leva ao nivelamento de processos de cibersegurança e condutas ao longo de toda a operação de companhias globais. “Os gaps mais preocupantes estão entre os pequenos e médios negócios. São empresas com limitações de orçamento, de equipes, mas que ainda assim têm as mesmas obrigações”, pondera.

Compliance não é problema só do DBA

Com as regras de proteção e os riscos relacionados a vazamento de dados, o DBA (administrador de banco de dados) se torna um interlocutor mais habitual do CISO e da própria direção da empresa. Disciplinas como criptografia e DLP (prevenção a perda de dados) ganham destaque. No entanto, além da proteção do dado em si, os ataques às aplicações e à infraestrutura também precisam ser mitigados. “As companhias estão concentradas em proteger os cadastros e as bases de dados dos sistemas de negócios. Mas os dados inseridos para o ingresso de um visitante na rede Wi-fi ou o histórico de login de um funcionário também são informações pessoalmente identificáveis” destacou Alexandre Bonatti, diretor de engenharia da Fortinet . “Há dados adjacentes que podem gerar problemas na hora de auditoria de compliance”, avisa.

Bonatti lembra que “tempo” é um fator decisivo na cibersegurança, o que torna recomendável uma abordagem “multicamada” de resposta a ameaças. Por exemplo, entre o momento de descoberta de vulnerabilidade no sistema operacional ou no banco de dados e a implementação da patch de correção, a rede pode automaticamente segmentar o tráfego de dados sensíveis e vulneráveis, para minimizar os riscos.

Compartilhe

Notícias relacionadas

Blog
Mudança na natureza jurídica da ANPD fortalece aplicação da LGPD
Por Edilma Rodrigues A Medida Provisória (MPV) nº 1.124, de 13 de junho de 2022 assinada pelo...
Blog
Mercado Pago usa tecnologia de segurança da Mastercard para criptos
A carteira digital do Mercado Livre, o Mercado Pago, vai usar
Blog
Ant Group lança banco digital para micro, pequenas e médias empresas em Singapura
O ANEXT Bank, banco digital de atacado de Singapura e parte do Ant Group, anunciou...
Blog
Cetelem vai reduzir 6 mil toneladas de CO² com emissão de cartões reciclados
O Banco Cetelem Brasil emitiu cerca de 370 mil cartões de plástico reciclado, desde o...

Assine o CANTAnews

Não perca a oportunidade de saber todas as atualizações do mercado, diretamente no seu e-mail

plugins premium WordPress
Scroll to Top