nota2

Proteção de dados pessoais: uma realidade que bate à sua porta

Por Bruno Zani*

A Lei Geral de Proteção de Dados (Lei 13.709/18), que entra em vigor em agosto de 2020, restringe a coleta e armazenamento de dados de clientes, usuários, colaboradores, funcionários, visitantes ou outros, por organizações de todos os portes e segmentos, as quais precisarão do consentimento expresso do titular dos dados, informar como elas serão usadas e zelar para que não sejam expostas. 

Assim, qualquer empresa que atue em território nacional e de alguma forma colete, armazene ou processe dados de cidadãos brasileiros ou estrangeiros que estejam no Brasil, deverá cumprir uma série de obrigações como boas práticas de governança e de segurança no tratamento de dados pessoais; na comunicação de incidentes de segurança; no atendimento a solicitações dos titulares desses dados, demonstração e comprovação da observância e cumprimento da Lei. E o não cumprimento pode sair muito caro. A LGPD prevê a aplicação de sanções administrativas e multas que podem chegar a R$ 50 milhões. Além de muito que tem se falado sobre a lei, pesquisas dão conta que muitas empresas não estão preparadas para atender suas exigências. E agora?

Para se ter uma ideia da dimensão de adequações que as companhias precisam enfrentar, estudo realizado pela MSI-ACI Europe, em nome da McAfee, constatou que os profissionais de segurança de TI entrevistados em dezembro de 2018 sofreram, em média, seis violações graves de dados ao longo de suas carreiras. Em quase três quartos desses incidentes, a violação de dados foi suficientemente grave para exigir divulgação pública ou ter um impacto financeiro negativo na empresa. Outra conclusão do estudo é que os três principais vetores de exfiltração de dados são vazamentos de bancos de dados, aplicativos na nuvem e unidades USB removíveis. O roubo intencional por pessoal interno corresponde a 45% dos incidentes. 

Adicionalmente, um dos principais problemas identificados pela pesquisa é que a tecnologia de segurança continua atuando de forma isolada: 81% relatam políticas ou consoles de gerenciamento separados para agentes de segurança de acesso à nuvem CASBs, do inglês cloud access security broker, e DLP – data loss prevention.

Ainda de acordo com a pesquisa, a integração tecnológica e o treinamento dos funcionários são considerados as duas principais medidas para reduzir o risco de exfiltração de dados. No entanto, a implementação completa e a configuração ativa de tecnologias de segurança fundamentais (como CASB, DLP, EDR – Endpoint Detection and Response) são um passo necessário que provavelmente impediria até 80% das violações vivenciadas pelos entrevistados. 

É importante compreender que para se adequar à LGPD é necessário muito mais que ferramentas isoladas de prevenção de vazamento de dados. Seguindo as diretrizes da Lei, torna-se necessária uma abordagem que busque a implantação de amplos controles tecnológicos e de governança. Entendemos que tais controles fazem parte dos seguintes domínios: governança de proteção de dados e privacidade, segurança com foco nos dados, segurança de aplicações e infraestrutura, e tratamento de incidentes de segurança.

Nuvem: como se preparar para os desafios da LGPD?

Para fazer frente ao escopo de adaptações que a LGPD traz quanto à proteção dos dados armazenados na nuvem, integradores e empresas especializadas em segurança tornaram possível construir uma arquitetura CASB que permite aplicar políticas de DLP a esses dados. Por exemplo, se a política corporativa não permitir que números de cartão de crédito sejam armazenados no serviço de compartilhamento de arquivos na nuvem, um CASB pode ser usado para verificar dados estacionários pré-existentes e ser usado para inspecionar uploads continuamente para detectar violações de política.

Além disso, ele pode oferecer várias opções de correção, como alertar, bloquear em quarentena, criptografar e excluir. Políticas de DLP podem ser criadas nativamente no CASB usando técnicas avançadas, como identidades de dados, correspondência de dados indexados e correspondência exata de dados. A API normalmente é a opção preferencial para serviços de colaboração, pois também permite a aplicação de políticas aos conteúdos criados nativamente no serviço de nuvem. No entanto, os CASBs oferecem tempos de resposta variáveis para a aplicação com APIs, que vão de menos de 30 segundos a mais de 30 minutos.

Governança e segurança na LGPD

A governança corporativa é tratada na Lei da seguinte forma: “Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender… aos padrões de boas práticas e de governança… previstos nesta Lei.” (Artigo 49). Criamos serviços de Data Protection Assessment & Roadmap Planning e de Data Protection Program que apoiam as corporações na adequação desta exigência.

A governança de nuvem, a seu turno, pode ser implementada com o uso da classificação de risco oferecida pela solução de CASB para definir controles de governança de uso aceitável por meio da integração com a infraestrutura existente. Por exemplo, serviços de conversão de PDF na nuvem que reivindicam a propriedade dos dados enviados a eles são classificados no grupo de serviços não permitidos ou proibidos, e todos os envios para esses serviços são automaticamente bloqueados. Normalmente, os usuários do CASB criam pelo menos três categorias: Serviços aprovados pela TI, serviços permitidos e serviços proibidos. Definindo políticas de governança e aproveitando as integrações entre o CASB e o SWG/NGFW, as empresas podem aplicar políticas de governança em tempo real.

O capítulo VII da LGPD trata das muitas obrigações de segurança que devem ser atendidas. Sobre a segurança com foco nos dados, o texto delineia: “…proteger dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.” (Artigo 46) O serviço de Data Loss Prevention Program e diversas soluções da McAfee para CASB, DLP, endpoint, criptografia são essenciais para o atendimento dessa obrigação. A Lei descreve que os “sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança… previstos nesta Lei.” (Artigo 49). Essa exigência diz respeito à segurança de aplicações e infraestrutura que é contemplada com nosso serviço de Red Team Services e muitos produtos.

Para responder a incidentes, a Lei é bem clara: “O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.” (Artigo 48). Nesse sentido, criamos o Incident Response Services, que suportados por várias soluções (CASB, DLP, EDR) que integradas levam a empresas de qualquer porte ou ramo de atuação a atender à LGPD.

A Lei exige transformação e conhecimento

A maioria das empresas tem feito investimentos na aquisição de soluções de DLP locais e na criação de fluxos de trabalho para cobrir uma série de seus processos existentes. Mas, para a proteção ser efetiva, como vimos, um CASB precisa se integrar a essas soluções de DLP locais para expandir os fluxos de trabalho e controles para a nuvem. E ser usado para avaliar todos os arquivos armazenados no box com base nas políticas no McAfee® Total Protection for Data Loss Prevention. Para então aplicar a ação corretiva adequada com base nessas políticas (por exemplo, colocar em quarentena, excluir, criptografar e outras).

Vale salientar que a DLP, EDR e CASB são as tecnologias de segurança típicas implementadas para combater o roubo de dados. Com muita frequência, mesmo que essas ferramentas sejam implementadas numa organização, elas são deixadas numa configuração padrão ou no modo exclusivo de monitoramento. Isso pode ter várias razões, mas as duas mais comuns são a falta de equipes experientes para configurar corretamente as ferramentas ou a crença de que o bloqueio automático de atividades suspeitas perturba muito as atividades comerciais ou os processos de produção.

Para diminuir o risco de exfiltração de dados é imprescindível implementar, configurar e integrar as ferramentas acima de maneira eficiente. A integração é a principal etapa tecnológica e mesmo que 62% das companhias tenham CASB e DLP implementados, vimos que 81% delas têm políticas e/ou consoles separados para gerenciar essas ferramentas, o que atrasa as medidas de detecção e correção.

Além disso, as diretrizes da LGPD precisarão ser abordadas pela alta gerência das organizações, e demandarão o aconselhamento confiável de empresas de segurança especializadas para criar estratégias de transformação de segurança que atendam aos rigores da Lei.

*Bruno Zani é Country Manager / Regional Director da McAfee.

https://www.linkedin.com/in/brunozanisec/?originalSubdomain=br

Compartilhe

Notícias relacionadas

Blog
Mudança na natureza jurídica da ANPD fortalece aplicação da LGPD
Por Edilma Rodrigues A Medida Provisória (MPV) nº 1.124, de 13 de junho de 2022 assinada pelo...
Blog
Mercado Pago usa tecnologia de segurança da Mastercard para criptos
A carteira digital do Mercado Livre, o Mercado Pago, vai usar
Blog
Ant Group lança banco digital para micro, pequenas e médias empresas em Singapura
O ANEXT Bank, banco digital de atacado de Singapura e parte do Ant Group, anunciou...
Blog
Cetelem vai reduzir 6 mil toneladas de CO² com emissão de cartões reciclados
O Banco Cetelem Brasil emitiu cerca de 370 mil cartões de plástico reciclado, desde o...

Assine o CANTAnews

Não perca a oportunidade de saber todas as atualizações do mercado, diretamente no seu e-mail

plugins premium WordPress
Scroll to Top