LGPD: Proteção de dados e os principais riscos de segurança para empresas

A segurança da informação atingiu um novo patamar com a entrada em vigor da LGPD (Lei Geral de Proteção de Dados). Em linhas gerais, a lei determina que os agentes de tratamento devam adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais.

Retomando um conceito importante, quando dizemos agente de tratamento, estamos nos referindo, provavelmente, à sua empresa, que realiza algum tipo de operação de tratamento envolvendo dados pessoais, sejam estes dados de clientes, colaboradores, parceiros ou outros.

Fiscalização.

Esteja em conformidade com a LGPD

Nós analisamos a situação da sua empresa e ajudamos com todo o processo de adequação à lei. Fale com a Get Privacy.

Relação entre proteção de dados pessoais e segurança da informação

Para esclarecer, o termo proteção de dados pessoais tem uma relação estreita com o conceito de segurança da informação.

A proteção de dados pessoais restringe-se, de fato, aos dados pessoais (informação relacionada à pessoa física), no objetivo de proteger direitos fundamentais da pessoa, denominada titular.

Por outro lado, a segurança da informação, de forma mais abrangente, volta-se à informação como um ativo da empresa, o que pode ou não incluir o dado pessoal.

A segurança da informação é orientada a garantir, principalmente, os pilares da confidencialidade e da integridade.

A confidencialidade trata de que apenas pessoas com permissão tenham acesso aos dados, enquanto a integridade versa sobre a manutenção do conteúdo da informação, para que ela não seja alterada ou excluída propositalmente ou acidentalmente.

A segurança dos dados como requisito de compliance à LGPD

Pelo artigo 46 da LGPD, a segurança da informação deixou de configurar apenas boa prática para compor um requisito de conformidade com a lei:

“Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.

Na sequência, o Art. 49 reforça a preocupação que as empresas devem ter em relação à proteção dos dados.

“Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares”.

Na prática, para estar em conformidade com a LGPD, é essencial que os agentes de tratamento encontrem soluções que visem garantir a segurança dos dados pessoais.

Lembre-se que os incidentes de dados (ou sinistros) não se limitam aos famosos vazamentos. A alteração de uma informação pode gerar consequências tão ou mais gravosas que a sua própria perda.

Inclusive, para determinadas situações, é recomendável a elaboração de um Relatório de Impacto à Proteção de Dados (RIPD), pelo qual avalia-se, de maneira prévia, um determinado processo de tratamento de dados sob a perspectiva do risco e das medidas correspondentes para o seu gerenciamento.

6 riscos de segurança para empresas envolvendo dados

Com o objetivo de descomplicar os aspectos de segurança da informação que envolvem a LGPD, criamos uma lista com os principais riscos para as empresas. Acompanhe.

1) Acesso indevido a dados pessoais

A questão do acesso indevido é um dos principais pontos da lei e um dos maiores riscos a empresas. A LGPD é bem clara quando aponta que apenas pessoas autorizadas devem ter acesso aos dados pessoais de terceiros. 

Obviamente, o acesso não autorizado pode resultar em graves problemas, como adulteração de dados e até vazamento de informações. O grande problema do acesso indevido é que há dois riscos.

Primeiro, uma ameaça externa. Vamos falar mais sobre isso nos próximos tópicos, ao abordarmos ataques de ransomware e phishing, por exemplo. 

Segundo, uma ameaça interna. Ou seja, pessoas que têm acesso a um sistema e, consequentemente, a dados pessoais, mas não deveriam.

Se a empresa adotar soluções de cibersegurança como, por exemplo, controle de acesso, autenticação multifator, monitoramento de logs e gerenciador de eventos (SIEM), já é uma boa maneira de proteger os dados melhor.

2) Perda de dados pessoais

A perda de dados pessoais é um assunto sério e também representa um grande risco quando falamos sobre segurança da informação para empresas. 

Segundo a LGPD, por exemplo, em casos de incidentes que envolvam a perda de dados e podem apresentar riscos para os titulares, a empresa deve comunicar a Autoridade Nacional de Proteção de Dados (ANPD), que é a agência reguladora, e os titulares.

No caso de empresas, a perda de dados é muito comum quando acontecem mudanças ou atualizações de sistemas e de infraestrutura, e em casos de ataques hacker, como ransomware e phishing.

É por isso que sempre falamos aqui no blog sobre a importância do backup. O backup é uma solução indispensável para empresas que contribuiu muito para prevenir a perda de dados pessoais. 

3. Armazenamento inseguro de dados

Problemas com armazenamento de dados são bem recorrentes no ambiente corporativo. Um dos principais motivos é que as empresas, normalmente, não possuem uma política clara de instrução aos funcionários e colaboradores sobre como e onde esses dados devem ser armazenados.

Outro motivo diz respeito ao fato de que as empresas não utilizam soluções de armazenamento adequadas para o seu tipo e modelo de negócio.

O resultado dessa falta de cuidado com o armazenamento de dados é um só: credenciais e dados pessoais mais vulneráveis a roubo e sequestro, o que representa um grande risco frente às determinações da LGPD.

Existem diferentes soluções de armazenamento ou archiving de dados no mercado. A questão é entender quais delas se encaixam no perfil da sua empresa e, além disso, oferecem a segurança e o sigilo que você precisa.

4) Vazamento de dados

O vazamento de dados é uma das maiores preocupações das empresas e um grande risco porque, quando acontece, há desdobramentos que costumam afetar também a reputação e a marca da organização.

De acordo com o relatório da Verizon sobre vazamentos de dados, os golpes de phishing, a falha humana e o uso de credenciais roubadas estão entre as principais causas de vazamentos de dados.

O relatório aponta que 72% dos vazamentos de dados atingiram grandes empresas, com os 28% restantes atingindo as pequenas. Do total, 58% das empresas atingidas tiveram dados pessoais comprometidos.

O documento diz ainda que 22% dos vazamentos de dados tiveram como fator o erro ou a falha humana, que podem ser enquadrados também como casos acidentais.

Por exemplo, o Ministério da Saúde falhou no quesito proteção de dados, em dezembro. Informações pessoais de mais de 200 milhões de brasileiros cadastrados no SUS e clientes de planos de saúde foram expostas na internet durante cerca de seis meses. Dados como, por exemplo, nome completo, endereço e CPF.

A razão do problema foi a exposição inadequada, no site do Ministério da Saúde, das credencias de acesso a um sistema de armazenamento de dados.

5) Ransomware

As ameaças externas são o principal risco à segurança de dados e informações. Dentro disso, citamos como exemplo os ataques de ransomware, que é uma das ameaças cibernéticas mais utilizadas contra empresas.

O ransomware é um tipo de malware que sequestra e criptografa dados. Depois, o hacker cobra um resgate pelas informações.

Mas, agora, com a consolidação da LGPD e de outras leis de proteção de dados, os hackers têm ameaçado publicar na web os dados sequestrados caso o resgate não seja pago. 

Desta forma, a empresa pode sofrer sanções perante a lei e ainda tem informações importantes divulgadas para concorrentes. 

É o que aconteceu com a Embraer, que foi vítima do ransomware RansomEx, em dezembro. Os dados vazados da empresa incluem informações de funcionários, contratos comerciais, fotos de simulações de voo e código-fonte.

6) Phishing

O phishing é outro tipo de ameaça externa que é muito usada por cibercriminosos para comprometer empresas e organizações. Nos ataques de phishing, que em mais de 90% dos casos ocorrem via e-mail, o hacker se passa por uma pessoa ou empresa para roubar dados e informações confidenciais.

Os golpes de phishing são muito utilizados para o roubo de credenciais que depois vão permitir o acesso a sistemas e dados pessoais. 

Por exemplo, assim que fez uma atualização da nova página de entrada do Azure AD, a Microsoft noticiou que cibercriminosos já estavam enviando e-mails de phishing com o objetivo de roubar credenciais. 

Este é um exemplo comum que acontece muito também com as páginas de login do Microsoft Office 365, do G Suite e da Amazon Web Services (AWS).

Como melhorar a proteção dos dados na sua empresa?

A Get Privacy pode te auxiliar na avaliação e na busca por melhorias de segurança que vão reforçar a proteção de dados pessoais dentro da sua empresa. Para isso, nós contamos com uma equipe especializada em privacidade, segurança da informação e compliance. 

Fale com a gente.

Fiscalização.

Confira nosso diagnóstico para LGPD!

Responda o questionário e entenda os riscos e a situação da sua empresa em relação à Lei Geral de Proteção de Dados.

acompanhe
nossas redes

receba
mais notícias

Receba dicas e notícias sobre LGPD, privacidade e segurança de dados.

CONFIRA
OUTROS POSTS