LGPD: Proteção de dados e os principais riscos de segurança para empresas
A segurança da informação atingiu um novo patamar com a entrada em vigor da LGPD (Lei Geral de Proteção de Dados). Em linhas gerais, a lei determina que os agentes de tratamento devam adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais.
Retomando um conceito importante, quando dizemos agente de tratamento, estamos nos referindo, provavelmente, à sua empresa, que realiza algum tipo de operação de tratamento envolvendo dados pessoais, sejam estes dados de clientes, colaboradores, parceiros ou outros.
Confira neste artigo!
Esteja em conformidade com a LGPD
Nós analisamos a situação da sua empresa e ajudamos com todo o processo de adequação à lei. Fale com a Get Privacy.
Relação entre proteção de dados pessoais e segurança da informação
Para esclarecer, o termo proteção de dados pessoais tem uma relação estreita com o conceito de segurança da informação.
A proteção de dados pessoais restringe-se, de fato, aos dados pessoais (informação relacionada à pessoa física), no objetivo de proteger direitos fundamentais da pessoa, denominada titular.
Por outro lado, a segurança da informação, de forma mais abrangente, volta-se à informação como um ativo da empresa, o que pode ou não incluir o dado pessoal.
A segurança da informação é orientada a garantir, principalmente, os pilares da confidencialidade e da integridade.
A confidencialidade trata de que apenas pessoas com permissão tenham acesso aos dados, enquanto a integridade versa sobre a manutenção do conteúdo da informação, para que ela não seja alterada ou excluída propositalmente ou acidentalmente.
A segurança dos dados como requisito de compliance à LGPD
Pelo artigo 46 da LGPD, a segurança da informação deixou de configurar apenas boa prática para compor um requisito de conformidade com a lei:
“Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.
Na sequência, o Art. 49 reforça a preocupação que as empresas devem ter em relação à proteção dos dados.
“Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares”.
Na prática, para estar em conformidade com a LGPD, é essencial que os agentes de tratamento encontrem soluções que visem garantir a segurança dos dados pessoais.
Lembre-se que os incidentes de dados (ou sinistros) não se limitam aos famosos vazamentos. A alteração de uma informação pode gerar consequências tão ou mais gravosas que a sua própria perda.
Inclusive, para determinadas situações, é recomendável a elaboração de um Relatório de Impacto à Proteção de Dados (RIPD), pelo qual avalia-se, de maneira prévia, um determinado processo de tratamento de dados sob a perspectiva do risco e das medidas correspondentes para o seu gerenciamento.
6 riscos de segurança para empresas envolvendo dados
Com o objetivo de descomplicar os aspectos de segurança da informação que envolvem a LGPD, criamos uma lista com os principais riscos para as empresas. Acompanhe.
1) Acesso indevido a dados pessoais
A questão do acesso indevido é um dos principais pontos da lei e um dos maiores riscos a empresas. A LGPD é bem clara quando aponta que apenas pessoas autorizadas devem ter acesso aos dados pessoais de terceiros.
Obviamente, o acesso não autorizado pode resultar em graves problemas, como adulteração de dados e até vazamento de informações. O grande problema do acesso indevido é que há dois riscos.
Primeiro, uma ameaça externa. Vamos falar mais sobre isso nos próximos tópicos, ao abordarmos ataques de ransomware e phishing, por exemplo.
Segundo, uma ameaça interna. Ou seja, pessoas que têm acesso a um sistema e, consequentemente, a dados pessoais, mas não deveriam.
Se a empresa adotar soluções de cibersegurança como, por exemplo, controle de acesso, autenticação multifator, monitoramento de logs e gerenciador de eventos (SIEM), já é uma boa maneira de proteger os dados melhor.
2) Perda de dados pessoais
A perda de dados pessoais é um assunto sério e também representa um grande risco quando falamos sobre segurança da informação para empresas.
Segundo a LGPD, por exemplo, em casos de incidentes que envolvam a perda de dados e podem apresentar riscos para os titulares, a empresa deve comunicar a Autoridade Nacional de Proteção de Dados (ANPD), que é a agência reguladora, e os titulares.
No caso de empresas, a perda de dados é muito comum quando acontecem mudanças ou atualizações de sistemas e de infraestrutura, e em casos de ataques hacker, como ransomware e phishing.
É por isso que sempre falamos aqui no blog sobre a importância do backup. O backup é uma solução indispensável para empresas que contribuiu muito para prevenir a perda de dados pessoais.
3. Armazenamento inseguro de dados
Problemas com armazenamento de dados são bem recorrentes no ambiente corporativo. Um dos principais motivos é que as empresas, normalmente, não possuem uma política clara de instrução aos funcionários e colaboradores sobre como e onde esses dados devem ser armazenados.
Outro motivo diz respeito ao fato de que as empresas não utilizam soluções de armazenamento adequadas para o seu tipo e modelo de negócio.
O resultado dessa falta de cuidado com o armazenamento de dados é um só: credenciais e dados pessoais mais vulneráveis a roubo e sequestro, o que representa um grande risco frente às determinações da LGPD.
Existem diferentes soluções de armazenamento ou archiving de dados no mercado. A questão é entender quais delas se encaixam no perfil da sua empresa e, além disso, oferecem a segurança e o sigilo que você precisa.
4) Vazamento de dados
O vazamento de dados é uma das maiores preocupações das empresas e um grande risco porque, quando acontece, há desdobramentos que costumam afetar também a reputação e a marca da organização.
De acordo com o relatório da Verizon sobre vazamentos de dados, os golpes de phishing, a falha humana e o uso de credenciais roubadas estão entre as principais causas de vazamentos de dados.
O relatório aponta que 72% dos vazamentos de dados atingiram grandes empresas, com os 28% restantes atingindo as pequenas. Do total, 58% das empresas atingidas tiveram dados pessoais comprometidos.
O documento diz ainda que 22% dos vazamentos de dados tiveram como fator o erro ou a falha humana, que podem ser enquadrados também como casos acidentais.
Por exemplo, o Ministério da Saúde falhou no quesito proteção de dados, em dezembro. Informações pessoais de mais de 200 milhões de brasileiros cadastrados no SUS e clientes de planos de saúde foram expostas na internet durante cerca de seis meses. Dados como, por exemplo, nome completo, endereço e CPF.
A razão do problema foi a exposição inadequada, no site do Ministério da Saúde, das credencias de acesso a um sistema de armazenamento de dados.
5) Ransomware
As ameaças externas são o principal risco à segurança de dados e informações. Dentro disso, citamos como exemplo os ataques de ransomware, que é uma das ameaças cibernéticas mais utilizadas contra empresas.
O ransomware é um tipo de malware que sequestra e criptografa dados. Depois, o hacker cobra um resgate pelas informações.
Mas, agora, com a consolidação da LGPD e de outras leis de proteção de dados, os hackers têm ameaçado publicar na web os dados sequestrados caso o resgate não seja pago.
Desta forma, a empresa pode sofrer sanções perante a lei e ainda tem informações importantes divulgadas para concorrentes.
É o que aconteceu com a Embraer, que foi vítima do ransomware RansomEx, em dezembro. Os dados vazados da empresa incluem informações de funcionários, contratos comerciais, fotos de simulações de voo e código-fonte.
6) Phishing
O phishing é outro tipo de ameaça externa que é muito usada por cibercriminosos para comprometer empresas e organizações. Nos ataques de phishing, que em mais de 90% dos casos ocorrem via e-mail, o hacker se passa por uma pessoa ou empresa para roubar dados e informações confidenciais.
Os golpes de phishing são muito utilizados para o roubo de credenciais que depois vão permitir o acesso a sistemas e dados pessoais.
Por exemplo, assim que fez uma atualização da nova página de entrada do Azure AD, a Microsoft noticiou que cibercriminosos já estavam enviando e-mails de phishing com o objetivo de roubar credenciais.
Este é um exemplo comum que acontece muito também com as páginas de login do Microsoft Office 365, do G Suite e da Amazon Web Services (AWS).
Como melhorar a proteção dos dados na sua empresa?
A Get Privacy pode te auxiliar na avaliação e na busca por melhorias de segurança que vão reforçar a proteção de dados pessoais dentro da sua empresa. Para isso, nós contamos com uma equipe especializada em privacidade, segurança da informação e compliance.
Confira nosso diagnóstico para LGPD!
Responda o questionário e entenda os riscos e a situação da sua empresa em relação à Lei Geral de Proteção de Dados.
CONFIRA
OUTROS POSTS
