19°C 28°C
Uberlândia, MG

LGPD pode expor sua empresa a cibercriminosos. Entenda!

LGPD pode expor sua empresa a cibercriminosos. Entenda!

02/12/2022 às 07h00 Atualizada em 02/12/2022 às 10h00
Por: Leonardo Grandchamp
Compartilhe:

Após dois anos de funcionamento da Lei Geral de Proteção de Dados (LGPD), um assunto chama atenção: se por um lado, ela tem o objetivo de proteger os direitos fundamentais de privacidade das pessoas, por outro, a norma tem sido vista, pelos cibercriminosos, como excelente fonte de renda.

Continua após a publicidade

Trata-se de uma faca de dois gumes, afinal, nenhuma companhia quer ter sua reputação comprometida por um vazamento ou exposição de suas próprias referências. Então, os hackers usam a lei para pressionar seus alvos a quitarem o “resgate” com valor mais alto – e mais rápido.

Além de prejudicar a sua imagem, que tem exposto ao mercado suas fragilidades de segurança, ao invadirem os sistemas ou rede e sequestrarem informações críticas e/ou dados pessoais, automaticamente a empresa também pode ser considerada culpada, de acordo com a LGPD, abrindo, assim, caminho para ser multada pela Autoridade Nacional de Proteção de Dados (ANPD). Por isso, as pesadas multas, aliadas ao comprometimento da imagem, são terrenos férteis para que a extorsão dos cibercriminosos esteja acontecendo com frequência cada vez maior.

Para agravar ainda mais o quadro, pelo menos 48% das organizações têm seus sistemas derrubados e dados sequestrados e, por isso, acabam pagando os resgates acreditando que retomarão o controle; mas quase sempre isso não resulta em recuperar todo o conteúdo ou, pior ainda, os dados são vazados na dark web. Essa é a motivação para as gangues cibernéticas fazerem a mesma vítima novamente ou buscarem outros alvos fáceis, aplicando o mesmo golpe.

E o assunto cibersegurança é, em geral, bastante complexo, requer muitos controles, equipes motivadas, treinadas e experimentadas para lidar com as situações do dia a dia e de crise. 

Continua após a publicidade

O que fazer, então? Separei alguns pontos:

1º) Rever o básico: 

Muitas tecnologias já estão implementadas, mas carecem de sustentação de dia a dia. As ferramentas mais elementares como antivírus, sistema de detecção e resposta de endpoints, firewalls e soluções de patching estão presentes em praticamente todas as organizações. Mas é aí que a grande maioria falha, quando não adotam processos e governança mínima para validar a sua aplicação no dia a dia. Sistemas sem patches, por exemplo, são o primeiro alvo de qualquer atacante e, a partir daí, é que novos acessos são conquistados e os grandes problemas começam a surgir.

2º) Limitar o acesso dos atacantes: 

Três vetores lideram a lista de ataques ransomware: sessões de terminal RDP, phishing e credenciais fracas ou vazadas. Por isso, é fundamental evoluir os formatos de acessos às redes corporativas, através de princípios de Confiança Zero (Zero Trust) e a adoção de ferramental para esse fim, como soluções de gestão de acessos privilegiados, anti-phishing e a própria modernização do acesso dos usuários remotos, substituindo a tradicional VPN por modelos conhecidos como ZTA, ZTNA ou SDP. Além de autenticação multifator (MFA), para compor um quadro que minimize o acesso dos atacantes, e numa segunda instância a sua capacidade de lateralizar os ataques, i.e, sair de um ponto A para um ponto B dentro das nossas redes.

3º) Executar um Diagnóstico Situacional: 

É claro que existe muito além do básico quando o assunto é segurança. Mas é importante ter uma visão clara em quatro áreas alvo pra se atingir CIBER-RESILIÊNCIA: 1) Proteção da Informação – aquilo que envolve a proteção dos dados em si, sua manipulação, ciclo de vida e acesso, independentemente de onde estão os dados ou as pessoas; 2) Proteção contra Ameaças – defesas contra malwares e ataques em geral, mas também as tecnologias e processos de recuperação e continuidade de negócios; 3) Gestão de Identidades e Acessos – controles baseados em identidade e comportamentos, provisionamento de usuários e afins, gestão de acessos privilegiados, entre outros; 4) e por fim, as Operações de Segurança, que envolvem tudo aquilo em torno de gestão dos ambientes, monitoração, detecção e prevenção. Normalmente, esse diagnóstico é apoiado sobre frameworks de segurança do mercado, como ISO27001, para facilitar a comparação com os pares e normalizar o entendimento. Na forma de um relatório, uma arquitetura de segurança deve ser sugerida, incluindo as prioridades através de um roadmap tecnológico para a adequação.

Continua após a publicidade

4º) Elevar a Segurança para uma Função Estratégica: 

Estabelecer um comitê responsável pela formulação das políticas e pelos direcionamentos do tema dentro da organização, próximo ou idealmente integrado aos níveis executivos, é chave para ampliar a governança. O nível de vulnerabilidade das empresas está intrinsecamente ligado à maturidade do tema e do seu entendimento na organização. Assim, é fundamental levar informações claras, baseadas em scores de fácil interpretação do grau de segurança atual, bem como resumos executivos das prioridades e dos riscos existentes, continuamente validados pelas ferramentas de simulação e pelos times de inteligência/defesa. As decisões bem-informadas serão extremamente facilitadas com essa cadeia.

5º) Segurança Ofensiva e Gestão das Vulnerabilidades: 

Não existem bons jogadores que só treinam. É preciso jogar! Nesse sentido, a segurança ofensiva é a chave para ganhar e estar verdadeiramente pronto para as crises; testar as defesas e as reações da empresa. Conhecido como BAS (do inglês Breach and Attack Simulation), trata-se de um método de teste de segurança cibernética capaz de criar uma arquitetura resiliente para qualquer empresa. Funciona assim: o BAS imita as táticas do adversário através de simulações de ataque de múltiplos vetores. Com o teste de invasão, é possível identificar as ameaças e, principalmente, todos os pontos de vulnerabilidades que servem de entrada para o ataque. Ademais, o próprio sistema é capaz de dar as diretrizes de correção de forma rápida e eficaz, evitando qualquer incidente.

Por Fabrizio Alves, CEO da Vantix

* O conteúdo de cada comentário é de responsabilidade de quem realizá-lo. Nos reservamos ao direito de reprovar ou eliminar comentários em desacordo com o propósito do site ou que contenham palavras ofensivas.
500 caracteres restantes.
Comentar
Mostrar mais comentários
Uberlândia, MG
20°
Tempo limpo

Mín. 19° Máx. 28°

20° Sensação
4.12km/h Vento
83% Umidade
16% (0mm) Chance de chuva
06h23 Nascer do sol
06h01 Pôr do sol
Qua 29° 20°
Qui 28° 21°
Sex 27° 19°
Sáb 28° 18°
Dom 28° 21°
Atualizado às 06h08
Publicidade
Economia
Dólar
R$ 5,19 -0,03%
Euro
R$ 5,51 -0,03%
Peso Argentino
R$ 0,01 -0,46%
Bitcoin
R$ 343,970,93 -0,32%
Ibovespa
125,333,89 pts -0.49%