quarta-feira, 11 de setembro de 2019

É preciso repensar a Segurança da Informação

As empresas devem garantir a proteção das informações pessoais coletadas, armazenadas e utilizadas para fins comerciais e sociais.


O mês de julho foi uma referência para as empresas repensarem a estratégia e a importância da área de segurança da informação. Somente neste mês, foram noticiados multas gigantescas como:

  • 230 milhões de dólares para British Airways pelo vazamento de cerca de 500 mil registros de clientes
  • 123 milhões de dólares para rede Marriott pelo vazamento de 339 milhões de dados pessoais de clientes
  • 5 bilhões de dólares para o Facebook pelo caso envolvendo a Cambridge Analytica onde utilizaram dados pessoais de dezenas de milhões de usuários do Facebook.
Aí você pensa...e daí, estou no Brasil? Mas no Brasil também existem vazamentos de dados, não com tanta frequência ou grandeza, ou ainda pior, talvez não são revelados pelas empresas. Recentemente foi noticiado o vazamento de 1,2 milhões de dados de brasileiros que participaram da “Promoção Ypê”, marca de produtos de limpeza.
Por esse e outros motivos que, em agosto de 2020, entrará em vigor a Lei Geral de Proteção de Dados (LGPD), que poderá aplicar multas não tão grandes como estas dos EUA e UE, mas poderá chegar a R$ 50 milhões de reais por infração. Outro ponto importante desta lei, é que o responsável pela gestão das informações da empresa deve comunicar incidentes de segurança para a Agência Nacional de Proteção de Dados (ANPD), que possam oferecer risco ou prejuízo aos donos das informações.

O que as empresas precisam fazer?

Devem garantir a proteção das informações pessoais coletadas, armazenadas e utilizadas para fins comerciais e sociais, sejam elas alocadas dentro das empresas ou em nuvens ou ambas, independente se o sistema é estruturado como ERP, CRM ou RH ou não estruturado como planilhas de cálculos ou e-mails. Os consentimentos de uso devem ser elaborados com textos simples, claros e diretos, bem como administrar e garantir que estão atualizados de acordo com os acessos e uso em vigor. Abaixo, recomendações adicionais
  • Envolvimento da liderança, RH, TI e jurídico;
  • Definir o controlador que tomará as decisões sobre o tratamento dos dados;
  • Escolher o encarregado (DPO) que será responsável pela proteção e comunicação entre ANPD e os donos dos dados;
  • Controlar os termos de consentimento para garantir que todos os dados utilizados são permitidos para uso;
  • Mapear os dados pessoais, identificando onde são armazenados, utilizados e transmitidos;
  • Manter registros das operações realizadas com os dados pessoais;
  • Treinar os colaboradores internos e externos sobre o uso dos dados.


Marcos Gomes

Já ouviu falar de Engenharia Social?

Estar conectado hoje em dia já virou um mal necessário, a tecnologia facilita a vida mas também nos deixa vulneráveis a golpes cibernéticos.

Felizmente ou infelizmente, estar conectado hoje é um mal necessário para se comunicar. De um lado, a tecnologia veio para facilitar nossa vida, mas por outro lado, há golpistas que utilizam destes meios para aplicarem seus truques mirabolantes e “mágicos” no mercado. E o pior, muitos ainda caem nestes contos do vigário e acabam perdendo muito dinheiro. Essa técnica é chamada no mundo digital de Engenharia Social, a qual explora as fraquezas humanas e nem mesmo firewall, antivírus e senhas altamente complexos podem ajudar.
O Brasil é o segundo país com mais roubo e sequestros de dados, atrás apenas dos EUA e o terceiro em ameaças por e-mail, de acordo com informações da Trend Micro de 2018. Segundo dados divulgados este ano pelo “Data Breach Investigations Report”, da Verizon, entre 2013 e 2018, 33% dos vazamentos de dados foram através de Engenharia Social.
Os golpistas criam roteiros detalhados e complexos para se passar por um banco, loja, operadora de telefonia ou cartão e induz o usuário a confirmar dados pessoais e financeiros para obterem detalhes com mais facilidade. Naturalmente existem inúmeros outros tipos de Engenharia Social que podem simular o sequestro de um parente próximo ou o pedido para comprar crédito para outros telefones. Mas, recentemente, lemos diversas notícias sobre o golpe do WhatsApp. Diversas pessoas, incluído alguns políticos, foram induzidos a fazer depósitos bancários, pensando que estavam ajudando um amigo, mas na verdade eram os golpistas que recebiam este dinheiro.
Os golpes mais comuns em computadores são através de e-mails falsos, onde o hacker se identifica como uma instituição financeira e solicita ao usuário que clique no link do e-mail para atualizar seu sistema. Pronto, um programa malicioso é instalado em sua máquina e suas senhas são capturadas sem muitos esforços. Outros tipos de e-mails são os que oferecem um prêmio ou promoção imperdível e você deve clicar no link imediatamente e preencher com seus dados para não perder a promoção. Outra técnica aplicada é a de “phishing” que é uma brincadeira com a língua inglesa “password + fishing”, ou seja, pescar senhas.
Com essas técnicas, os hackers não precisam confrontar as caras e avançadas soluções de segurança e assim eliminam horas e horas de trabalho, tentando invadir os sistemas de empresas para obter senhas e outras informações de clientes, fornecedores e funcionários.
E como eu faço para não cair nesse tipo de ciber golpe? É simples. Desconfie de qualquer informação. Se for link de banco, ligue para a instituição e certifique-se que aquele e-mail é verdadeiro. Todas as atitudes preventivas são prudentes e mais seguras. Treine e conscientize seus funcionários regularmente. Faça testes para saber se esses treinamentos estão sendo eficientes e sempre reforce a importância e o comprometimento com a segurança da informação.




Marcos Gomes

Shadow IT (TI nas sombras)

Shadow IT (TI nas sombras)

LGPD - Lei Geral de Proteção de Dados

LGPD - Lei Geral de Proteção de Dados

Internet + Segura

Internet + Segura

IAM - Gestão de Identidade e Acessos

IAM - Gestão de Identidade e Acessos

LGPD - informações privadas

LGPD - informações privadas

Cuidados com senhas

Cuidados com senhas

Ameaças Internas

Ameaças Internas