Mitos da certificação na ISO 27001


Mário Sérgio Ribeiro (*) Um movimento importante ocorreu nos últimos dois anos acerca da procura e da conquista da certificação de empresas nacionais na ISO 27001, a norma de segurança da informação. Os motivos para tanto talvez pouco importem – Read more

O Porquê de se ter um Gerenciamento de Crise.


Mário Sérgio Ribeiro (*) ________________________________________________________________________________________ Em tempos bicudos, especialmente como esse em que vivemos, considero de extrema importância que qualquer empresa, seja ela pública ou privada, ter um Gerenciamento de Crise implementado.   Infelizmente, uma Crise não anuncia quando vai ocorrer, Read more

Desafios de 2022.


(*) Mário Sérgio Ribeiro Não sou o tipo de profissional que gosta de ficar fazendo previsões no campo que atuo, ainda mais nos tempos atuais, onde a quantidade de variáveis é imensa e haja modelos e cenários para acertar alguma Read more

LGPD: o projeto de segurança da informação de 2019!

enigma.consultoria Sem categoria Leave a comment   , ,

(*) Mário Sérgio Ribeiro

A Lei 13.709, conhecida como a Lei Geral de Proteção de Dados (LGPD), foi publicada em agosto desse ano e trata da proteção e privacidade de dados de pessoas físicas (clientes, empregados e outros) pelas empresas do setor privado e público. A LGPD nos remete claramente à gestão da segurança da informação. As empresas precisam planejar e executar um plano de ação que mitigue a ocorrência de incidentes que possam vir a acarretar pesadas multas e o comprometimento da marca. Esse artigo trata da temática em questão e procura responder a pergunta: como fazer a segurança dos dados e informações das pessoas?

 Segundo pesquisa publicada neste mês de dezembro pela Security Report, e realizada pela Gemalto, a maioria dos consumidores estão dispostos a abandonar completamente as empresas que sofrerem uma violação de dados; no topo dessa lista estão os varejistas. Dos 10.500 entrevistados, 66% dizem ser improvável fazer compras ou negócios com uma empresa que sofreu uma violação que tenha exposto suas informações financeiras e confidenciais. Os três mais citados que correm risco de perder clientes são: varejistas (62%), bancos (59%) e mídia social (58%). Acende-se o sinal amarelo escuro para as empresas.

 A crescente divulgação pela mídia escrita, falada e televisa sobre casos de violação de dados pessoais e os direitos das pessoas advindos com a LGDP (lei geral de proteção de dados) aumenta a conscientização e consequentemente as exigências das pessoas. Essa situação por certo aumenta a responsabilidade das empresas em proteger seus negócios, não somente pensando na multa que pode ser aplicada pelo governo, mas na repercussão de uma violação dos dados de pessoas que é custodiado por alguma empresa.

Dessa forma, o que uma empresa deve pensar em fazer? O que planejar, o que executar? Vou passar minha visão de segurança de dados e informações sobre o tema e a solução.

Dados e informações tem um ciclo de vida que precisa ser entendido e praticado pelas empresas. No caso específico da Lei faremos uma adaptação para melhor entendermos como opera dentro do ciclo de vida.

Em um primeiro estágio ocorre a COLETA de dados. Isso se dá quando por qualquer meio legal, coletam-se os dados de pessoas físicas para uso pelas empresas. Para essa coleta pode ser utilizado um sistema informático, uma planilha eletrônica, um editor de texto ou uma folha de papel. Se entende por pessoas físicas: colaboradores da empresa, clientes, fornecedores, parceiros, etc. Lembrar que a Lei é clara quanto ao consentimento formal por parte da pessoa física dessa coleta e qual será o uso da mesma.

O segundo estágio diz respeito à UTILIZAÇÃO dos dados coletados. Isso quer dizer que a partir da coleta, eu utilizarei um sistema informático, uma planilha eletrônica, um editor de texto ou uma folha de papel, por exemplo, para operar com os dados coletados nas tarefas que necessitam ser utilizados os mesmos. .

O terceiro estágio trata do ARMAZENAMENTO dos dados que foram coletados e são manuseados utilizando-se de algum meio, informático ou não. Lembrar que se utilizo algum sistema informático para coletar esses dados, no instante da coleta já utilizo um sistema de armazenamento desses dados, portanto, atuam em paralelo. Esse armazenamento pode se dar em dispositivos computacionais ou mesmo em um arquivo de pastas guardados em um armário, ou ambos.

O quarto e último estágio é o que chamamos de DESCARTE dos dados. Esse descarte de dados pode se dar de várias formas e o propósito é a eliminação dos dados de tal maneira, que os mesmos não possam ser mais recuperados ou utilizados.

Quando pensamos em proteger e manter a privacidade de dados de pessoas físicas é necessário entendermos como esses dados operam no ciclo de vida mostrado acima. Além desse entendimento, precisamos identificar, entre outros:

  • Quais são as ameaças à segurança das informações que as empresas dentro do escopo da Lei estão sujeitas?
  •  Quais são os agentes de ameaça capazes de perpetrar as ameaças em questão? Quais as suas motivações?
  • Quais as vulnerabilidades de minha empresa dentro desse escopo?
  • Quais controles tenho implantado e operando de tal forma que mitigue riscos da não proteção e privacidade desses dados pessoais?
  • Quais políticas e normas tenho implantado?
  • Que programas de conscientização e educação em segurança tenho implantado?
  • Qual a classificação dos dados e informações quanto aos pilares da segurança?

Essa análise precisa ser realizada em todos os estágios do ciclo de vida mencionado. Para que seja realizada é necessário entender cada uma das questões e responde-las para os respectivos estágios.

Estamos falando aqui do RISCO que sua empresa possa estar assumindo em cada um dos estágios mencionados. Saber quem são os agentes de ameaça e como podem agir é um primeiro passo. Na prática temos dois grandes grupos: os agentes de ameaça externos e os agentes de ameaça interno.

O principal representante do mundo externo são os hackers e os do mundo interno são os colaboradores e terceiros lotados na empresa. Para cada um desses agentes de ameaça é fundamental conhecer e entender quais as ameaças que podem perpetrar em cada um dos estágios do ciclo que mencionei.

Veja o colaborador da empresa, por exemplo, no estágio de Utilização dos dados. Ao ter sido permitido acesso aos dados e dentro do processo de manuseio e utilização dos mesmos, esse colaborador pode agir de maneira intencional ou não intencional. Agindo de forma intencional ele pode vazar os dados de quantos quiser e escolher quais dados deseja vazar. Mas também pode agir de forma não intencional, grande ocorrência, enviando dados para destinatário incorreto, ou perdendo dados/informações impresso no papel, por exemplo.

No caso dos hackers muitas empresas pensam que os mesmos se interessam por grandes corporações, notadamente por instituições financeiras ou semelhantes. Ledo engano. Claro que estatisticamente os maiores alvos são as empresas citadas, mas toda e qualquer empresa que tenha dados e informações que tenham Valor, interessam aos hackers. Nos dias atuais não é possível imaginar que empresa A ou B estejam fora do alvo. Subestimar nesse caso é simplesmente negligenciar uma situação presente nos dias atuais e evidenciada nas estatísticas.

As empresas para tratarem a Lei sob a ótica da Segurança dos dados e informações necessitam saber como estão protegidas em cada um dos estágios do ciclo de vida que citei. É fundamental como ponto de partida realizar uma Análise de Gap. Essa análise deve apontar em detalhes as lacunas em segurança que a empresa tem.

Tomar cuidado ao fazer uma análise dessas com duas coisas: quem faz e como se evidencia. Quem faz é a capacidade e conhecimento de quem conduzirá a análise. Não dá para jogar na mão de quem não é especialista e com experiência em segurança uma etapa dessas. Outro ponto importante é a coleta de evidência dessa análise. Cuidado aqui. Existe um razoável trabalho de campo a ser feito. Não se pode e nem deve acreditar no que é colocado no papel, falado em uma entrevista ou o que possa ser impresso por uma impressora. Errar aqui erra no restante do projeto!

Com a Análise realizada em todo o ciclo parto para a montagem de um Plano de Ação. Esse Plano deve conter, entre outros, os controles e mecanismos necessários que devem ser implementados para mitigar ao máximo o risco, em uma relação custo benefício que a empresa julgue aceitável. Aqui deve ser elaborado de forma detalhada um cronograma físico-financeiro de implantação.

A última etapa desse trabalho é a implantação do Plano de Ação. Como nas etapas anteriores, a ajuda externa pode ser importante para a empresa realizar esse trabalho. Pode ser que investimentos devam ser realizados em ferramentas e capacitação, por exemplo.

 Uma outra questão importante nesse projeto, além do explanado acima, é a estruturação organizacional para ficar em conformidade com a Lei. Algumas responsabilidades que poderão estar atreladas a novos cargos na empresa deverão estar presentes. Vejamos:

  • Controlador: compete as decisões sobre o tratamento das informações
  • Operador: responsável pelo tratamento dos dados
  • Encarregado: que atuará como canal de comunicação entre os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), um órgão que deverá operar nos moldes de uma agência reguladora, mas que ainda não foi criado.

Algumas empresas já começaram a arregaçar as mangas, mas a maioria ainda não. É importante saber que a Lei está em vigor e o momento é de ficar em conformidade com a Lei. Nós da Enigma já estamos auxiliando duas empresas no projeto, e temos mais três no radar. O deadline é fevereiro de 2020, quando de fato a partir daí as empresas poderão ser punidas. Temos, portanto, 13 meses para desenvolver o projeto. Pode parecer muito, mas é apertado. Infelizmente aqui, não dá para esperar o carnaval passar…

 Boas Festas e um excelente 2019 a todos!

 Até a próxima.

_______________________________________________________________________________________

(*) 59 anos, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br