Risco, Resiliência e PCN pós COVID-19.


MÁRIO  SÉRGIO RIBEIRO (*) Quem é ou foi meu aluno sabe que já não é de hoje que comento que o mundo que cria inúmeras facilidades de um lado, cria também inúmeras dificuldades e incertezas do outro. Vamos ter que Read more

LGPD: o projeto de segurança da informação de 2019!


(*) Mário Sérgio Ribeiro A Lei 13.709, conhecida como a Lei Geral de Proteção de Dados (LGPD), foi publicada em agosto desse ano e trata da proteção e privacidade de dados de pessoas físicas (clientes, empregados e outros) pelas empresas Read more

Resolução 4658 serve de alerta a todos os ramos de negócio.


(*) Mário Sérgio Ribeiro No final do mês de abril desse ano o Banco Central soltou a resolução 4658 que trata do tema Segurança Cibernética. Essa resolução foca em três principais tópicos: a política de segurança cibernética, resposta a incidentes Read more

LGPD: o projeto de segurança da informação de 2019!

enigma.consultoria Sem categoria Leave a comment   , ,

(*) Mário Sérgio Ribeiro

A Lei 13.709, conhecida como a Lei Geral de Proteção de Dados (LGPD), foi publicada em agosto desse ano e trata da proteção e privacidade de dados de pessoas físicas (clientes, empregados e outros) pelas empresas do setor privado e público. A LGPD nos remete claramente à gestão da segurança da informação. As empresas precisam planejar e executar um plano de ação que mitigue a ocorrência de incidentes que possam vir a acarretar pesadas multas e o comprometimento da marca. Esse artigo trata da temática em questão e procura responder a pergunta: como fazer a segurança dos dados e informações das pessoas?

 Segundo pesquisa publicada neste mês de dezembro pela Security Report, e realizada pela Gemalto, a maioria dos consumidores estão dispostos a abandonar completamente as empresas que sofrerem uma violação de dados; no topo dessa lista estão os varejistas. Dos 10.500 entrevistados, 66% dizem ser improvável fazer compras ou negócios com uma empresa que sofreu uma violação que tenha exposto suas informações financeiras e confidenciais. Os três mais citados que correm risco de perder clientes são: varejistas (62%), bancos (59%) e mídia social (58%). Acende-se o sinal amarelo escuro para as empresas.

 A crescente divulgação pela mídia escrita, falada e televisa sobre casos de violação de dados pessoais e os direitos das pessoas advindos com a LGDP (lei geral de proteção de dados) aumenta a conscientização e consequentemente as exigências das pessoas. Essa situação por certo aumenta a responsabilidade das empresas em proteger seus negócios, não somente pensando na multa que pode ser aplicada pelo governo, mas na repercussão de uma violação dos dados de pessoas que é custodiado por alguma empresa.

Dessa forma, o que uma empresa deve pensar em fazer? O que planejar, o que executar? Vou passar minha visão de segurança de dados e informações sobre o tema e a solução.

Dados e informações tem um ciclo de vida que precisa ser entendido e praticado pelas empresas. No caso específico da Lei faremos uma adaptação para melhor entendermos como opera dentro do ciclo de vida.

Em um primeiro estágio ocorre a COLETA de dados. Isso se dá quando por qualquer meio legal, coletam-se os dados de pessoas físicas para uso pelas empresas. Para essa coleta pode ser utilizado um sistema informático, uma planilha eletrônica, um editor de texto ou uma folha de papel. Se entende por pessoas físicas: colaboradores da empresa, clientes, fornecedores, parceiros, etc. Lembrar que a Lei é clara quanto ao consentimento formal por parte da pessoa física dessa coleta e qual será o uso da mesma.

O segundo estágio diz respeito à UTILIZAÇÃO dos dados coletados. Isso quer dizer que a partir da coleta, eu utilizarei um sistema informático, uma planilha eletrônica, um editor de texto ou uma folha de papel, por exemplo, para operar com os dados coletados nas tarefas que necessitam ser utilizados os mesmos. .

O terceiro estágio trata do ARMAZENAMENTO dos dados que foram coletados e são manuseados utilizando-se de algum meio, informático ou não. Lembrar que se utilizo algum sistema informático para coletar esses dados, no instante da coleta já utilizo um sistema de armazenamento desses dados, portanto, atuam em paralelo. Esse armazenamento pode se dar em dispositivos computacionais ou mesmo em um arquivo de pastas guardados em um armário, ou ambos.

O quarto e último estágio é o que chamamos de DESCARTE dos dados. Esse descarte de dados pode se dar de várias formas e o propósito é a eliminação dos dados de tal maneira, que os mesmos não possam ser mais recuperados ou utilizados.

Quando pensamos em proteger e manter a privacidade de dados de pessoas físicas é necessário entendermos como esses dados operam no ciclo de vida mostrado acima. Além desse entendimento, precisamos identificar, entre outros:

  • Quais são as ameaças à segurança das informações que as empresas dentro do escopo da Lei estão sujeitas?
  •  Quais são os agentes de ameaça capazes de perpetrar as ameaças em questão? Quais as suas motivações?
  • Quais as vulnerabilidades de minha empresa dentro desse escopo?
  • Quais controles tenho implantado e operando de tal forma que mitigue riscos da não proteção e privacidade desses dados pessoais?
  • Quais políticas e normas tenho implantado?
  • Que programas de conscientização e educação em segurança tenho implantado?
  • Qual a classificação dos dados e informações quanto aos pilares da segurança?

Essa análise precisa ser realizada em todos os estágios do ciclo de vida mencionado. Para que seja realizada é necessário entender cada uma das questões e responde-las para os respectivos estágios.

Estamos falando aqui do RISCO que sua empresa possa estar assumindo em cada um dos estágios mencionados. Saber quem são os agentes de ameaça e como podem agir é um primeiro passo. Na prática temos dois grandes grupos: os agentes de ameaça externos e os agentes de ameaça interno.

O principal representante do mundo externo são os hackers e os do mundo interno são os colaboradores e terceiros lotados na empresa. Para cada um desses agentes de ameaça é fundamental conhecer e entender quais as ameaças que podem perpetrar em cada um dos estágios do ciclo que mencionei.

Veja o colaborador da empresa, por exemplo, no estágio de Utilização dos dados. Ao ter sido permitido acesso aos dados e dentro do processo de manuseio e utilização dos mesmos, esse colaborador pode agir de maneira intencional ou não intencional. Agindo de forma intencional ele pode vazar os dados de quantos quiser e escolher quais dados deseja vazar. Mas também pode agir de forma não intencional, grande ocorrência, enviando dados para destinatário incorreto, ou perdendo dados/informações impresso no papel, por exemplo.

No caso dos hackers muitas empresas pensam que os mesmos se interessam por grandes corporações, notadamente por instituições financeiras ou semelhantes. Ledo engano. Claro que estatisticamente os maiores alvos são as empresas citadas, mas toda e qualquer empresa que tenha dados e informações que tenham Valor, interessam aos hackers. Nos dias atuais não é possível imaginar que empresa A ou B estejam fora do alvo. Subestimar nesse caso é simplesmente negligenciar uma situação presente nos dias atuais e evidenciada nas estatísticas.

As empresas para tratarem a Lei sob a ótica da Segurança dos dados e informações necessitam saber como estão protegidas em cada um dos estágios do ciclo de vida que citei. É fundamental como ponto de partida realizar uma Análise de Gap. Essa análise deve apontar em detalhes as lacunas em segurança que a empresa tem.

Tomar cuidado ao fazer uma análise dessas com duas coisas: quem faz e como se evidencia. Quem faz é a capacidade e conhecimento de quem conduzirá a análise. Não dá para jogar na mão de quem não é especialista e com experiência em segurança uma etapa dessas. Outro ponto importante é a coleta de evidência dessa análise. Cuidado aqui. Existe um razoável trabalho de campo a ser feito. Não se pode e nem deve acreditar no que é colocado no papel, falado em uma entrevista ou o que possa ser impresso por uma impressora. Errar aqui erra no restante do projeto!

Com a Análise realizada em todo o ciclo parto para a montagem de um Plano de Ação. Esse Plano deve conter, entre outros, os controles e mecanismos necessários que devem ser implementados para mitigar ao máximo o risco, em uma relação custo benefício que a empresa julgue aceitável. Aqui deve ser elaborado de forma detalhada um cronograma físico-financeiro de implantação.

A última etapa desse trabalho é a implantação do Plano de Ação. Como nas etapas anteriores, a ajuda externa pode ser importante para a empresa realizar esse trabalho. Pode ser que investimentos devam ser realizados em ferramentas e capacitação, por exemplo.

 Uma outra questão importante nesse projeto, além do explanado acima, é a estruturação organizacional para ficar em conformidade com a Lei. Algumas responsabilidades que poderão estar atreladas a novos cargos na empresa deverão estar presentes. Vejamos:

  • Controlador: compete as decisões sobre o tratamento das informações
  • Operador: responsável pelo tratamento dos dados
  • Encarregado: que atuará como canal de comunicação entre os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), um órgão que deverá operar nos moldes de uma agência reguladora, mas que ainda não foi criado.

Algumas empresas já começaram a arregaçar as mangas, mas a maioria ainda não. É importante saber que a Lei está em vigor e o momento é de ficar em conformidade com a Lei. Nós da Enigma já estamos auxiliando duas empresas no projeto, e temos mais três no radar. O deadline é fevereiro de 2020, quando de fato a partir daí as empresas poderão ser punidas. Temos, portanto, 13 meses para desenvolver o projeto. Pode parecer muito, mas é apertado. Infelizmente aqui, não dá para esperar o carnaval passar…

 Boas Festas e um excelente 2019 a todos!

 Até a próxima.

_______________________________________________________________________________________

(*) 59 anos, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br