Central de atendimento +55 (24) 2232-5850 - contato@future.com.br

Author: adm.future

20 julho 2021
adm.future
0
Categories: Blog, Segurança

Por que contratar Segurança como Serviço (SECaaS)?

Com o avanço da tecnologia dentro das empresas, a importância da adoção de medidas contra ameaças relacionadas às informações também aumentou, exigindo soluções de segurança cada vez mais avançadas e trazendo consigo o desafio de gerir todas estas novas tecnologias.

Nesse cenário, como forma de combater os ataques cibernéticos cada vez mais sofisticados, as empresas começaram a investir em recursos mais avançados e passaram a migrar dos modelos de segurança tradicional para a contratação da segurança como serviço (SECaaS).

Nesse artigo, iremos falar sobre os principais motivos para contratar a Segurança como Serviço.  Acompanhe!

O que é a Segurança como Serviço?

O conceito de SECaaS define que as atividades operacionais de segurança passem a ser realizadas por uma empresa especializada no tema.

Muito similar ao Software as a Service, a SECaaS oferece serviços de segurança por assinatura, incluindo produtos e serviços empacotados como uma solução completa, cabendo ao cliente o acompanhamento dos resultados e do atendimento aos níveis de serviço acordados (SLA).

A SECaaS é cada vez mais comum nas empresas que buscam uma maneira de diminuir o trabalho operacional das equipes internas, possibilitando que estas foquem nos níveis estratégico e tático.

Benefícios do Security as a Service

São muitos os benefícios em se adotar a Segurança como Serviço dentro da sua empresa, sendo os principais:

Redução de investimentos e do custo total

A primeira grande vantagem em se adotar um modelo de Segurança como Serviço está relacionada às questões financeiras.

Enquanto no modelo tradicional o cliente precisa realizar um alto investimento inicial, neste novo modelo os pagamentos ocorrem de forma mensal, diluindo assim os altos custos das soluções de proteção ao longo do tempo.

Adicionalmente, por mais que este modelo seja, normalmente, um pouco mais caro que o tradicional, se considerarmos toda a estrutura (predial e pessoal) que seria necessária para implantar uma operação de segurança in company, seu custo total é muito mais baixo que o do modelo tradicional.

Atualizações de segurança

Ao contratar SECaaS, a empresa tem a possibilidade de utilizar as ferramentas e recursos de segurança mais recentes.

Para que os mecanismos de proteção sejam eficazes, eles precisam estar sempre atualizados e nas versões mais atuais. Ao implementar a Segurança como Serviço, a organização tem a garantia de que essas atualizações são gerenciadas por especialistas em cada tecnologia, e que estas tecnologias estão configuradas de acordo com as melhores práticas de mercado.

Obsolescência dos ativos

Ainda nesta linha, a empresa contratante deste modelo não precisa se preocupar com a depreciação e a obsolescência de seus equipamentos de segurança, uma vez que o prestador do serviço deve garantir o uso de equipamentos suportados por seus respectivos fabricantes.

Maior agilidade e rapidez nas soluções

Outro grande benefício sobre o modelo tradicional é que com a SECaaS as soluções são fornecidas sob demanda, podendo ser ampliadas ou reduzidas de acordo com a necessidade da empresa, onde e quando a organização os precisar.

Liberação de recursos

Quando a segurança da informação é administrada por uma empresa especializada, as equipes internas do contratante podem se concentrar no que é mais importante para o negócio.

Além de liberar recursos, este modelo oferece total visibilidade aos gestores por meio de painéis de gerenciamento. Desse modo, a empresa poderá ter a certeza de que a segurança está sendo gerenciada com competência por uma equipe de especialistas em segurança cibernética.

Desafios de segurança

Nos dias atuais, as empresas, independentemente do tamanho ou segmento, sofrem todo tipo de ataques cibernéticos. Estar apenas atento aos ransomwares e phishings já não é mais suficiente. Assim, possuir profissionais capacitados e ferramentas adequadas de detecção, proteção e resposta é cada dia mais importante.

Entretanto, ter orçamento disponível e específico para contratar profissionais especializados em segurança da informação, especialmente para as empresas de pequeno e médio porte, é cada dia mais difícil.

Em tempos de recessão global, causada principalmente pela atual pandemia, os orçamentos destinados aos departamentos de tecnologia precisam ser cada vez mais otimizados, a fim de conciliar com os investimentos em outros setores da organização. Nesse cenário, é primordial buscar alternativas para suprir as necessidades da empresa e garantir a segurança das informações.

A Segurança como Serviço possibilita atender às necessidades de proteção, utilizando as melhores opções sob a ótica da segurança.

Exemplos de Segurança como Serviço

Cada vez mais empresas especializadas em segurança têm aprimorado suas propostas de segurança como serviço, deixando o leque de soluções disponíveis no modelo SECaaS cada dia mais amplo. São exemplos:

  • Serviço Gerenciado de Segurança: Neste serviço, o mais tradicional de todos, a empresa especializada em segurança opera, suporta e garante que os ativos de segurança sob sua gestão estejam configurados de acordo com as melhores práticas do mercado;
  • Gestão de Vulnerabilidades: Num programa de Gestão de Vulnerabilidades, uma análise completa do ambiente tecnológico é realizada de forma recorrente, através de diversas camadas de serviço. Isso garante a visibilidade do risco tecnológico real, possibilitando a correção das falhas existentes, otimizando os recursos já investidos e reduzindo a possibilidade de ocorrência de incidentes relacionados à segurança da informação.
  • Gestão de Incidentes: Caso uma tentativa de ataque ocorra, é o serviço de Gestão de Incidentes que a identificará, avaliará e tratará um eventual incidente. Seu objetivo é minimizar, ou até mesmo eliminar, eventuais impactos no ambiente tecnológico do cliente.
  • Monitoramento da Marca: Para saber se sua marca está exposta na Internet (incluindo a deep web) existe o serviço de Monitoramento da Marca. Através dele, você saberá se credenciais de acesso, e-mails e outras informações críticas foram vazadas, ou mesmo se existe algum plano de ataque cibernético contra sua empresa.
  • Alerta de Incidentes Globais: Conhecer os incidentes que estão ocorrendo no mundo, especialmente em seu mercado de atuação, tende a ajudá-lo com a elaboração de sua estratégia de defesa e possibilitar a tomada das decisões mais adequadas. Para isso serve o serviço de Alerta de Incidentes Globais.
  • Análise de Conformidade: Entender a adequação de seu ambiente às Leis e Normas, e à sua própria Política de Segurança da Informação, possibilita uma gestão adequada dos riscos e a elaboração de um plano de investimento em segurança. E este é o objetivo do serviço de Análise de Conformidade.

Saiba mais sobre SECaaS com a Future

Quer seja para economizar dinheiro, melhorar a eficiência ou proteger a infraestrutura de TI da empresa contra as ameaças de segurança mais recentes, a contratação de Segurança como Serviço pode agregar valor à sua organização, reduzindo os seus riscos e melhorando seus resultados financeiros.

A Future possui atuação no mercado de segurança da informação desde 1997, e pode auxiliar a sua empresa nesse processo de implantação e gerenciamento de segurança com todo o seu know-how e experiência.

Entre em contato agora mesmo com um de nossos especialistas e saiba mais sobre a segurança como serviço!

6 julho 2021
adm.future
0
Categories: Blog, Segurança

Security Intelligence Center: A evolução do SOC

Com a digitalização dos negócios, a segurança das informações passou a ser pauta ainda mais relevante nas reuniões executivas. E, via de regra, junto com este assunto, surgem as dificuldades habituais relacionadas ao tema

Algumas delas são a grande quantidade de tecnologias necessárias para a proteção, a escassez de mão de obra especializada, a necessidade de qualificação constante dos profissionais e, efetivamente, o custo existente para manter um time preparado para a manutenção dos mecanismos de proteção e resposta aos eventuais incidentes.

Normalmente, ao abordar este tema surge uma sigla já conhecida no mercado de segurança da informação: SOC (Security Operations Center). Entretanto, hoje abordaremos uma outra sigla, o SIC (Security Intelligence Center).

Pode-se dizer que o SIC representa uma evolução do SOC por diversos motivos. Basicamente, o objetivo desse novo tipo de central, ao contrário do SOC que focava nas operações de segurança, é prever e reagir de forma antecipada às ameaças de segurança, usando para tal mecanismos de inteligência.

Para entender mais sobre o Security Intelligence Center e qual sua diferença para o Security Operations Center, confira o texto abaixo.

O que é o SOC?

Para começar essa discussão, então, o ideal é explicar o termo original, o SOC — Security Operations Center. Em uma tradução literal, esse seria o Centro de Operações de Segurança, ou seja, um ponto de encontro dos serviços voltados à segurança da informação. Alguns exemplos seriam a administração e suporte aos ativos de segurança, a resposta aos incidentes, a execução de manutenções preventivas, entre outros.

Sendo assim, ele é formado por alguns módulos distintos (operação, suporte, relatórios, etc), atuando em diversos níveis, conforme o framework ITIL (N1, N2, N3, etc). Seu objetivo é manter as tecnologias de segurança operacionais, coletar e analisar eventos, tratar os incidentes relacionados à segurança, entre outros.

Qual a diferença entre SOC e SIC?

Dizer que o SIC representa a evolução do SOC significa que estes apresentam diferenças entre si e, segundo Greg Boison, diretor de Segurança Interna e Digital da Lockheed Martin, as distinções entre os conceitos são claras.

De forma resumida, o Security Information Center atua de maneira preditiva, enquanto seu antecessor é mais reativo. Na prática, isso significa que, enquanto um espera os alertas ocorrerem no ambiente interno, o outro analisa o ambiente externo (web, deep web, registros de incidentes globais, entre outros) e se aproveita destas informações para melhorar a proteção da empresa. Assim, o SIC acaba sendo uma central mais completa e efetiva.

Processos de um SIC

Como você já deve imaginar, a implantação de um SIC não se baseia na execução de atividades pontuais, ou na aquisição de algumas ferramentas.

Além de toda a estrutura já existente em um SOC, um SIC requer, sim, a contratação de novas ferramentas, mas principalmente a implantação de novos processos, integrados àqueles já existentes no SOC.

Abaixo listamos alguns deles, sem a pretensão de sermos exaustivos em nossa lista.

Alerta de vulnerabilidades

Além da já tradicional gestão de vulnerabilidades (que normalmente inclui varreduras de vulnerabilidades e testes de invasão periódicos), o SIC deve implantar um processo de alerta sobre as novas vulnerabilidades identificadas.

Isso reduz o intervalo entre a publicação de uma vulnerabilidade e o início da atuação do time operacional, reduzindo de forma significativa o risco inerente àquela falha.

Monitoração da marca

Outro processo fundamental a ser implantado em um SIC, e um de seus pilares, é a monitoração da marca. Este processo objetiva identificar eventuais dados vazados de uma companhia, bem como planos de ataque aos seus ativos e/ou colaboradores. Desta forma, o SIC pode antever um incidente e aumentar de forma significativa a chance de bloqueá-lo.

Monitoração de incidentes globais

Além da monitoração da marca, para que possa ser preditivo, um SIC precisa monitorar os incidentes que estão ocorrendo no mundo. Isso permite que a correção das falhas existentes seja priorizada de acordo com as atividades reais do cibercrime.

Gestão de riscos

Outra característica do SIC é a aproximação com as camadas tática e executiva da companhia. Estas camadas normalmente requerem informações pautadas em estatísticas, para que possam tomar a decisão mais adequada.

Para tal, o SIC deve consolidar as informações sobre as vulnerabilidades existentes no ambiente, baseadas no real risco de cada uma delas, e o nível de exposição da empresa, em um relatório unificado de risco. Isso tangibiliza o nível atual de proteção para a alta gestão, provendo os insumos necessários para a aprovação dos investimentos na área.

Implantação versus contratação

Como citado anteriormente, a implantação de um SIC, especialmente para atendimento continuado (24x7x365), requer a contratação e capacitação contínua de diversos profissionais, a aquisição de múltiplas ferramentas e a implantação de dezenas de processos complexos.

Desta forma, a implantação de um SIC com recursos próprios torna-se praticamente inviável para a maior parte das empresas do mundo. Assim, a opção mais factível para ter acesso a este tipo de central, fundamental para os negócios atuais, é a contratação de uma empresa especializada no tema.

Conheça o Security Intelligence Center da Future

Se implantar um SIC com recursos próprios não é algo trivial, a escolha pelo parceiro adequado para prestar este tipo de serviço tampouco o é. Afinal, para ficar realmente tranquilo e seguro, se faz necessário ter ao seu lado um parceiro no qual você pode confiar.

Com mais de 20 anos de atuação no mercado de segurança da informação, a Future é a escolha ideal para você. Graças as suas duas centrais de inteligência contingenciadas e operando no regime 24x7x365, e aos seus profissionais altamente qualificados, temos o conhecimento e a experiência necessários para te ajudar de forma totalmente eficaz.

Assim, você terá ao seu lado não somente um parceiro, mas toda uma equipe empenhada em proteger sua empresa. E, em momentos como o atual, em que os ataques são cada vez mais comuns, esse é o suporte que você precisa para se manter competitivo no mercado.

Ficou interessado? Entre em contato com um especialista da Future para mais informações.

17 junho 2021
adm.future
0
Categories: Blog, Privacidade

Qual a diferença entre data mapping e data discovery?

O artigo 37 da LGPD diz: “O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse”.

Portanto, um dos primeiros passos que uma empresa deve fazer é realizar um mapeamento dos processos de negócios que realizam ações de tratamento de dados pessoais e, isto se chama data mapping.

O data mapping além de identificar os processos de negócios que realizam o tratamento de dados pessoais, também vai identificar quais ativos de tecnologias (sistemas de arquivos, bancos de dados, storages, serviços em nuvem, etc) estão envolvidos nos tratamentos dos dados, ou seja, onde os dados pessoais são armazenados e processados por exemplo.

O outro benefício direto do Data Mapping é identificar as ações de tratamento de compartilhamento de dados pessoais com fornecedores e terceiros.

O data mapping vai permitir que a empresa tenha uma visão clara e objetiva sobre as atividades de tratamento de dados pessoais, onde eles são processados e armazenados, e com quem a empresa os compartilha.

Essas são informações fundamentais para entender como os dados pessoais são capturados, processados, compartilhados e armazenados e como é possível prevenir e proteger estes dados de forma efetiva.

O que é o data discovery?

Em geral, o processo de mapeamento de dados (data mapping) faz o levantamento dos processos que tratam dados pessoais e com isto anota-se os atributos de dados pessoais.

Ou seja, quais dados pessoais (nome, CPF, data de nascimento etc.) e dados pessoais sensíveis (raça, opiniões políticas, opção religiosa etc.) são tratados nos processos. Porém, muitas vezes as empresas armazenam e tratam muitos outros atributos de dados pessoais e nem sabem.

O Data Discovery consiste na varredura e descoberta de dados pessoais e dados pessoais sensíveis nos repositórios de arquivos e bancos de dados das empresas. No contexto da LGPD, ele possui duas importantes funções.

A primeira é descobrir os dados pessoais e dados pessoais sensíveis, dar visibilidade de onde estão armazenados e avaliar os riscos de tratamento de dados desnecessários na empresa.

Já a segunda é automatizar as respostas dos direitos dos titulares, pois, sabendo de antemão onde os dados daquele titular estão, é possível criar uma lista de tarefas com os dados pessoais encontrados e então o Encarregado de Proteção de Dados valida estes dados e responde o titular, sem precisar efetivamente fazer solicitações internas de buscas de dados pessoais.

Quer conhecer mais informações sobre data mapping e data discovery? Conte com a Future! Entre em contato com um de nossos consultores agora mesmo e tire suas dúvidas.

11 junho 2021
adm.future
0
Categories: Blog, Privacidade, Segurança

Vazamento de Dados: Quais os seus impactos, o que fazer e como evitá-lo?

O medo a respeito de vazamento de dados toma conta de grande parte dos executivos de grandes corporações. Com as novas normas da LGPD e os recentes casos, essa angústia cresceu ainda mais. Afinal, se instituições respeitadas e com imenso alcance foram vazadas, o que fazer para o mesmo não ocorrer com você?

A resposta para essa pergunta não existe, bem como não há 100% de certeza que você não terá problemas quanto a isso. De qualquer forma, porém, são inúmeras as maneiras existentes para evitar ou ao menos diminuir os riscos deste problema acontecer. Para isso, então, se faz necessário informação e investimento.

Se deseja entender mais sobre o vazamento de dados e como escapar dele, confira o texto abaixo. Aqui, descobrirá os impactos dessa ameaça, o que fazer se ocorrer e como evitá-lo.

A LGPD e o vazamento de dados

Um ponto novo dentro de todo esse contexto é o surgimento da LGPD, a Lei Geral de Proteção de Dados. Implementada em 2020, a norma tem como objetivo regulamentar a maneira como a informação é coletada, armazenada, utilizada e protegida. Assim, promete maior segurança ao material e à vida dos cidadãos.

Para se adequar a LGPD e evitar vazamento de dados, porém, é preciso estudo. Diversos são os pontos que uma empresa deve se atentar, que vão dos direitos dos consumidores ao risco de pesadas multas. Dessa forma, compreender melhor todo o conceito e seus impactos são de extrema importância para fugir dessa armadilha digital.

Impactos do vazamento de dados

Muito mais do que apenas se importar com as multas, o vazamento de dados possui um grande risco à companhia e seus clientes. Por meio dessas informações, afinal, hackers podem ter acesso a um material bastante delicado. De dados pessoais a informações sigilosas, os perigos dessa situação assustam qualquer um atualmente.

Prejuízos financeiros

Muitas vezes, ao haver um vazamento de dados, se faz necessário pausar ou bloquear todo um sistema. Com isso, muitas organizações já precisaram ficar horas ou até dias sem seu principal software. Esse tempo, inevitavelmente, traz prejuízos financeiros que, dependendo da empresa, podem chegar aos milhões ou até bilhões de dólares.

Queda na credibilidade da empresa

Junto a isso, ocorre também uma grande perda na confiança dos consumidores e do mercado com essa companhia. Na prática, isso significa uma queda na credibilidade desta, o que também afeta seu faturamento a curto, médio e até longo prazo. Em geral, é preciso um grande esforço de marketing e relações públicas para evitar danos maiores.

Interrupção do negócio com a violação de dados

Como dito no primeiro tópico, o vazamento de dados traz consigo uma interrupção em todo o sistema. Mais do que o problema em si, isso representa uma pausa em todos os processos internos da companhia. Dessa forma, além do faturamento, outros setores são afetados, como o desenvolvimento, marketing, compras e até o financeiro e fiscal.

Processos judiciais

Deixando de lado tudo o que ocorre dentro da empresa, há também fatores externos que podem te afetar. O principal deles é a possibilidade de a organização receber inúmeros processos judiciais. Estes, em sua maioria, serão relativos ao vazamento em si e à distribuição dos dados de terceiros de maneira não autorizada, ainda que sem intenção.

Conhecimento de dados confidenciais sigilosos

Por fim, durante o vazamento de dados, não são apenas as informações de consumidores que podem se difundir. Em muitos casos, materiais sigilosos da empresa podem cair na internet, ficando ao acesso de hackers e concorrentes. Toda uma estratégia ou novos lançamentos podem ser afetados por serem expostos indevidamente.

O que fazer após um vazamento de dados?

Mesmo com todos os cuidados, pode acontecer um vazamento de dados, grande ou pequeno. Se isso ocorrer, a empresa deve estar preparada para lidar com as consequências, e nada melhor para isso do que um bom planejamento. Dessa forma, o indicado é realizar as etapas a seguir para mitigar os efeitos dessa falha de segurança.

Detectar problemas na segurança

De nada adiantará se preocupar com os efeitos dessa distribuição indevida de informações se nada for feito para estancá-la. Assim, o primeiro passo a se seguir é detectar o problema que causou o acidente. Com esse conhecimento, afinal, será possível seguir às próximas etapas para resolver a situação.

Identificar o incidente

Sabendo qual problema possibilitou o vazamento de dados, chega o momento de identificar o incidente que o causou. Aqui, o importante é compreender quem ou o que foi responsável pela situação inconveniente e perigosa. O foco, entretanto, não está na punição do culpado, mas sim na correção do processo para que tudo volte à normalidade.

Contenção

Com essas informações em mãos, se faz possível iniciar o processo de contenção do vazamento. Muito provavelmente essa etapa não será rápida, muito menos simples, mas ainda assim extremamente importante. Nenhum esforço valerá a pena, afinal, se não se estancar o processo de divulgação do material de sua empresa e clientes.

Investigação das causas

Com tudo isso feito, chega a hora de, enfim, entender mais afundo as reais causas de toda essa situação. Os motivos podem ser vários e, inclusive, combinados, como falha humana, software desatualizado ou até mesmo problemas no firewall. Independentemente da situação, porém, se faz preciso entender completamente essas causas.

Solucionar o problema

Por fim, tendo conhecimento de todas as etapas acima, chega o momento de solucionar o problema. Novamente, precisa-se ter noção da situação para construir uma estratégia de solução. Para isso, podem ser utilizados treinamentos da equipe, investimento em novos softwares ou até a procura por novos fornecedores.

Como evitar um vazamento de dados?

Mais interessante do que se focar em o que fazer após o vazamento de dados é compreender como evitá-lo. Com este objetivo, é imprescindível que se siga uma cartilha de boas práticas sobre o assunto como as que seguem. É por meio dessas dicas, afinal, que você terá um ambiente realmente seguro e dificultará o trabalho dos hackers.

Política de Segurança da Informação (PSI)

Uma boa maneira de evitar se encontrar em situações como essa é ter uma boa PSI. Essa é a Política de Segurança da Informação, um documento ao qual todo os colaboradores devem ler. Nele, constam técnicas de boas práticas que podem auxiliar nesse processo e evitar que o sistema se encontre desprotegido.

Backups periódicos

Como se sabe, o grande trunfo de qualquer organização é a quantidade de informações as quais ela tem acesso. Assim, com um vazamento de dados, o maior medo dessa empresa é, justamente, a perda desse ativo valioso. Dessa forma, realizar backups periódicos permite que sua empresa tenha sempre esse material, evitando perdas ainda maiores.

Restringir acessos

A maioria dos programas disponíveis atualmente permite que você defina os colaboradores que podem ter acesso a cada arquivo. Sua grande função é, portanto, evitar que pessoas desconectadas a um projeto possam acessá-lo. Além de impedir esse contato desnecessário, a tática diminui drasticamente a quantidade de usuários que podem causar falhas ao sistema.

Investir em tecnologias de segurança

Infelizmente, os hackers estão cada vez mais atualizados no que diz respeito às técnicas de segurança organizacional. Com isso, se faz preciso que as empresas também possuam todo esse conhecimento. Mais do que isso, precisam investir nas melhores e mais modernas soluções para evitar o temido vazamento de dados.

Plano de disaster recovery

O Disaster Recovery é um termo de TI que representa um conjunto de ações a fim de recuperar a empresa de desastres como esse. Assim, se apresenta como uma maneira estratégica de evitar a perda de todo o material informacional que uma companhia possui. Utilizando-a, mesmo que haja alguma falha, os dados de sua empresa estarão seguros.

Contrato de confidencialidade

Para finalizar, um dos pontos mais óbvios, simples e, ainda assim, eficazes na luta contra o vazamento de dados é o contrato de confidencialidade. Comum no ambiente corporativo, esse documento é assinado por toda a equipe de um projeto. Sua função é garantir que essas pessoas não vazem qualquer informação sobre este, estando sujeitas a multas e processos se o fizerem.

Saiba mais sobre o que fazer em relação a vazamentos de dados

Uma coisa que se pode perceber com o texto acima é que o vazamento de dados é um tema bastante complexo. Seus efeitos podem ser devastadores, mas há maneiras de impedir seu escalonamento, ou ainda de evitar que ocorram em primeiro lugar. Independentemente da tática escolhida, o mais indicado é contar com parceiros que te auxiliem nesse momento.

Com mais de 20 anos de atuação no mercado de segurança da informação, a Future é a escolha ideal para você. A empresa traz confidencialidade, integridade, disponibilidade e conformidade para qualquer projeto que precisar. Mais do que isso, possui o conhecimento e a experiência necessários para te ajudar de forma totalmente eficaz.

Assim, você terá ao seu lado não somente um parceiro, mas toda uma equipe empenhada em proteger sua empresa. E, em momentos como o atual, em que os ataques são cada vez mais comuns, esse é o suporte que você precisa para se manter competitivo no mercado.

Ficou interessado? Entre em contato com um especialista da Future para mais informações.

31 maio 2021
adm.future
0
Categories: Blog, Dicas, Segurança

Adequação a LGPD: Medidas de segurança fundamentais para implementar as novas regras

Inspirada pela General Data Protection Regulation (GDPR), assinada em 2016 na União Europeia, a Lei Geral de Proteção de Dados, ou LGPD, é o modelo brasileiro que rege o tratamento de dados pessoais de qualquer cidadão em território brasileiro.

Ambas as leis tornam algumas medidas obrigatórias, com o objetivo de ampliar, padronizar regular o tratamento e uso de informações pessoais por empresas públicas e privadas. Sendo assim, todas as empresas precisam entender as exigências da Lei para que possam estar em conformidade com estes requisitos e atender efetivamente a Lei Federal que já está em vigor.

Muitas empresas ainda não iniciaram este processo e possuem ainda algumas dificuldades em relação a processo adequação a LGPD. Com a Lei já em vigor, todos os tratamentos de dados pessoais e dados pessoais sensíveis precisam estar em conformidade com os princípios da Lei e, portanto, precisam ser protegidos através de políticas internas e, muitas vezes com a adoção de tecnologias para monitorar o seu uso e compartilhamento dentro e fora das empresas, levando em consideração a natureza dos dados, desde as mais simples informações de contato – como nome e telefone, até as mais sensíveis como dados financeiros e de saúde.

A LGPD impõe que as companhias protejam os dados, com medidas que melhorem a segurança das informações. Para as empresas privadas, a Lei prevê sansões administrativas e pecuniárias, como multas, que podem chegar à 50 milhões por infração – um prejuízo que pode significar a falência para alguns CNPJs.

Quais foram as mudanças na LGPD?

A Lei Geral de Proteção de Dados trouxe diversas mudanças, tanto na legislação quanto no dia a dia das corporações. Um marco legal de alto impacto, é ela a responsável por regular a coleta, armazenamento, compartilhamento de dados e as penalidades pelo não cumprimento da norma.

Se um dia a frase “A internet não é terra de ninguém” já foi dita, isso não é mais verdade. A LGPD veio para proteger direitos fundamentas do indivíduo, como privacidade, autodeterminação informativa, inviolabilidade da intimidade, honra e imagem, entre outros.

Todas as informações que permitem a identificação de pessoas são abrangidas pela nova lei, garantindo privacidade e segurança contra a coleta e uso indevidos, comercialização e vazamento de dados.

Desde o início da vigência da LGPD, os usuários podem solicitar informações acerca de quais e como as empresas armazenam seus dados e exigir a exclusão, principalmente quando os dados foram obtidos de forma não consentida.

Como temos visto em toda à internet, os novos avisos de cookies nos sites pedindo permissão para serem armazenados, são apenas alguns exemplos da adequação a LGPD. Outras providências devem ser tomadas, por exemplo:

  • No momento da coleta de dados, esta deve ser acompanhada da finalidade de uso e indicação se é autorizada pelo usuário. O termo de consentimento também deve ser armazenado para consultas futuras.
  • Formulários, sejam físicos ou digitais, devem ser armazenados de forma segura, incluindo os preenchidos por usuários, clientes, funcionários e quaisquer outros públicos.
  • Para que informações possam ser compartilhadas de uma empresa com outra, a companhia deverá obter autorização específica do titular dos dados para este único fim – exceto em casos específicos onde a legislação dispensa a necessidade de tal autorização.
  • Dados pessoais sensíveis, como origem racial ou étnica, opinião política, filiação à sindicatos ou organizações de caráter religiosos, filosóficos ou políticos, dados genéticos, de saúde, biométrico ou referentes à vida sexual devem ter tratamento diferenciado.

Por que a LGPD é importante?

A transparência e segurança que a lei impõe são pontos extremamente importantes para usuários e empresas. Ao estabelecer uma regra clara, permeando práticas transparentes e seguras, todo o mercado se beneficia da padronização e desenvolvimento da confiança nas relações jurídicas entre empresas e os titulares destes dados.

Para as companhias, isso significa um novo patamar de aceitabilidade em como as informações são tratadas. Os requisitos mudaram com a entrada da nova lei e as empresas precisam se adequar para garantir a segurança, inclusive por meio de auditorias internas e externas. Não apenas a segurança do usuário se fortalece, mas os dados corporativos também.

Isso porque, para se ajustar aos moldes da LGPD, as empresas precisam contar com uma transformação no modo em que coletam e, também, processam e armazenam as informações. O aumento da segurança como um todo, inclusive de aspectos sigilosos, diminui as brechas e vulnerabilidades do cenário tecnológico.

Passo a passo da adequação a LGPD

Agora que você compreende um pouco mais sobre o que a Lei Geral de Proteção de Dados abrange, separamos os próximos passos para você garantir a adequação de acordo com o cenário da sua empresa.

Conscientização da empresa

Conhecer a fundo a atividade da empresa, qual o seu modelo de negócio, seus processos e atividades é o primeiro passo. O autoconhecimento da companhia, através de análises para encontrar gaps de segurança e como os dados são trabalhados atualmente, irá ditar o que deverá ser mantido e o que deverá ser substituído ou alterado para se adaptar à legislação.

Mapear os processos que tratam dados pessoais

A organização deve mapear os processos de negócios que executam tratamento de dados pessoais. Todos eles, inclusive dados somente pessoais e sensíveis que sejam capturados, processados e armazenados pela empresa.

Durante o mapeamento de processos, deve-se também identificar as ações de tratamento de transferências de dados para fornecedores, parceiros ou terceiros. Além disto, é importante identificar quais as bases legais com as quais estes tratamentos de dados acontecem e aqueles baseados no consentimento devem implementar a gestão sobre isto adicionalmente.

Assessoria jurídica

A conformidade com a Lei não é apenas uma questão técnica, mas um conjunto de ações que incluem também os aspectos jurídicos que permeiam as obrigações jurídicas. Portanto, não dá para fazer de qualquer jeito. Uma assessoria jurídica pode evitar erros de interpretação e levar análises para que a medida seja cumprida de forma efetiva e sem erros.

Encarregado de Proteção de Dados (DPO – Data Protection Officer)

A sua empresa certamente realiza tratamento de dados pessoais, portanto, será preciso nomear um encarregado da proteção de dados pessoais ou contratar um serviço para esta finalidade. Este colaborador ou serviço contratado será o responsável por criar e implementar procedimentos e protocolos internos e é peça chave na adequação para a LGPD.

Política de privacidade e políticas de segurança

Enquanto a primeira dita os direitos e deveres do usuário e da empresa em relação à privacidade dos dados, a última é sobre políticas internas da empresa. Ambas são importantes em relação à LGPD, tendo requisitos diferentes.

Saiba mais sobre adequação a LGPD

Com tantas exigências e circunstâncias referentes à LGPD, é fácil se perder no mundo de termos jurídicos complexos, mas isso não significa que a sua empresa pode esperar para se adequar à nova legislação.

A tecnologia pode auxiliar nesse processo, principalmente no mapeamento, tratamento e armazenamento dos dados, realizados de uma forma que tenha compliance em relação à lei.

Um bom parceiro, como a Future, pode auxiliar a sua companhia nesse processo extenso, viabilizando através de um projeto único e customizado para as necessidades do seu negócio.

Quer saber mais sobre como definir uma estratégia para adequação a LGPD? Entre em contato conosco agora mesmo e saiba tudo sobre a Lei Geral de Proteção de Dados!

25 fevereiro 2020
adm.future
0
Categories: Blog, IoT

IoT – Internet das Coisas, conceitos e desafios da segurança

O nome Internet of Things (Internet das Coisas) surgiu em 1999, quando o pesquisador Kevin Asthon do MIT fez uma apresentação na P&G sobre a tecnologia RFID e sua aplicação na cadeia de valor conectada à Internet. Em 2004 o conceito se consolidou com a publicação de um artigo sobre o conceito de IoT na famosa revista Scientific America.

O que é o IoT?

A Internet of Things é uma nova mudança de paradigma na arena de TI, cunhada a partir de duas palavras principais: “Internet” e “Coisas”.

A partir desse pensamento, a Internet é um sistema global de redes de computadores interconectadas que usam um conjunto de protocolos padrão (TCP/IP) para atender bilhões de usuários em todo o mundo.

É uma rede de redes que consiste em milhões de redes privadas, públicas, acadêmicas, comerciais e governamentais, de âmbito local a global, que são ligadas por uma ampla variedade de tecnologias de redes eletrônicas, sem fio e ópticas.

Ao chegar às “coisas” nos referimos a qualquer objeto ou pessoa que pode ser distinguido pelo mundo real. Os objetos do cotidiano incluem não apenas dispositivos eletrônicos que encontramos e usamos, como produtos tecnológicos diários, equipamentos e gadgets, mas também itens que normalmente não consideramos eletrônicos (comida, roupas, móveis, materiais, monumentos e obras de arte e toda a miscelânea de comércio, cultura e sofisticação).

Isso significa que aqui as coisas podem ser tanto vivas, como pessoa, animais, plantas, e não-vivas, como cadeira, geladeira, luz, cortina, placa, quaisquer eletrodomésticos ou aparelho industrial. Então, neste ponto, as coisas são objetos reais neste mundo físico ou material. Portanto, tudo que está conectado na Internet que não é um computador ou um dispositivo móvel, mas sim uma “coisa” neste conceito de IoT.

Segundo o Gartner, no ano de 2020 deveremos ter mais de 9 bilhões de dispositivos de IoT conectado à Internet, trazendo mais conforto e facilidade no dia a dia das indústrias, das empresas e das pessoas.

Tudo isto aliado as novas tecnologias de Inteligencia Artificial e os assistentes virtuais como Alexa da Amazon, Google Home da Google e a Cortana da Microsoft, que podem ler dados dos dispositivos e enviar comandos para eles, automatizando coisas simples do nosso dia a dia.

Um exemplo disso é a possibilidade de ligar um aparelho de ar-condicionado quando estivermos chegando em casa, simplesmente observando as informações do GPS do dispositivo móvel ou do carro e assim comandar a tomada do ar-condicionado quando estivermos há 10 minutos de distância.

Tecnologias

A Internet das Coisas foi inicialmente inspirada por membros da comunidade RFID, que se referiam à possibilidade de descobrir informações sobre um objeto marcado navegando em um endereço da Internet ou entrada de banco de dados que corresponde a uma determinada RFID ou NFC – Near Field Communication.

As principais tecnologias incluídas da IoT são RFID, a tecnologia de sensores e a nanotecnologia. Entre eles, o RFID é a base e o núcleo de rede da construção da Internet das Coisas.

A Internet das Coisas permitiu que os usuários trouxessem objetos físicos para a esfera do mundo cibernético. Isso foi possível graças a diferentes tecnologias, como NFC, RFID e código de barras 2D, que permitiam a identificação e referência de objetos físicos na Internet.

É também uma nova onda do setor de TI desde a aplicação dos campos de computação, rede de comunicação e tecnologia de roaming global. Entre as tecnologias aplicadas ao mundo da IoT, podemos destacar:

  • RFID – Radio Frequency Identification – aquela etiqueta que usamos para que o carro passe automaticamente pelo pedágio;
  • IP – Internet Protocol – é o principal protocolo de comunicação na Internet. Corresponde ao número que identifica um “nó” conectado na Internet. Atualmente, temos dois protocolos IP – um chamado de IPv4 e outro chamado de IPv6, que, em breve, dominará toda a Internet.
  • EPC – Eletronic Product Code – trata-se de uma identificação única gravada em uma etiqueta de RFID. É coordenado pela EPCGlobal que tem o objetivo de padronizar o uso de códigos gravados nas etiquetas (tags) de RFID em esfera global.
  • Barcode (Código de Barra) – é uma forma de codificar números e letras usando uma combinação de espaços e barras e, com isto, automatizar o processo de identificação de um objeto. Trata-se daquele código de barra que vem estampado em todos os produtos que compramos nos supermercados para agilizar o processo de leitura e identificação no caixa.
  • Wireless Fidelity (Wi-Fi) – é uma tecnologia de rede que permite a conexão de dispositivos à uma rede através de uma tecnologia sem fio. A padronização e adoção desta tecnologia nos dispositivos móveis (notebooks, telefones celulares, tablets e outros) fez com que se tornasse um padrão de comunicação para praticamente tudo que é conectado à Internet – principalmente os nossos dispositivos e sensores da IoT.
  • Bluetooth – é uma tecnologia de comunicação, também sem fio, que permite a conexão de dois ou mais dispositivos próximos. Com ela é possível construir conceitos de uma PAN – Personal Area Network, conectado assim o fone ao telefone celular, o mouse no notebook e muitos outros dispositivos entre si.
  • Zigbee – é um dos protocolos de rede para comunicação de sensores sem fio. Foi criada por uma aliança fundada em 2001 e tem por objetivo desenvolver tecnologias com características de baixo custo, baixa capacidade de transmissão, baixa cobertura, escalável e flexível. Atualmente, é muito utilizada na conexão e automação de plantas industriais, automação residencial, agricultura, sistemas médicos e outros.
  • Near Field Communication (NFC) – é uma tecnologia de comunicação sem fio de aproximação. Ou seja: os dispositivos devem estar muito próximos para que a comunicação se estabeleça. Atualmente, é muito utilizada para permitir autenticação e aprovação de transações financeiras, aproximando o telefone celular do POS – Post of Sale (máquina de cartão de crédito) para efetuar um pagamento.
  • Atuadores – qualquer dispositivos capaz de transformar energia em movimento. Existem três tipos de atuadores: os elétricos, que transformam energia elétrica em movimento, como motores, motores de passo ou solenoides; os hidráulicos, que usam um fluido para transformar em movimento (macacos hidráulicos por exemplo) e, por fim, os pneumáticos, que usam o ar comprimido para transformar em movimento (como parafusadeiras e mais)
  • Wireless Sensor Networks (WSN) – consistem em sensores sem fio para monitorar condições físicas de um ambiente. Um exemplo disso são os sensores de fumaça, humidade, temperatura, som, vibração, pressão, movimento e etc. Atualmente, são normalmente conectados a centrais de alarmes para segurança e automação residencial, e em hospitais, indústria, agricultura e defesa civil para monitoramento de fogo ou detecção de alagamento.
  • Inteligência Artificial – refere-se a ambientes eletrônicos sensíveis e responsivos à presença de pessoas. Em um mundo de inteligência ambiental, os dispositivos trabalham em conjunto para ajudar as pessoas a realizarem suas atividades cotidianas de maneira fácil e natural, usando informações e inteligência ocultas nos dispositivos conectados à rede. Observamos cada vez mais o uso de IA no dia a dia através de assistentes virtuais que incorporam poderosos algoritmos e coletam informações da Internet, além de seus diversos sensores conectados a rede.
  • Cloud Computing (Computação em Nuvem) – A computação em nuvem é a disponibilidade de um serviço de computação invés de um produto, onde recursos compartilhados, software e informações são fornecidas, permitindo o acesso e o uso destes serviços através da Internet. Este tipo de computação tem permitido a expansão do uso de IA e outros serviços, pois não há limites estabelecidos para processar ou armazenar dados para produzir um resultado.

A IoT vem trazendo enormes mudanças tecnológicas em nossas vidas diariamente, o que, por sua vez, ajuda a tornar nossa rotina mais simples e mais confortável, apesar de várias tecnologias e aplicações.

Há inúmeras utilidades dos aplicativos de IoT em todos os domínios, incluindo médico, manufatura, industrial, transporte, educação, governança, mineração, habitat, etc.

Embora a IoT tenha muitos benefícios, existem algumas falhas no nível de governança e implementação da IoT. As principais observações são que ainda não há definição padrão no mundo inteiro.

Seguir um padrão é fundamental para garantir a interoperabilidade entre sensores e componentes de diversos fabricantes. Outro ponto fundamental é estabelecer protocolos mínimos de segurança.

Como fica a segurança?

A cada dia que passa, observamos que a IoT está cada vez mais presente na vida das pessoas e das empresas. Muitos sensores, hoje, são usados para ajudar na automação da indústria.

Nas cidades, com a adoção de projetos de Cidades Inteligentes (smartcities), muitos e diversos dispositivos estão sendo incorporados à rotina das pessoas, como sensores de iluminação, lâmpadas inteligentes, câmeras de segurança, carros autônomos, sensores de estacionamento entre muitos outros.

Para que isto tudo funcione, existem diversos componentes de uma infraestrutura necessária, que nós consumidores não vemos. Alguns deles são as redes de computadores com fio e sem fio, serviços de computação e outros.

Portanto, um dos principais desafios é a segurança de toda esta infraestrutura e rede conectada autônoma, pois os sensores e dispositivos conectam e se comunicam praticamente sem a intervenção humana.

Com isto, ela se torna um grande alvo para hackers e criminosos que buscam roubar dados ou até mesmo provocar a paralização parcial ou total do serviço e, tudo isto, sem que ninguém perceba.

Nos casos mais simples, os dados dos usuários podem ser roubados e, nos casos mais críticos, significar uma ameaça contra a vida. Como exemplo, podemos citar a invasão da rede de uma indústria e manipular os sensores de uma caldeira ou até mesmo de um reator nuclear.

Um outro exemplo, é atacar e hackear a rede Wi-Fi de um carro, invadir todo o seu sistema em movimento e atuar nos sensores do acelerador ou dos freios.

Antes das coisas ganharem vida com a IoT, os ataques cibernéticos estavam restritos aos computadores e servidores conectados à rede. Hoje, basta um smartphone, um carro, uma lâmpada, um sensor ou uma geladeira conectada à Internet, que passa a ser alvo de ataques cibernéticos.

Este ano de 2020, a previsão é que tenhamos o dobro de dispositivos conectados à Internet, portanto a “superfície” de ataque para os hacker e criminosos aumentará e, como consequência, o volume de ataques também. Com o maior número de dispositivos conectados à Internet, mais coisas poderão estar vulneráveis e serem alvos de uma invasão efetivamente.

Todo o conceito da Transformação Digital vem trazendo ganhos expressivos de produtividade e novas oportunidades de negócios para as empresas e pessoas. Porém, por outro lado, aumenta os dispositivos conectados e, com isto, o desafio de manter estes ambientes seguros contra-ataques cibernéticos.

Não existe uma bala de prata, ou seja, um produto mágico que garanta 100% de segurança, pois trata-se de um desafio de alta complexidade, pois envolve, em muitos casos, vários dispositivos diferentes, diversos fabricantes e ausência de uma padronização mínima.

Uma forma de minimizar os problemas futuros de segurança é adotar desde a concepção do projeto uma metodologia de Security by Design, ou seja, se preocupar com segurança desde a escolha dos dispositivos, do que será conectado e como.

Quando a proteção e a segurança não são nativas, é necessário aplicar uma camada ou tecnologia para fazer a gestão da segurança daquele ambiente, minimizando assim as possíveis ameaças.

A segurança em um ambiente de IoT não está restrita apenas à rede, dispositivos ou sensores, mas sim em todos os elementos envolvidos para que o projeto ou serviço funcione de forma adequada.

Portanto, uma forma de minimizar os riscos é adotar uma avaliação ampla sobre todos os componentes que fazem parte da solução, como dispositivos, serviços de nuvem, aplicações, interfaces, softwares, identificação e autenticação, entre outros.

Espera-se que no futuro com o estabelecimento de padrões mínimos de segurança e adoção de mecanismos de segurança da informação, possamos ter acesso a dispositivos mais seguros e, com isto, diminuir os riscos de ataques cibernéticos.

Airton Coelho Vieira Jr, MsC

Chief Technology Officer

2 fevereiro 2020
adm.future
0
Categories: Privacidade

Os 6 desafios do Encarregado de Proteção de Dados

Neste artigo escrito por nosso CTO Airton Coelho, fique por dentro das cláusulas mais importantes da LGPD.

A Lei Geral de Proteção de Dados (Lei Federal 13.709/2018) no Art. 5 inciso VII, define o papel do encarregado de proteção de dados para as empresas, conforme o texto abaixo:

Art. 5º Para os fins desta Lei, considera-se:

VIII – encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);    (Redação dada pela Lei nº 13.853, de 2019)   

Em seguida, no Art. 41., a Lei define algumas das atribuições do Encarregado de Proteção de Dados Pessoais:

Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.

  • 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.
  • 2º As atividades do encarregado consistem em:

I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II – receber comunicações da autoridade nacional e adotar providências;

III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

  • 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

Pensando nas atribuições destacas na Lei e, ainda, aquelas que poderão vir em normas complementares a serem editadas pela ANPD, o encarregado terá alguns grandes desafios para desempenhar este papel dentro das organizações.

Posso afirmar que será impossível o Encarregado exercer suas funções o auxílio da tecnologia, mas não estou falando das tecnologias para monitorar, proteger ou detectar possíveis incidentes de segurança, mas estou falando de ferramentas que efetivamente ajudem o dia a dia do Encarregado na gestão da privacidade e da conformidade com as Leis de Privacidade de uma forma geral.

Os Desafios desse profissional:

Para desafiar a pensar sobre o dia a dia de um Encarregado, vamos começar com algumas perguntas sobre temas que ele deverá saber responder:

  1. Quantos registros de Dados Pessoais a sua organização gerencia atualmente?

  2. Do total de repositórios (Bancos de Dados, Servidores de Arquivos, Sistemas, Serviços em Nuvem, entre outros) que uma organização utiliza, quantos tratam dados pessoais?

  3. Uma vez conhecidos os repositórios, como encontrar os dados pessoais e, como associar estes dados a uma identidade ou um indivíduo?

  4. Quando houver Dados Pessoais sob a custódia de uma base legal de consentimento, será necessário fazer a gestão desta informação adicional, quantas repositórios estão sobre esta base legal e quanto já possuem funcionalidades prontas para fazer esta gestão?

  5. Qual a estrutura que as organizações irão disponibilizar ao encarregado, para que ele consiga exercer as suas atividades?

  6. Quantos titulares deverão exercer algum dos seus direitos? Como atender esta demanda? Ou seja, identificar os Dados Pessoais de um Titular nos diversos repositórios e responder o Titular se houver centenas ou milhares de solicitações?

Refletindo sobre cada umas destas questões, o primeiro desafio para o Encarregado é efetivamente conhecer os processos de negócios que capturam e tratam dados pessoais, mas mais do que isto entender onde os Dados Pessoais são armazenados e processados, pois eles podem estar distribuídos em dados estruturados – quando os dados estão dentro de um sistema ou um banco de dados e, podem ser não-estruturados – quando os dados estão dentro de documentos ou planilhas sem uma estrutura padrão ou conhecida. Portanto, o primeiro desafio é saber onde eles estão e como encontra-los, mas mais do que isto, como manter este inventário de dados atualizado constantemente, pois os dados que as organizações processam crescem e se modificam todos os dias.

O outro desafio diante do volume de dados pessoais que podem ser encontrados nas organizações é como correlacioná-los de uma forma, que possamos conectar todos os registros de dados pessoais de um indivíduo, independente do repositório que este registro se encontra. Desta forma, será muito mais fácil de atender a demanda de um Titular, senão o desafio será encontrar os possíveis identificadores do Titular e procurar em cada repositório utilizando o identificador correspondente. Como fazer isto com centenas ou milhares de solicitações e, como consolidar as respostas? Estas demandas serão atendidas pelo Encarregado ou a área de TIC ou compliance quem ajudarão nestas atividades? Será que as organizações estão planejando estrutura ou métodos ou ferramentas para executar isto?

E mais…

São os dados pessoais que possuem como base legal o consentimento. Quando um dado pessoal é capturado e tratado com base no consentimento será necessário fazer a gestão do consentimento, pois o Titular poderá exercer o direito de revogar o consentimento, portanto aquela captura e tratamento deverá ser encontrada e revogada e, em consequência, identificar os dados capturados e, estes, deverão ser removidos.

Recentemente, visitei uma empresa que fornecia acesso à Internet para os seus visitantes e, para que eles pudessem usufruir, eles deveriam preencher um cadastro, consentir e concordar com a Politica de Privacidade, ou seja, uma captura e tratamento de dados tipicamente baseada no consentimento do Titular. Diante disto, questionei a empresa se eles tinham a lista dos visitantes que eles tinham capturado o consentimento no dia de ontem para usar o serviço de internet deles e, se algum visitante voltasse no dia seguinte e revogasse o consentimento, como eles fariam?

Enfim, descobri que na verdade a empresa que prestava o serviço havia apenas modificado o texto do captive portal de autenticação dos visitantes, adicionando as questões relacionadas com a nova Lei de Privacidade e se o usuário autorizava a captura dos seus dados, mas não havia qualquer registro efetivo do consentimento em si e que a única maneira de remover o consentimento seria apagando os dados dos visitantes, mas não teria como registrar a revogação do consentimento. Enfim, faltava ferramenta efetiva para fazer a gestão efetiva do consentimento e, é isto que observamos de uma forma geral para cookies, formulários e outros serviços que capturam dados com base no consentimento – não há gestão.

O Encarregado vai necessitar de uma ou mais ferramentas para auxiliá-lo nas suas atividades, sem nenhuma dúvida. Pois, gerenciar dados pessoais dentro das organizações de uma forma geral é uma necessidade nova e sem conhecimento profundo da quantidade e da dinâmica de como estes dados são utilizados no dia a dia de cada organização.

 

Revise as perguntas acima e reflita a respeito e veja se consegue responde-las no contexto da organização em que você trabalha.

 

Um abraço,

Airton Coelho Vieira Jr, MsC
Chief Technology Officer

27 junho 2019
adm.future
0
Categories: Blog, Dicas, Segurança

Por que a LGPD deve orientar a tomada de decisão dos CIOs

Sancionada em agosto de 2018, a Lei Geral de Proteção de Dados (LGPD) é mais do que uma lei de alcance federal, com escopo de aplicação ao poder público e em empresas do setor privado. Os requisitos foram criados como instrumento para fortalecer a privacidade dos consumidores e exige consentimento explícito para coleta e uso dos dados, além da apresentação de opções para o usuário visualizar, corrigir e excluir as informações coletadas.

Essa evolução dos mecanismos de controle tem como base e motivação o Regulamento Geral de Proteção de Dados (GDPR, na sigla em inglês), da União Europeia, os constantes e recorrentes vazamentos de dados pessoais após inúmeros ataques cibernéticos aos bancos de dados de todos os tipos de organizações, aliados ao fato de vivermos em uma economia cada vez mais baseada em dados, com o uso de Big Data, Internet das Coisas (IoT) e inteligência artificial.

A partir de agosto de 2020 a lei entra em vigor e até essa data as empresas devem se adequar e repensar como os dados estão sendo tratados desde o momento da coleta das informações até a disposição final conforme definido pela lei. Trata-se de uma lei rigorosa que pode alcançar multas diárias de até R$ 50 milhões aos negócios que registram informações dos clientes sem sua autorização, ou que os repassem, armazenem sem necessidade comprovada, ou que tenham esses dados vazados de alguma forma.

O volume de dados gerados pela população mundial é de 2,5 quintilhões de bytes diariamente, de acordo com uma publicação realizada pela revista Forbes no primeiro trimestre de 2018. Diante dessa quantidade de dados e um cenário regulador cada vez mais rigoroso, as organizações devem realizar uma análise de risco contextual para identificar quais são as atividades em seus processos que requerem uma adequação e ou implementação da lei. Sendo necessário considerar os processos, sistemas e ferramentas para avaliar como os dados pessoais de seus clientes/usuários são tratados, reforçando a proteção, com responsabilidade e transparência.

Caminhando na direção da economia e na sociedade digital, atualmente 75% dos CIOs de todo mundo consideram que um dos aspectos que mais exige e ocupa suas agendas está em torno do planejamento, execução e monitoramento de mecanismos de segurança cibernética, de acordo com a pesquisa CIO Survey 2019 realizada pela Grant Thornton. Ainda neste detalhado e técnico levantamento, conclui-se que 83% dos líderes dos departamentos de tecnologia incrementaram seus investimentos e gastos em segurança digital.

Casos emblemáticos e recentes de ataques cibernéticos e sequestro de dados à grandes corporações e organizações públicas configuram claramente uma nova preocupação não somente no âmbito da privacidade do indivíduo, mas sobretudo em questões de segurança pública e internacional. Tal cenário vem influenciando não somente aos chefes de estados a se debruçarem cada vez mais sobre segurança digital, como também grandes e médias organizações vêm aumentando seus investimentos em capital humano e financeiro nas áreas de Tecnologia da Informação e compliance.

Quer adequar sua empresa a LGPD? Conte com a Future! Preencha o formulário abaixo e entre em contato conosco.

Fonte: CIO.

Read More
26 junho 2019
adm.future
0
Categories: Blog, Notícias, Segurança

Novo mecanismo de detecção de malware baseado em Inteligência Artificial para acelerar a prevenção de ameaças de dia-zero

A Check Point® Software Technologies Ltd. (NASDAQ: CHKP), (NASDAQ: CHKP), fornecedor global líder em soluções de cibersegurança, introduziu um novo mecanismo de detecção de malware baseado em Inteligência Artificial em sua solução de prevenção de ameaças SandBlast Network para permitir uma providência ainda mais rápida e mais precisa contra ataques maliciosos.

O novo mecanismo Malware DNA classifica novas formas de malware em famílias conhecidas, acelerando a capacidade de identificar e bloquear ameaças de dia-zero antes que elas possam causar danos.

O Malware DNA examina cada variante de malware que passa pela solução sandbox Check Point SandBlast Network para encontrar padrões de código e semelhanças comportamentais que correspondem a famílias de malware conhecidas e existentes.

Como a esmagadora maioria dos malwares é criada usando blocos existentes de códigos maliciosos, o Malware DNA acelera a identificação de novos malwares não descobertos e reduz os tempos de resposta para fortalecer ainda mais as posturas de segurança das organizações.

Os processos de Inteligência Artificial e de machine learning do Malware DNA são suportados pela inteligência em milhões de amostras de malware já detectadas pelo ThreatCloud da Check Point, o maior recurso de inteligência contra ameaças do mundo.

O novo mecanismo Malware DNA aumenta os recursos de detecção, inspeção e entrega de conteúdo seguro da SandBlast Network para fornecer proteção completa contra os ataques mais perigosos de dia-zero e direcionados a redes corporativas.

“Para os hackers, a reutilização do código existente, cujo funcionamento já está provado, economiza tempo e esforço; então, a esmagadora maioria do malware é criada dessa maneira. As linhas de código que compõem o malware são o DNA das ciberameaças, e o novo mecanismo Malware DNA permite que o código usado até mesmo em novos malwares seja rapidamente adaptado às famílias de ameaças existentes”, explica Maya Horowitz, chefe do centro de Pesquisa de Inteligência de Ameaças da Check Point.

“Ao rastrear rapidamente as origens de ameaças novas e de dia-zero, os tempos de resposta são acelerados ainda mais, reduzindo drasticamente os riscos para as organizações. O Malware DNA é um ótimo exemplo do foco incansável da Check Point no desenvolvimento e fornecimento das mais avançadas tecnologias de prevenção contra ameaças”.

A SandBlast Network é uma solução completa de prevenção de ameaças à rede. Esta solução detecta malware resistente a evasão para manter as redes das organizações livres de ameaças e garante a segurança do uso de conteúdo compartilhado em toda a organização, maximizando a produtividade dos usuários.

A SandBlast Network é um componente integral da arquitetura de cibersegurança totalmente consolidada da Check Point, a Infinity, que protege todas as particularidades da TI moderna, incluindo a rede, os endpoints (terminais), a nuvem e os dispositivos móveis.

A arquitetura Infinity usa a inteligência de ameaças em tempo real do banco de dados de conhecimento ThreatCloud da Check Point para monitorar continuamente as ameaças em todas as plataformas por meio de um único painel.

O NSS Labs, uma fonte globalmente reconhecida e confiável para testes de cibersegurança independentes, forneceu uma classificação “recomendada” à solução SandBlast da Check Point por detectar 100% de ameaças HTTP e de e-mail e 100% de malware usando sofisticadas técnicas de evasão, sem gerar falsos positivos.

A Check Point recebeu 18 vezes a avaliação de “recomendadas” desde que a NSS Labs começou a testar suas soluções em 2010, validando ainda mais a capacidade da Check Point de proteger as organizações contra os ataques cibernéticos mais avançados.

Com o Malware DNA, todas as empresas conseguem otimizar as técnicas de prevenção e técnicas de deteção, tudo isto enquanto reduz drasticamente o tempo de resposta para sanar as ameaças com inteligência acionável.

Assista ao vídeo clicando aqui.

Sobre a Check Point Software Technologies Ltd.

A Check Point Software Technologies Ltd. é um fornecedor líder em soluções de cibersegurança para governos e empresas privadas globalmente.

As suas soluções protegem os clientes contra ciberataques de 5ª geração (Gen V) com um índice de captura líder de mercado de malware, ransomware e outros tipos de ataques.

A Check Point oferece arquitetura de segurança multinível “Infinity” Total Protection com prevenção de ameaças avançadas Gen V, que protege as informações de nuvem, rede e dispositivos móveis corporativos.

A Check Point fornece o mais abrangente e intuitivo ponto de controle de sistema de gerenciamento de segurança. A Check Point protege mais de 100.000 organizações de todos os portes.

A Future é parceira Check Point! Quer saber mais sobre a solução? Preencha o formulário abaixo e entre em contato conosco.

Fonte: CryptoID.

Read More
24 junho 2019
adm.future
0
Categories: Blog, Dicas, Segurança

Como empresas podem definir estratégias para evitar ciberataques?

Quando falamos de cibersegurança com lideranças de vários setores, questões como “estamos preparados para enfrentar ameaças?”, “estamos investindo recursos de maneira eficaz?”, “como consigo entender o que a área de TI quer dizer?” ainda são bastante frequentes no cenário atual.

Em um ambiente de rápidas mudanças – e ataques cada vez mais frequentes – ter uma visão completa a respeito de segurança on-line ainda é um desafio. E, para superá-lo, é necessário o comprometimento de todas as esferas envolvidas na sociedade como um esforço contínuo de prevenção de danos.

Chegar a um alto nível de especialização ainda é uma das barreiras atualmente, que pode ser superada com a ajuda de ferramentas eficazes. Na minha experiência de relacionamento com instituições públicas e privadas, reuni a algumas experiências e avaliamos que há cinco pontos essenciais para evitar esse tipo de ataque.

O primeiro deles é a atualização. É fundamental que equipes tenham em mente as principais e mais modernas estratégias de cibersegurança. Isso envolve desde o treinamento dos profissionais até a atualização de sistemas operacionais, tendo em vista as melhores práticas de segurança interna e externa.

Com os sistemas internos em pleno funcionamento, é hora de olhar para ferramentas como o e-mail e ferramentas de navegação, que constituem o segundo ponto. Frequentemente, o e-mail é a maior porta de ciberataques: basta que um colaborador abra um spam com malware para que infecte a todos os demais. Dessa forma, conscientização e ter uma política adequada e clara de proteção e comunicação é fundamental em todos os níveis para organizações de portes variados.

Se a equipe de segurança cibernética encontrar um computador que foi infectado, é necessário partir para o terceiro passo: isolá-lo o mais rápido possível para tentar conter ao máximo possível a invasão identificada. Uma vez isolado, as equipes devem prosseguir com a limpeza total e restauração de todo o sistema. Em seguida, deve ser iniciada a etapa de recuperação. Ainda assim, as ferramentas mais avançadas de proteção trabalham com inteligência artificial (IA), para monitoramento do comportamento e detecção de ameaças, baseado em processamento de algoritmos em tempo real. Desta forma, o nível de proteção aumenta significativamente, uma vez que as equipes de segurança, não precisam mais se preocupar com atualizações das ferramentas nos equipamentos dos usuários.

Essas são as melhores práticas para evitar ataques cibernéticos. Os dois últimos passos seriam: a constante revisão por parte de lideranças a fim de tornar possíveis portas de entrada cada vez menos vulneráveis e ter uma série de medidas de backup para recuperar possíveis materiais infectados.

Hoje, a segurança cibernética não é mais uma ferramenta, mas uma estratégia que deve ser tratada de forma abrangente pelas empresas. E, para solucionar esses problemas, é necessário cada vez mais ter equipes multidisciplinares. Dentro de casa, tenho reunido desde ‘hackers’, cientistas da computação, até tecnólogos e consultores de negócios trabalhando de mãos dadas para responder à nova geração de ameaças e nos preparando para entender comportamentos e as detectar de forma antecipada, ou ainda, criando mecanismos de defesa com proteção abrangente que por similaridade possam assegurar a defesa das corporações.

Dessa forma, é possível conquistar resultados que vão além da segurança cibernética. Estratégias feitas por essas equipes reduzem o nível de exposição das empresas, mas também melhoram a produtividade dos funcionários, a reputação da empresa (uma vez que seu serviço é percebido como seguro e confiável por seus clientes) e permitem gerenciamento mais eficiente da segurança cibernética, traduzindo em ganhos para além da área de TI o investimento em tecnologia.

A transformação digital e a segurança cibernética andam de mãos dadas. Em um ambiente hiperconectado, qualquer dispositivo com acesso a uma rede provavelmente será usado para fins criminosos. Não se trata de enviar uma mensagem de alarme, mas traduzir um ambiente real: da mesma forma que a tecnologia é sofisticada, os ataques cibernéticos também se aperfeiçoam cada vez mais. Por isso, empresas e instituições devem investir em medidas de proteção eficazes e na capacitação de seus profissionais.

A Future pode ajudar sua empresa a definir sua estratégia de Segurança! Preencha o formulário abaixo e entre em contato conosco!

Fonte: IT Forum 365.

Read More

Receba conteúdos exclusivos