Café com ADM
#

Lei Geral de Proteção de Dados: a importância de uma abordagem contra invasões e vazamentos

Além de ajustes jurídicos e velhas medidas de governança em busca de compliance, empresas devem aproveitar a oportunidade pra checarem se processos e sistemas estão realmente seguros.

Por quase oito anos, a idéia de uma lei geral de proteção de dados foi revista e debatida no Brasil, em meia a projetos legais que patinavam no Congresso Nacional. Após anos de consultas públicas e projetos legislativos, finamente em 2018, a conjuntura global culminou na aprovação do Projeto de Lei (PL) 53/2018, a Lei Geral de Proteção de Dados (LGPD). Com isso o Brasil ingressou oficialmente no rol de países que possuem legislação avançada e dura sobre a proteção de dados pessoais. Um grande avanço aguardado por muitos dentro da área de privacidade online e segurança da informação.

Dois meses depois, em maio de 2018, entrou em vigor a General Data Protection Regulador! (GDPR), o Regulamento Geral sobre a Proteção de Dados da União Européia, que passou a normatizar as regras sobre o tratamento de dados pessoais nos 28 Estados-membros do bloco.

Apesar do grande clima de preocupação que essas duas leis causaram no cenário nacional, um ponto chave parece estar sendo menosprezado. A busca por certificação e consciência em nome de uma maior privacidade do cidadão vai tornar sistemas e processos imunes a violações e vazamentos de dados pessoas?

As pequenas e médias empresas são responsáveis ​​por uma grande proporção de ataques cibernéticos, vítimas de ataques aleatórios e indiscriminados que em grande parte das vezes focam em vulnerabilidades, em vez de organizações específicas. Pesquisas internacionais, como a Cyber ​​Security Breaches Survey, mostrram quão preocupante é o problema. Quase metade (46%) dos entrevistados reconheceram pelo menos uma violação de segurança cibernética ou ataque nos últimos 12 meses em suas empresas. Esses incidentes geralmente resultam de um sistema sem correção ou outra vulnerabilidade que pode ser facilmente identificada em um teste de penetração.

O teste de penetração, termo que ainda intimida tanto administradores gestores quanto administradores de sistema, deve ser considerado mais do que nunca como uma indispensável forma controlada de antecipar vazamentos. Nesta atividade, geralmente terceirada para garantir a imparcialidade e idoneidade, um testador profissional, trabalhando sob conhecimento e autorização da organização, usa as mesmas técnicas de um hacker criminoso para encontrar vulnerabilidades nas redes ou nos aplicativos da empresa.

A importância desses testes, em paralelo a outra medidas de governança, tornou ainda mais evidente perante a medida a medidas mencionadas no artigo 32.º do regulamento da GPDR, que sublinha a necessidade de as organizações implementarem defesas adequadas aos riscos que enfrentam diaramente.

Enquanto nos Estados Unidos e na Eurpoa, a maioria das organizações já reconhece que as maiores ameaças existem simplesmente por terem seus sistemas estão expostos à Internet, seja por meio de ataques mal-intencionados ou descuidos da equipe de tecnologia, aqui a discussão ainda parece muito incipiente e teórica, girando mais em torno de debates jurídicos e por vezes da busca única e simples de adequação formal, através apenas de compliance e certificações.

O consenso entre analistas e consultores na área de gestão de risco é de que agora, mais do que nunca, é preciso perseguir uma excelência na prevenção e antecipação de potenciais incidentes que a ameacem a privacidade de dados sensíveis, sejam da empresa como organização. Esses dados precisam ter resguardado seus segredos comerciais, quanto ao seus funcionários e clientes, que podem ter dados abusados para infindáveis tipo de investidas por parte de criminosos, e exatamente por isso os testes de penetração são cruciais. Enquanto conscientização interna e criação de política de manutenção de dados são fundamentais, apenas as busca por vulnerabilidades reais podem fornecer uma verificação factual e categórica sobre o atual estado interno e externo das empresas, mostrando se todos os controles de segurança necessários foram implementados corretamente. Eles também podem ser usados nos estágios iniciais do desenvolvimento de novos sistemas de processamento para identificar riscos potenciais aos dados pessoais.

As empresas que não se atentarem e aproveitarem bem essa oportunidade de se adaptarem de forma preventiva, estarão sujeitas à multas que podem chegar a milhões de reais. Mas não é motivo para medo, ao contrário. O cenário é uma bem vinda oportunidade para empresas evoluirem sua política e gestão de segurança de forma séria e efetiva, levendo a maior privacidade dos seus funcionários, clientes e consumidores.

ExibirMinimizar
CEO Outllok, A era da liderança resiliente. Confira os Resultados.