A Lei Geral de Proteção de Dados, também conhecida como “LGPD”, entrou em vigor em 18 de setembro de 2020, e criou a profissão do Encarregado de Dados, que, dentre várias obrigações e exigências regulatórias, é o responsável por zelar e proteger os dados pessoais da empresa, bem como reportar incidentes de segurança às autoridades brasileiras, além de ser um porta voz da empresa junto aos titulares dos dados. Ou seja, uma incumbência de grande responsabilidade a ser assumida por um profissional que, do meu ponto de vista, precisa de alta capacitação técnico-regulatória.
Eu, particularmente, sou professor de Cyber Security na Pós Graduação de diversas entidades, bem como atuo como Encarregado de Dados em inúmeras empresas, atuando com uma equipe multidisciplinar composta por advogados, legal hackers, profissionais de recursos humanos e técnicos em segurança da informação, que trabalham estratégias de proteção preventivas e corretivas no que se refere a uma infração cibernética.
Assim sendo, com base na minha experiência, compartilho com meus leitores 6 importantes conselhos para uma boa política de segurança de dados pessoais:
- Manter os ambientes de TI atualizados e soluções de backup robustas. As organizações terão de equilibrar os custos e riscos para garantir a famosa “santíssima trindade” da tecnologia: Confidencialidade, Integridade e Disponibilidade. Boas práticas, monitoramento e rastreabilidade no uso dos softwares e hardwares, a fim de identificar e corrigir vulnerabilidades o mais rápido possível, e poder reduzir significativamente o risco da organização sofrer um incidente. Compartimentar as operações da empresa também pode ajudar a tentar limitar os danos que um hacker pode causar. Pelo menos uma vez por ano aplicar um teste de vulnerabilidade e um pentest (teste de penetração) é mais que recomendável!
- Capacitação. Certificar que toda a equipe esteja ciente das melhores práticas de segurança. O ser humano é, definitivamente, o elo mais fraco. A engenharia social continua sendo uma maneira extremamente eficaz para os hackers entrarem nos sistemas. Estatisticamente, mais de 80% das infrações de dados ocorrem por erros humanos. As organizações devem ser proativas em manter todos com acesso ao seu ambiente de TI informados sobre sinais de alerta comuns que podem ajudar a impedir uma tentativa de invasão ou, pelo menos, sinalizar um comportamento suspeito a ser rastreado. Assim sendo, criar um SOC (Security Operation Center), com indicadores de segurança, é a minha recomendação!
- Mapear, Identificar e Blindar as Informações Essenciais. Focar nos dados que mereçam ser armazenados e copiados separadamente. Na medida em que uma determinada divulgação pública possa ter um impacto legal ou comercial (por exemplo, segredos comerciais, dados pessoais de clientes ou invenções não patenteadas), isso deve ser considerado em qualquer plano de resposta a incidentes. Aqui, a recomendação é praticar a minimização e a limpeza de dados frequentemente, bem como ter uma boa política de gestão de perfil de acesso aos profissionais e colaboradores da empresa.
- Cobertura de Seguro Contra Ataques Cibernéticos. O que é mais fácil acontecer? Alguém invadir a empresa com um tonel de gasolina e um palito de fósforos para colocar fogo nas suas instalações ou ocorrer um ataque cibernético? De fato, as estatísticas confirmam que, mesmo um servidor de empresa de pequeno porte, sofre mais de mil ataques diários! Ou seja, é muito mais relevante ter uma apólice de seguro contra ataques cibernéticos comparado a um seguro contra incêndio... No caso, as organizações terão de determinar o nível de risco com o qual se sentem confortáveis a assumir (e os prêmios correspondentes) e formalizar esse risco na contratação de uma apólice de seguros eficiente, que deve contabilizar danos diretos e indiretos, indenizações, bem como multas de diversas autoridades, inclusive da Autoridade Nacional de Proteção de Dados (ANPD), incluindo os custos de investigadores forenses e advogados. Algumas apólices exigem condutas ativa por parte da empresa, no que se refere a evidências preventivas e corretivas no que se refere à segurança da informação. Por isso, a contratação de uma corretora especializada, como a Cyberinsurance (www.cyberinsurance.com.br), para prestar essa assessoria, é de suma relevância, para que a apólice seja hábil e efetiva, no caso da ocorrência de um sinistro.
- Identifique as partes interessadas relevantes. Mapeie e identifique quem precisa ser informado sobre um incidente. Muitas vezes, haverá obrigações regulatórias, que podem variar dependendo da jurisdição. Também pode haver exigências contratuais com fornecedores ou clientes para mantê-los informados sobre qualquer violação. Ter uma lista atualizada de quem precisa ser informado e o que precisa ser relatado pode economizar tempo crítico na gestão de resposta de incidentes.
- Plano de Resposta a Incidente. Tenha um roteiro definindo as etapas iniciais de resposta, incluindo uma estrutura de tomada de decisão clara, que permitirá que você avance rapidamente na tomada de decisões importantes para responder ao incidente. Muitas decisões precisarão ser tomadas após um incidente que não fariam parte das operações normais do negócio. Então, cuidado! O risco de paralisação do negócio é real!
Deixe seu comentário