Fazer login no IT Mídia Redefinir senha
Bem-vindo de volta,
Digite seu e-mail e clique em enviar
Ainda não tem uma conta? Cadastre-se
Salvar em Nova pasta de favoritos

+

Criar pasta
Salvar Escolher Pasta
LGPD na mira dos CIOs: algumas dicas práticas
Home > Notícias

LGPD na mira dos CIOs: algumas dicas práticas

Com megavazamentos se tornando rotina, é importante que executivos de TI das organizações tomem algumas medidas, escreve Paulo França

Paulo França*

31/03/2021 às 11h05

Foto: Adobe Stock

Temos visto com frequência escândalos envolvendo o vazamento de dados pessoais. Somente neste ano foram detectadas quatro atuações maliciosas de hackers com grandes proporções: o megavazamento de dados de 223 milhões de brasileiros, incluindo falecidos, a invasão a sistemas do Ministério da Saúde, o vazamento de dados de 103 milhões de contas de celulares e a falha no site do Detran-RS, que expôs 5,1 milhões de motoristas.

Nestes tipos de crimes
cibernéticos, as informações comprometidas incluíram nome, CPF, RG, CNH, título
de eleitor, e-mail, telefone, endereço, ocupação, pontuação de crédito,
escolaridade, estado civil, emprego, salário, renda, poder aquisitivo, foto de
rosto, classe social, vínculo universitário, entre outras. Além do volume, a natureza
sensível dos dados traz riscos a diferentes tipos de golpes envolvendo a
identidade, como saque a contas bancárias, sequestro e fraude de cartão de
crédito, contratação de serviços, compras em nomes de outras pessoas, entre
várias outras possibilidades de uso indevido de dados.

Mas, a magnitude desses incidentes
chama atenção não só pelo volume e caráter das informações vazadas, como também
pela conjuntura na qual eles ocorreram. Desde o ano passado, o Brasil passou a
contar com a Lei Geral de Proteção de Dados (LGPD) e com um órgão federal
responsável por fiscalizar seu cumprimento, a Autoridade Nacional de Proteção
de Dados (ANPD), que passará a aplicar multas de até 50 milhões entre outras
penalidades a partir de agosto deste ano.

Entretanto, embora haja essas
iniciativas, o desenvolvimento da política nacional de proteção de dados vem
sendo construída gradualmente e esses incidentes servem como testes - ou
megatestes - para as autoridades investigarem as origens efetivas das violações
e punirem os responsáveis.

Do ponto de vista das
organizações, há medidas viáveis de segurança para se adequar à LGPD e, assim,
evitar os ciberataques. Em primeiro lugar, é preciso uma mudança cultural em
relação aos riscos. Muitas organizações pensam em segurança para os seus
ativos, mas poucas se atentam para os riscos ligados a dados de outros,
principalmente pessoas físicas, clientes e funcionários. Acontece que a
informação dos outros é emprestada, não doada. Sendo assim, exige-se um nível
de cuidado muito maior para que esses dados não sejam expostos de uma forma à
qual não foi autorizada, tendo a empresa a total responsabilidade atribuída.

Adicionalmente, é recomendável a
adoção de programas de SGSI (Sistemas de Gestão de Segurança da Informação)
utilizando-se de padrões ISO / IEC 27000, ITIL (capítulo de SI) e COBIT5 para
SI que direcionam boas práticas de mercado, além de individualizar as
necessidades de acordo com a empresa, pois cada negócio tem suas
características e necessita de diagnóstico e ações próprios. Segundo a pesquisa
Global Digital Trust Insights, elaborada pela consultoria PwC, 57% dos
executivos de TI e segurança brasileiros planejam aumentar seus orçamentos de
segurança cibernética, sendo que 60% pretendem formar equipes cibernéticas para
trabalho em tempo integral em 2021.

Esse assunto virou prioridade na
agenda dos CIOs em decorrência do avanço tecnológico deflagrado pela pandemia,
no qual houve o crescimento da digitalização e, consequentemente, o aumento no
fluxo de dados que transitam na rede, ou seja, as empresas e pessoas nunca
estiveram tão vulneráveis. Somado a isso, a entrada em vigor da LGPD e os
recentes vazamentos indevidos de informações tornou a cibersegurança uma
preocupação latente.

Diante deste cenário, há uma série
de fatores de riscos que um programa de SGSI e de cibersegurança devem
controlar: engenharia social, spyware, ransomware, injeção de SQL, phishing,
ataques "man-in-the-middle, entre outros  e, para cada um deles, há
recomendações e boas práticas que devem ser aplicadas, tais como a utilização
de regras de firewall, criptografias, anonimização, utilização de certificados
de segurança, exposição ou quebra de bancos, redes e conexões privadas e tokens
de segurança, entre outras. medidas.

O importante é que haja um diagnóstico
de cibersegurança voltado à LGPD e a outros riscos do negócio com a avaliação
técnica do ambiente, pois somente assim é possível identificar as
vulnerabilidades de cada empresa e, ou, aplicação, avaliar os riscos
relacionados aos dados pessoais e tratá-los da maneira adequada.

* Paulo França é gerente de consultoria digital e inovação da Engineering

Vai um cookie?

A CIO usa cookies para personalizar conteúdo e anúncios, para melhorar sua experiência em nosso site. Ao continuar, você aceitará o uso. Para mais detalhes veja nossa Política de Privacidade.

Este anúncio desaparecerá em:

Fechar anúncio

15