Por Ricardo Holderegger - holderegger@globo.com

A exposição de dados e a LGPD

Os artigos 46 a 54 da LGPD, oferecem um importante balizamento a respeito das responsabilidades exigidas das empresas enquanto estiverem armazenando os dados de pessoas físicas.

 Introdução

Há grandes chances de se encontrar ameaças ocultas dentro da rede de uma empresa, em qualquer parte do mundo. Atualmente, não se pode confiar que as medidas de segurança adotadas são suficientes para suportar qualquer tipo de ciberataque. O balizamento proposto pela LGPD (BRASIL, 2018) no Brasil chega para todas as empresas num momento importante.

Os dados pessoais

Algumas empresas ainda creem que não serão afetadas pela LGPD, por não possuírem, por exemplo, uma relação comercial com pessoas físicas. Os dados coletados pelos sistemas de visitantes, pelo CFTV e até alguns dados de funcionários ativos e inativos também podem ser questionados caso não haja um propósito claro para os manter armazenados.

A preocupação referente a exposição de dados é motivada pela quantidade de dados envolvida e pela extrema visibilidade que ocorre quando há uma exposição na internet (RISKBASED SECURITY, 2019). Até meados de 2019, mais de 3.000 brechas de segurança na web foram reportadas no mundo, resultando na exposição de mais de 4 bilhões de dados.

Segurança total

A ameaça para as empresas é ampliada por ocasião da LGPD, uma vez que a possibilidade da ocorrência de sanções a serem aplicadas contra as empresas responsáveis por vazamento de dados indefere se a exposição ocorreu por uma inobservância interna a políticas e processos de segurança ou através de um ataque cibernético.

Minimizar a amplitude da sanção é considerada na lei, porque houve o entendimento do legislador de que, por exemplo, ataques cibernéticos devastadores estão sujeitos a ocorrer. Uma vez a empresa preparada para este tipo de ocorrência, seus impactos podem ser significativamente reduzidos.

É bom ter em mente que, mesmo que a LGPD considere contemple o fato de ser possível ocorrer incidentes de dados nas organizações, a referida lei não é complacente com este fato, e define uma avaliação que considera a maturidade dos processos, recursos tecnológicos e ocorrências anteriores, para então aplicar a respectiva sanção.

A ameaça promovida por entes externos é grave e bastante presente, sobretudo no Brasil, que é um dos países do mundo que recebe mais ataque cibernéticos. Isso

implica que, as empresas deverão fortificar seus aparatos cibernéticos voltados a segurança, uma vez que dados de pessoas físicas são facilmente vendidos na dark web (PATTERSON e KATES, 2019), fato que intensifica as ameaças que as empresas estão sujeitas a receber, proveniente de várias partes do planeta.

Figura 1 - Mapa de Ciberameaças em Tempo Real. Disponível em https://cybermap.kaspersky.com/pt. Acessado em 27/03/2020.

A Kaspersky, que é uma das mais importantes empresas fabricantes de software para segurança na internet. Por meio de um Mapa de Ciberameaças (Figura 1) criado pela empresa, são disponibilizadas informações de tentativas de ciberataques em tempo real, classificados em número de ataques, tipo do ataque e origem do ataque, ocorrido em empresas que utilizam os seus softwares em países de todo o mundo. E, é frequente encontrar o Brasil na segunda posição entre os países que sofrem mais ataques no mundo, ficando atrás apenas da Rússia.

Na figura acima, até o momento desta consulta, que ocorreu no meio da tarde, no Brasil haviam ocorrido mais de 2 milhões de tentativas de ataque. Em termos reais, este é um número baixo, que ocorre por conta deste período ser de pandemia e muitos países encontram-se em quarentena, inclusive no Brasil.

Em dias normais, o número de tentativas de ciberataque ultrapassa 12 milhões. Um fato a se destacar é que estes dados são provenientes de uma fonte apenas. Há muitas outras ameaças, monitoradas por inúmeras outras fontes, que não estão sendo consideradas neste momento.

Dinâmica desafiadora

Os softwares de prevenção não são capazes de evitar uma invasão impetrada por um ou mais grupos de invasores altamente capacitados em técnicas de invasão atuais, e conhecedores do funcionamento de maioria das ferramentas de segurança e monitoramento disponíveis no mercado.

Um processo eficaz para reduzir o impacto de invasões é utilizar sistemas de monitoramento de ataques em andamento que estejam ocorrendo na rede corporativa da organização. Esta atitude proativa pode minimizar o impacto de uma invasão, uma vez que desta forma há a possibilidade de se descobrir um ataque em fase inicial. Isto pode ser melhor, do que ter o foco apenas na reparação do dano realizado após um ataque que, muitas vezes, é devastador.

Uma equipe voltada a incidentes que esteja utilizando respostas antiquadas para combater as ameaças atuais, possivelmente não terá chance de combater uma invasão bem planejada.

Para que as empresas se mantenham competitivas, se faz necessário que busquem continuamente por novas técnicas, métodos, processos, recursos e ferramentas digitais, o que abre oportunidades para que invasores explorem brechas ainda ativas.

O principal desafio está na capacitação de pessoal técnico envolvido na resposta a incidentes, que deve estar habilitado a promover ações que de fato possam reconhecer as ameaças, e a tomar as providências necessárias para a paralização do evento.

Uma equipe capacitada pode criar mecanismos inteligentes que venham a reconhecer o comportamento, por exemplo, de uma negação de serviço (DoS), a propagação de um malwares ou de um ransomwares, antes que a suas ações sejam devastadoras.

Empresas preparadas em termos de cibersegurança, tem muito mais chances de enfrentar os desafios impostos pelas ameaças cibernéticas. Estas organizações estarão mais qualificadas a oferecer uma maior disponibilidade e estabilidade dos seus serviços, fortalecendo sua competitividade.

Referências

BRASIL. LEI Nº 13.709, DE 14 DE AGOSTO DE 2018, Diário Oficial da União - Seção 1 - 15/8/2018, Página 59, 2018. Disponivel em: .

KASPERSKY Lab. Kaspersky Lab, 1997. Disponivel em: . Acesso em: 2020.

LGPDBRASIL. 84% DAS EMPRESAS BRASILEIRAS NÃO ESTÃO PREPARADAS PARA A LGPD. LGPDBrasil.com.br, 2019. Disponivel em: . Acesso em: 16 mar. 2020.

PATTERSON, D.; KATES, G. We found our personal data on the dark web. Is yours there, too? CBSNews, 25 mar. 2019. Disponivel em: . Acesso em: 06 jan. 2020.

RISKBASED SECURITY. 2019 MidYear QuickView Data Breach Report, julho 2019. Disponivel em: . Acesso em: 10 mar. 2020.

FACEBOOK COMMENTS WILL BE SHOWN ONLY WHEN YOUR SITE IS ONLINE

Gostou desse artigo?

Confira outros artigos no nosso blog

© Copyright 2020 Dados & Privacidade - All Rights Reserved