Insights > Blog

LGPD, uma necessidade!

Há algum tempo os grandes orgãos reguladores de segurança1 já estavam preocupados com o crescimento exponencial de dados que circulam por dispositivos móveis, e que são compartilhados rapidamente com milhões de pessoas ao redor do mundo.

Além dessa massa gigantesca de dados, informações sensíveis às pessoas, à tecnologia, ao comércio, à indústria e à própria economia mundial são armazenadas em servidores espalhados globalmente e muitas vezes sem a devida preocupação com a segurança dos mesmos.

Em outubro de 2016, o ISC – International Information System Security Certification Consortium², orgão de referência mundial em Segurança da Informação, já considerava o GDPR – General Data Protection Regulation1, como um projeto de alta complexidade (devido às confusas regulamentações vigentes) ou uma oportunidade enorme de melhoria da segurança de dados.

Se considerarmos o Brasil, que relutou anos para adotar o GDPR; e está prestes a ter sua legislação para a LGPD (Lei Geral de Proteção de Dados), mais dúvidas ainda pairam no ar.

Com o crescimento notório de sequestro de dados (Ransomware) e o aumento dos custos de “non-compliance” atingindo a marca de 4% do PIB global anual (sem contar dano à reputação dos atingidos), a hora de proteger-se é agora!

Tomemos novamente como exemplo o sequestro de dados ocorrido em 12 de maio de 2017, conhecido como WannaCry. Em muito pouco tempo foram atingidos mais de 200.000 servidores alastrando-se por 100.000 organizações distribuídas em 150 países, onde tiveram seus arquivos encriptados e uma cobrança de US$300 em Bitcoins de resgate para cada incidência. E tudo isso aconteceu devido à exploração (pelos atacantes) de uma vulnerabilidade já conhecida do Windows que permitia a execução de um código remotamente. O estrago só não foi maior porque o código e a metodologia de ataque utilizados já eram conhecidos pelas autoridades de segurança, e desta forma foram rapidamente identificados e contidos. Entretanto, o que realmente nos assusta é que em março do mesmo ano (dois meses antes daquela situação), a Microsoft havia disponibilizado o patch de atualização para essa vulnerabilidade, e quem não o aplicou estava vulnerável a este ataque (ou seja, uma tragédia anunciada).

Diante dessa situação vamos elencar alguns pontos importantes a serem considerados sobre o cenário atual da segurança de dados e, assim, entenderemos a importância do mencionado GDPR ou para nós no Brasil, LGPD.

Informações pessoais passaram a ter muito valor e, além disso vivemos reações políticas com sistemas legais diferentes pelo mundo, e esses pontos já favorecem em diversos detalhes, os ataques cibernéticos.

A disputa econômica entre Estados Unidos e União Europeia é forte, e a busca da Europa por comércio Internacional faz com que atacantes pelo mundo se sintam incentivados.

Também não podemos deixar de mencionar, Edward Snowden3 que provou a fragilidade da segurança de dados tornando público como os americanos vigiavam o mundo. E, para piorar, o austríaco Max Schrems4 que processou o Facebook em ação coletiva pela violação da lei de proteção de dados da União Europeia, por expor dados pessoais de seus assinantes. Diante desses fatos, o GDPR ou Lei Geral de Proteção de Dados, passa a ser uma necessidade imediata.

Medidas técnicas apropriadas e organizacionais precisam ser tomadas imediatamente contra o processamento e manipulação de dados pessoais de forma não autorizada ou não coberta pela lei, bem como medidas contra a perda acidental, destruição, ou danos a qualquer dado pessoal.

O GDPR ou LGDP, incrementa o nível de segurança a ser implantado, permitindo ter maior conhecimento sobre vulnerabilidades com diferentes planos de contingência e compromisso com possíveis riscos, dificultando, assim, os ataques atualmente aplicados.

O objetivo do dessa lei de proteção de dados, é regulamentar a proteção dos dados através de um padrão obrigatório, mesmo que a proteção dos dados seja impactada, esse tempo será previsto.

Qualquer relatório de contravenção deve ser apresentado em 72 horas e deve haver a distinção clara de quem processa e quem controla os dados.

Os benefícios imediatos ainda não são mensuráveis, mas espera-se que sejam aplicáveis para portabilidade, com melhor tratamento de perfis, e que possíveis perdas sejam consideradas, mapeadas e tratadas como uma opção plausível, e habilite a utilização de One Stop Shop (comprar sem se cadastrar).

As consequências são claras e não poderemos ignorá-las, tais como: mais trabalho para os controladores e os processadores de dados, retorno dos 4% gastos com “non-compliance” (ou parte dele) e melhoria de responsabilidade e compensação atraindo mais recursos para aplicar em segurança.

Esse é o caminho! “Monitorar e atualizar, bloquear e agir” e que tenhamos em definitivo, um padrão único mundial para ser seguido e aplicado.

Autor: Alexandre Armellini, Cipher Red Team Services Consultant

Referências:
1 http://www.eugdpr.org/ ou https://www.lgpdbrasil.com.br/
2 https://www.isc2.org/#
3https://pt.wikipedia.org/wiki/Edward_Snowden
4 https://pt.wikipedia.org/wiki/Max_Schrems

0 comentários

Enviar um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

RECEBA NOSSAS NOTÍCIAS!

Information Security Maturity Self-Assessment Survey

Saiba mais

•  Whitepapers
•  E-books
•  Checklists
•  Self-Assessments
•  Webcasts
•  Infographics