Insights > Blog

LGPD, uma necessidade!

Há algum tempo os grandes orgãos reguladores de segurança1 já estavam preocupados com o crescimento exponencial de dados que circulam por dispositivos móveis, e que são compartilhados rapidamente com milhões de pessoas ao redor do mundo.

Além dessa massa gigantesca de dados, informações sensíveis às pessoas, à tecnologia, ao comércio, à indústria e à própria economia mundial são armazenadas em servidores espalhados globalmente e muitas vezes sem a devida preocupação com a segurança dos mesmos.

Em outubro de 2016, o ISC – International Information System Security Certification Consortium², orgão de referência mundial em Segurança da Informação, já considerava o GDPR – General Data Protection Regulation1, como um projeto de alta complexidade (devido às confusas regulamentações vigentes) ou uma oportunidade enorme de melhoria da segurança de dados.

Se considerarmos o Brasil, que relutou anos para adotar o GDPR; e está prestes a ter sua legislação para a LGPD (Lei Geral de Proteção de Dados), mais dúvidas ainda pairam no ar.

Com o crescimento notório de sequestro de dados (Ransomware) e o aumento dos custos de “non-compliance” atingindo a marca de 4% do PIB global anual (sem contar dano à reputação dos atingidos), a hora de proteger-se é agora!

Tomemos novamente como exemplo o sequestro de dados ocorrido em 12 de maio de 2017, conhecido como WannaCry. Em muito pouco tempo foram atingidos mais de 200.000 servidores alastrando-se por 100.000 organizações distribuídas em 150 países, onde tiveram seus arquivos encriptados e uma cobrança de US$300 em Bitcoins de resgate para cada incidência. E tudo isso aconteceu devido à exploração (pelos atacantes) de uma vulnerabilidade já conhecida do Windows que permitia a execução de um código remotamente. O estrago só não foi maior porque o código e a metodologia de ataque utilizados já eram conhecidos pelas autoridades de segurança, e desta forma foram rapidamente identificados e contidos. Entretanto, o que realmente nos assusta é que em março do mesmo ano (dois meses antes daquela situação), a Microsoft havia disponibilizado o patch de atualização para essa vulnerabilidade, e quem não o aplicou estava vulnerável a este ataque (ou seja, uma tragédia anunciada).

Diante dessa situação vamos elencar alguns pontos importantes a serem considerados sobre o cenário atual da segurança de dados e, assim, entenderemos a importância do mencionado GDPR ou para nós no Brasil, LGPD.

Informações pessoais passaram a ter muito valor e, além disso vivemos reações políticas com sistemas legais diferentes pelo mundo, e esses pontos já favorecem em diversos detalhes, os ataques cibernéticos.

A disputa econômica entre Estados Unidos e União Europeia é forte, e a busca da Europa por comércio Internacional faz com que atacantes pelo mundo se sintam incentivados.

Também não podemos deixar de mencionar, Edward Snowden3 que provou a fragilidade da segurança de dados tornando público como os americanos vigiavam o mundo. E, para piorar, o austríaco Max Schrems4 que processou o Facebook em ação coletiva pela violação da lei de proteção de dados da União Europeia, por expor dados pessoais de seus assinantes. Diante desses fatos, o GDPR ou Lei Geral de Proteção de Dados, passa a ser uma necessidade imediata.

Medidas técnicas apropriadas e organizacionais precisam ser tomadas imediatamente contra o processamento e manipulação de dados pessoais de forma não autorizada ou não coberta pela lei, bem como medidas contra a perda acidental, destruição, ou danos a qualquer dado pessoal.

O GDPR ou LGDP, incrementa o nível de segurança a ser implantado, permitindo ter maior conhecimento sobre vulnerabilidades com diferentes planos de contingência e compromisso com possíveis riscos, dificultando, assim, os ataques atualmente aplicados.

O objetivo do dessa lei de proteção de dados, é regulamentar a proteção dos dados através de um padrão obrigatório, mesmo que a proteção dos dados seja impactada, esse tempo será previsto.

Qualquer relatório de contravenção deve ser apresentado em 72 horas e deve haver a distinção clara de quem processa e quem controla os dados.

Os benefícios imediatos ainda não são mensuráveis, mas espera-se que sejam aplicáveis para portabilidade, com melhor tratamento de perfis, e que possíveis perdas sejam consideradas, mapeadas e tratadas como uma opção plausível, e habilite a utilização de One Stop Shop (comprar sem se cadastrar).

As consequências são claras e não poderemos ignorá-las, tais como: mais trabalho para os controladores e os processadores de dados, retorno dos 4% gastos com “non-compliance” (ou parte dele) e melhoria de responsabilidade e compensação atraindo mais recursos para aplicar em segurança.

Esse é o caminho! “Monitorar e atualizar, bloquear e agir” e que tenhamos em definitivo, um padrão único mundial para ser seguido e aplicado.

Autor: Alexandre Armellini, Cipher Red Team Services Consultant

Referências:
1 http://www.eugdpr.org/ ou https://www.lgpdbrasil.com.br/
2 https://www.isc2.org/#
3https://pt.wikipedia.org/wiki/Edward_Snowden
4 https://pt.wikipedia.org/wiki/Max_Schrems

0 Comments

Submit a Comment Cancel reply

RECEBA NOSSAS NOTÍCIAS!

Information Security Maturity Self-Assessment Survey

Saiba mais

• Whitepapers
• E-books
• Checklists
• Self-Assessments
• Webcasts
• Infographics

Cookie	Duração	Descrição
__hssrc	sessão	O Hubspot define este cookie cada vez que o cookie da sessão muda. O cookie __hssrc ajustado a 1 indica que o utilizador reiniciou o navegador, e se o cookie não existir, assume-se que se trata de uma nova sessão.
_GRECAPTCHA	5 meses 27 dias	Este cookie é definido pelo Google. Além de certos cookies padrão do Google, o reCAPTCHA define um cookie necessário (_GRECAPTCHA) quando executado com o objetivo de fornecer sua análise de risco.
viewed_cookie_policy	1 ano	Este cookie é definido pelo suplemento de consentimento de cookies da GDPR e é utilizado para armazenar se o utilizador consentiu ou não na utilização de cookies. Não armazena quaisquer dados pessoais.

Cookie	Duração	Descrição
AnalyticsSyncHistory	1 mês	Sem descrição
li_gc	2 anos	Não há descrição disponível.
UserMatchHistory	1 mês	Linkedin - Usado para localizar visitantes em múltiplos sítios web, a fim de apresentar anúncios relevantes com base nas preferências dos visitantes.

Cookie	Duração	Descrição
bscookie	2 anos	Este cookie é um cookie de identificação do navegador definido por Botões de partilha Linked e etiquetas de anúncios.
IDE	1 ano 24 dias	Os cookies IDE Google DoubleClick são utilizados para armazenar informação sobre a forma como o utilizador utiliza o sítio web a fim de apresentar ao utilizador anúncios relevantes e direccionados.
test_cookie	15 minutos	O cookie test_cookie é definido por doubleclick.net e é utilizado para determinar se o navegador do utilizador suporta cookies.
VISITOR_INFO1_LIVE	5 meses 27 dias	Um cookie definido pelo Youtube para medir a largura de banda que determina se o utilizador recebe a nova ou a antiga interface do leitor.
YSC	sessão	O cookie do YSC é definido pelo YouTube e é utilizado para acompanhar as visualizações de vídeos incorporados nas páginas do YouTube.
yt-remote-connected-devices	nunca expira	O YouTube define este cookie para armazenar as preferências de vídeo do utilizador que utiliza o vídeo do YouTube incorporado.
yt-remote-device-id	nunca expira	O YouTube define este cookie para armazenar as preferências de vídeo do utilizador utilizando o vídeo do YouTube incorporado.

Cookie	Duração	Descrição
__hstc	1 ano 24 dias	Este é o cookie principal criado pelo Hubspot, para rastreio de visitantes. Contém o domínio, o carimbo temporal inicial (primeira visita), o último carimbo temporal (última visita), o carimbo temporal actual (esta visita) e o número de sessão (incrementado para cada sessão subsequente).
_ga	2 anos	O cookie _ga, definido pelo Google Analytics, calcula os dados do visitante, da sessão e da campanha e também rastreia a utilização do site para relatórios de análise do site. O cookie armazena informação anonimamente e atribui um número gerado aleatoriamente para reconhecer visitantes únicos.
_gat_gtag_UA_86671402_1	1 minuto	Este cookie é definido pelo Google e é utilizado para distinguir os utilizadores.
_gcl_au	3 meses	Fornecido pelo Google Tag Manager para testar a eficácia da publicidade dos sítios web que utilizam os seus serviços.
_gid	1 dia	Definido pelo Google Analytics, o cookie _gid armazena informações sobre como os visitantes utilizam um sítio web, enquanto cria um relatório analítico do desempenho do sítio. Alguns dos dados recolhidos incluem o número de visitantes, de onde provêm e as páginas que visitam anonimamente.
CONSENT	16 anos 3 meses 14 dias 7 horas	Estes cookies são definidos através de vídeos YouTube incorporados. Gravam dados estatísticos anónimos sobre, por exemplo, o número de vezes que o vídeo é visto e as definições utilizadas para a reprodução. Os dados sensíveis não são recolhidos a menos que esteja ligado à sua conta Google, caso em que as suas escolhas estão ligadas à sua conta, por exemplo, se clicar em "gostar" num vídeo.
hubspotutk	1 ano 24 dias	Este cookie é utilizado pela HubSpot para localizar os visitantes do website. Este cookie é passado ao Hubspot em formulários e é utilizado quando se deduplicam contactos.

Cookie	Duração	Descrição
__cf_bm	30 minutos	Este cookie, definido pelo Cloudflare, é utilizado para apoiar a Gestão de Botões Cloudflare.
__hssc	30 minutos	HubSpot define este cookie para acompanhar as sessões e para determinar se o HubSpot deve aumentar o número de sessões e os carimbos temporais no cookie __hstc.
bcookie	2 anos	O LinkedIn define este cookie de botões de partilha e etiquetas de anúncios do LinkedIn para reconhecer o ID do navegador.
lang	sessão	Este cookie é utilizado para armazenar as preferências linguísticas de um utilizador, a fim de exibir o conteúdo nessa língua armazenada na próxima vez que o utilizador visitar o website.
lidc	1 dia	O cookie lidc é colocado pelo LinkedIn para facilitar a selecção do centro de dados.

Insights > Blog

LGPD, uma necessidade!

0 Comments

Submit a Comment Cancel reply

RECEBA NOSSAS NOTÍCIAS!

Information Security Maturity Self-Assessment Survey

Saiba mais

Social Media

LinkedIn

Powered by Juicer

LinkedIn

Social Media

Twitter

Twitter feed is not available at the moment.

Social Media

Facebook

Insights

Whitepaper

Dig into the details of cybersecurity and regulations by reading our exclusive white papers. Each paper is written by an expert at Cipher and full of insight and advice.

Saber mais