Segurança da informação em Privacidade de Dados

Segurança da informação em Privacidade de Dados

A lei de privacidade de dados no Brasil está mexendo com as empresas, em relação às tecnologias e processos de segurança de informação. É importante sempre ter em mente que a LGPD (Lei Geral de Proteção de Dados) veio para trazer benefícios aos cidadãos brasileiros.

Contudo, este é um processo que está afetando diretamente as empresas pois, elas têm a necessidade de organizar seus dados, adequar seus processos, treinar seus colaboradores e implantar tecnologias de segurança da informação.

Segundo a empresa DNASec®, existem 10 pilares de tecnologia que devem ser utilizados como guias de implantação, lembrando que existe uma implantação mínima, de acordo com cada porte e tipo de negócio.

Dessa forma, considerando as necessidades das empresas, de acordo com porte e criticidade de negócio, em relação à implantação de tecnologias, podemos enumerar algumas delas. Acompanhe o artigo e confira informações sobre as seguintes tecnologias:

  • Segurança de acesso a dados e acesso a ambientes de trabalho
  • Criptografia de dados em repouso
  • Classificação de dados e documentos
  • Proteção de endpoint contra roubo, sequestro e destruição de dados
  • Tecnologias de Backups e Proteção de dados
  • Controle de acesso privilegiado aos ambientes de dados
  • Gestão de vulnerabilidades
  • Ferramentas de educação de usuários, compliance e phishing
  • Ferramentas de Correlacionamento de eventos e resposta a incidentes
  • Auditoria, Proteção e Controle de trânsito e uso de dados pessoais


Segurança da informação em ambientes de trabalho

Atualmente, a segurança da informação e ambientes de trabalho têm sido um ponto crítico de atenção, pois são o principal meio para hackers conseguirem acesso ao ambiente privilegiado e roubarem dados.

Para que possamos tratar estes pontos de riscos, devemos explorar as seguintes ações:

  • Implantação de Acesso VPN com múltiplos fatores de autenticação;
  • Remoção de acessos de Terminal Services, abertos para qualquer tipo de origem na internet;
  • Segmentação das redes internas de servidores de bancos de dados e aplicação da rede de desktops;
  • Controles de acessos RBAC nos sistemas;
  • Políticas de senhas fortes para usuários em todos os sistemas;
  • Centralização de senhas com SSO;
  • Ferramentas de análise comportamental de usuários.


Criptografia de dados em repouso

O armazenamento de dados em disco e em bancos de dados é uma ação que previne roubos de ativos ou acessos indesejados em bancos de dados com informações pessoais. 

Neste caso, quando um equipamento – seja ele um notebook, celular ou até mesmo servidores e seus componentes de armazenamento – for furtado ou roubado, os dados pessoais não serão acessados por pessoas não autorizadas.

Para atingir este objetivo é necessário implantar processos e tecnologias de segurança como abaixo:

  • Softwares de criptografia de disco;
  • Solução de MDM para controle de dispositivos móveis.


Classificação de dados e documentos

Do ponto de vista de classificação de dados, devemos levar em conta que os documentos e informações devem ser classificados de acordo com uma política de segurança da informação. 

Isso ocorre após a correta implantação do processo de classificação de informação, com seus respectivos treinamentos e envolvimento das pessoas corretas, para a utilização das ferramentas rotuladoras de classificação de documentos.

Os softwares, serviços e soluções necessárias para este objetivo são:

  • Políticas de classificação de informação e uso de dados;
  • Softwares de Classificação de informação.


Proteção de endpoint contra roubo, sequestro e destruição de dados

Quando falamos de endpoint, não faz mais sentido pensarmos em um endpoint tradicional de antivírus. Contudo, devemos considerar sempre um endpoint de próxima geração, ou seja, um Next Generation Endpoint.

Atualmente, ele substitui os antivírus tradicionais e agrega algumas defesas para os computadores e notebooks. Além disso, irá adicionar camadas de telemetria e coletas de dados, para investigação e proteção na execução de scripts maliciosos.

Além dos NG Endpoints, não podemos deixar de considerar os Endpoints de DLP, que devem ser implantados após uma definição rigorosa de regras de negócio e documentação clara do que é um incidente, mesmo que envolvam dados pessoais.

Com isto, devemos considerar neste processo:

  • Política de documentação de incidentes e suas respostas;
  • Software de NG Endpoint com EPP, EDR ou xDR;
  • Software de DLP.


Tecnologias de Backups e segurança da informação

Os backups e cópias de segurança devem ser muito bem planejados, pois é a última linha de defesa em uma situação de sequestro de dados ou até mesmo a destruição completa.

Os backups devem ser armazenados fora do ambiente de produção e isolados de qualquer risco de contaminação ou alcance.

Desta forma, devemos prever no ambiente:

  • Solução de backups com possibilidade de identificação transversal de dados pessoais;
  • Solução de backup com proteção de dados contra sequestro de dados (ransomware);
  • Serviço de segmentação de rede do ambiente de backup para proteger os catálogos de backup.


Controle de acesso privilegiado aos ambientes de dados

O controle de acesso privilegiado e senhas é, atualmente, um dos pontos mais críticos e frequentes para a entrada de invasores no ambiente de rede, através de vazamento de credenciais.

Este acesso deve ser controlado, auditado, gravado e restrito, de tal forma que as senhas nunca fiquem em poder dos usuários, bem como soluções atuais de PAM (Privileged Access Management).

Elas podem, inclusive, monitorar a criação de novos usuários administradores no ambiente e, até mesmo, detectar se alguém trocou uma senha de administrador. Além disso, ainda podem trocar as senhas sem intervenção humana.

Para atingir estes objetivos é necessário implantar:

  • Política de gestão de acesso privilegiado;
  • Solução de PAM;


Gestão de vulnerabilidades na segurança da informação

O processo de gestão de vulnerabilidades permite identificar os riscos em aplicações utilizadas, definindo as classificações, formas de tratamento, responsabilidades e tempo para remediação.

Um usuário malicioso pode extraviar dados pessoais e vender em fóruns da web, além de realizar chantagem, ao cobrar um valor financeiro como uma condição para o “resgate” dos dados.

Uma gestão efetiva da segurança da informação consiste nas seguintes etapas:

  • Identificação: utilização de uma ferramenta de varredura ou agentes de segurança como antimalwares que localizam as vulnerabilidades.
  • Priorização de ativos: estabelecimento de uma lista de ativos prioritários para o negócio, em que as vulnerabilidades possuem maior peso e são corrigidas primeiro.
  • Avaliação: a partir da identificação das vulnerabilidades, é possível enumerá-las e relacionar com as CVEs (Common Vulnerabilities and Expositions – lista pública de falhas de segurança) atribuindo uma pontuação de acordo com o CVSS (Common Vulnerabilities Scoring System – metodologia para definição de notas para as vulnerabilidades), bem como utilizar fatores de criticidade para o negócio, permitindo a priorização da execução de correções mais críticas, utilizando fatores de criticidade para o negócio.
  • Relatório: o registro das vulnerabilidades permite a compreensão da evolução delas e da eficiência no programa de gerenciamento, observando quantas surgiram desde a última varredura, quantas foram encerradas ou mitigadas e controlar o nível de risco.
  • Remediação: Na etapa de remediação, primeiro deve ser verificado se se existem patches disponíveis ou se a remediação dela não impacta na funcionalidade de algum sistema.

Se for possível, a correção deve ser aplicada e validada. Caso contrário, deve ser verificado se existe uma possibilidade de mitigar seu risco, seja isolando o ativo em questão ou aplicando outros controles compensatórios.

Ainda assim, se não for possível remediar a vulnerabilidade, pode-se aceitar o risco, documentando a aprovação dessa exceção e definindo uma data limite para revisitar a vulnerabilidade.


Ferramentas de educação de usuários, compliance e phishing

Geralmente, usuários de rede e colaboradores são o “elo fraco da corrente”. Assim, para reverter este cenário, precisamos considerar a máxima de Eliyahu M. Goldratt, físico e administrador: “Uma corrente é tão forte quanto o seu elo mais fraco”

Dessa forma devem ser aplicadas ações de awareness, aculturamento e programas de capacitação, utilizando programas de compliance e phishing, muito úteis no processo de aculturamento para a segurança da informação.

Além disso, compliance e privacidade de dados, do ponto de vista corporativo, também são usadas para treinamento de usuários e coletas de consentimentos sobre regras de segurança, também levando em conta a demanda de trabalho no modelo home office.

Com isso, podemos considerar a implantação das seguintes políticas e soluções:

  • Política de compliance e anticorrupção;
  • Código de ética e conduta;
  • Política de privacidade e tratamento de dados pessoais;
  • Soluções de phishing e treinamento de usuários.


Ferramentas de Correlacionamento de eventos e resposta a incidentes

Os processos de resposta a incidentes corporativos, sejam de segurança, disponibilidade ou privacidade de dados, devem estar com seus profissionais treinados e prontos para reagir a qualquer tipo de incidente no ambiente de trabalho.

Contudo, para que os processos de resposta a incidentes funcionem corretamente, o monitoramento de eventos de segurança e de privacidade de dados deve estar adequado, com uma triagem prévia e inteligente.

Para isso, é necessário implantar os seguintes passos:

  • Implantação de Plano de continuidade de Negócios;
  • Análise de risco do ambiente;
  • Plano de Monitoramento;
  • Plano de Resposta a incidentes;
  • Solução de SIEM e Monitoramento.


Auditoria, segurança da informação e Controle de trânsito e uso de dados pessoais

Softwares e processos de auditoria, proteção e controle no tratamento e uso de dados pessoais são altamente necessários para atendimento da diretiva da Lei Geral de Proteção de Dados.

Afinal, ela define que a empresa que está tratando dados deve provar a idoneidade de tratamento de dados e a aplicação das ferramentas de segurança necessárias para proteger os dados pessoais que estão sendo tratados.

Desta forma é necessária a implantação das seguintes soluções:

  • Software de DLP;
  • Sistema de auditoria de endpoint;
  • Software de auditoria de banco de dados e active directory.


Conclusão

Finalmente, podemos concluir que, além de todo um suporte tecnológico, é de extrema importância que o fator humano também caminhe lado a lado com as diretrizes que regem a LGPD.

Assim, é preciso lembrar que executar um assessment de segurança de informação antes mesmo de implantar as tecnologias, entendendo os requisitos mínimos de cada uma delas, é realmente necessário.

Ainda levando em conta o valor cultural, empresas que têm uma dinâmica mais tradicional de trabalho e ainda não entraram de forma mais consistente nesse universo de inovação e tecnologia, tem um trabalho extra com a sua equipe. 

É preciso realizar um trabalho efetivo com todos os colaboradores, para que entendam a importância dos resultados obtidos através dos métodos implantados e que todos enxerguem o processo da mesma perspectiva.


Este texto foi escrito por George Silverio da Silva, Chairman na empresa BoxGroup

Acompanhe nossa newsletter!

Acompanhe nossa newsletter!

Ao navegar neste site, você aceita os cookies que usamos para melhorar sua experiência. Mais informações.

Ao navegar neste site, você aceita os cookies que usamos para melhorar sua experiência. Mais informações.