LGPD na mira dos CIOs: algumas dicas práticas

Temos visto com frequência escândalos envolvendo o vazamento de dados pessoais. Somente neste ano foram detectadas quatro atuações maliciosas de hackers com grandes proporções: o megavazamento de dados de 223 milhões de brasileiros, incluindo falecidos, a invasão a sistemas do Ministério da Saúde, o vazamento de dados de 103 milhões de contas de celulares e a falha no site do Detran-RS, que expôs 5,1 milhões de motoristas.

Nestes tipos de crimes cibernéticos, as informações comprometidas incluíram nome, CPF, RG, CNH, título de eleitor, e-mail, telefone, endereço, ocupação, pontuação de crédito, escolaridade, estado civil, emprego, salário, renda, poder aquisitivo, foto de rosto, classe social, vínculo universitário, entre outras. Além do volume, a natureza sensível dos dados traz riscos a diferentes tipos de golpes envolvendo a identidade, como saque a contas bancárias, sequestro e fraude de cartão de crédito, contratação de serviços, compras em nomes de outras pessoas, entre várias outras possibilidades de uso indevido de dados.

Mas, a magnitude desses incidentes chama atenção não só pelo volume e caráter das informações vazadas, como também pela conjuntura na qual eles ocorreram. Desde o ano passado, o Brasil passou a contar com a Lei Geral de Proteção de Dados (LGPD) e com um órgão federal responsável por fiscalizar seu cumprimento, a Autoridade Nacional de Proteção de Dados (ANPD), que passará a aplicar multas de até 50 milhões entre outras penalidades a partir de agosto deste ano.

Entretanto, embora haja essas iniciativas, o desenvolvimento da política nacional de proteção de dados vem sendo construída gradualmente e esses incidentes servem como testes – ou megatestes – para as autoridades investigarem as origens efetivas das violações e punirem os responsáveis.

Do ponto de vista das organizações, há medidas viáveis de segurança para se adequar à LGPD e, assim, evitar os ciberataques. Em primeiro lugar, é preciso uma mudança cultural em relação aos riscos. Muitas organizações pensam em segurança para os seus ativos, mas poucas se atentam para os riscos ligados a dados de outros, principalmente pessoas físicas, clientes e funcionários. Acontece que a informação dos outros é emprestada, não doada. Sendo assim, exige-se um nível de cuidado muito maior para que esses dados não sejam expostos de uma forma à qual não foi autorizada, tendo a empresa a total responsabilidade atribuída.

Adicionalmente, é recomendável a adoção de programas de SGSI (Sistemas de Gestão de Segurança da Informação) utilizando-se de padrões ISO / IEC 27000, ITIL (capítulo de SI) e COBIT5 para SI que direcionam boas práticas de mercado, além de individualizar as necessidades de acordo com a empresa, pois cada negócio tem suas características e necessita de diagnóstico e ações próprios. Segundo a pesquisa Global Digital Trust Insights, elaborada pela consultoria PwC, 57% dos executivos de TI e segurança brasileiros planejam aumentar seus orçamentos de segurança cibernética, sendo que 60% pretendem formar equipes cibernéticas para trabalho em tempo integral em 2021.

Esse assunto virou prioridade na agenda dos CIOs em decorrência do avanço tecnológico deflagrado pela pandemia, no qual houve o crescimento da digitalização e, consequentemente, o aumento no fluxo de dados que transitam na rede, ou seja, as empresas e pessoas nunca estiveram tão vulneráveis. Somado a isso, a entrada em vigor da LGPD e os recentes vazamentos indevidos de informações tornou a cibersegurança uma preocupação latente.

Diante deste cenário, há uma série de fatores de riscos que um programa de SGSI e de cibersegurança devem controlar: engenharia social, spyware, ransomware, injeção de SQL, phishing, ataques “man-in-the-middle, entre outros  e, para cada um deles, há recomendações e boas práticas que devem ser aplicadas, tais como a utilização de regras de firewall, criptografias, anonimização, utilização de certificados de segurança, exposição ou quebra de bancos, redes e conexões privadas e tokens de segurança, entre outras. medidas.

O importante é que haja um diagnóstico de cibersegurança voltado à LGPD e a outros riscos do negócio com a avaliação técnica do ambiente, pois somente assim é possível identificar as vulnerabilidades de cada empresa e, ou, aplicação, avaliar os riscos relacionados aos dados pessoais e tratá-los da maneira adequada.

* Paulo França é gerente de consultoria digital e inovação da Engineering