Há muitas considerações que podem ser feitas a partir da LGPD e hoje decidimos analisar o artigo 50, um dos mais importantes, visto desde a cibersegurança.
O que ele diz?
“Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.”
Resumidamente, neste artigo se comunica a possibilidade de criar regulamentações que envolvam procedimentos considerados como boas práticas de segurança por parte de controladores. Isto com o fim de proteger os dados e mitigar os riscos destes serem expostos de forma indevida.
Há vários incisos que se desdobram do artigo, mas basicamente podemos resumir o seguinte:
- Há que ser plenamente capaz de demonstrar que existe um comprometimento com a implementação de um programa de cibersegurança preventiva, que se bem não vai evitar completamente os riscos, vai mitigá-los bastante.
- Deve ser possível demonstrar que além de ter um programa de segurança, ele é realmente eficiente.
- Demonstrar a inclusão de políticas de proteção que serão mais ou menos abrangentes dependendo do tamanho da base de dados e a sensibilidade dos mesmos.
- Contar com mecanismos de supervisão.
- Contar com planos de resposta e remediação a incidentes.
Como cumprir com esse artigo?
Não existe uma receita de bolo pronta, também não existe uma única solução possível e sim a combinação de várias que permitam cumprir com esse artigo 50 da LGPD.
Basicamente, possuir soluções de cibersegurança preventivas já é uma forma de demonstrar que a empresa está realmente preocupada com seus dados, mas é suficiente?
Se você quiser ter um programa robusto e realmente eficiente, o melhor é ter um planejamento. É importante planejar um programa que envolva soluções e planos de ação preventivos especializados para cada uma das complexas áreas da cibersegurança. Mas como fazer esse plano? Como desenhar um plano que funcione? Quais soluções escolher e por quê?
Te explicamos algumas soluções que podem te ajudar com isto e te oferecemos algumas recomendações.
Evite o malware e proteja-se com o mais básico
Você já deve saber sobre isto, mas nunca está demais lembrar o quão importantes são os antivírus em uma estratégia de proteção contra malware. Só que simplesmente um antivírus não é suficiente. Ele deve ser eficiente e além disso, deve ser acompanhado de um EDR que aumente ainda mais a eficácia da proteção.
Como escolher o antivírus adequado? Fique atento a pontos básicos como desempenho da máquina enquanto estiver ativado, facilidade de instalação e qualidade da remoção de vírus e detecção de malwares (proteção all-inclusive que evite todos os tipos de ameaças conhecidas). Mas também esteja atento a outros pontos importantes como frequência das atualizações por parte do fabricante, funções de inteligência artificial (para detectar ameaças desconhecidas) que hoje são tão importantes, suporte por parte do fabricante.
Isso sim, não esqueça de acompanhar seu antivírus com um EDR!
Temos duas recomendações de antivírus e EDR que seguem estes parâmetros. Veja no botão.
Cubra uma das brechas de segurança mais importantes: Seus funcionários!
Mesmo que você estabeleça centenas de ferramentas para melhorar a proteção da sua empresa, ainda pode ficar uma das brechas mais importantes e mais difíceis de controlar: os funcionários, porque não é possível controlar 100% de tudo o que eles realizam. Você pode ter um programa que alerte sobre phishing, por exemplo, mas mesmo assim o funcionário pode ignorar o alerta e clicar em uma ameaça.
Por isso a importância de incluir no seu programa de cibersegurança treinamentos especializados dos usuários, que ensinem sobre as boas práticas da cibersegurança e diminuir assim o risco que os funcionários poderiam representar para sua organização.
A gente trabalha com uma das plataformas de Treinamento e Conscientização do Phishing mais completas para o treinamento dos funcionários, a qual ensina através de conteúdos interessantes e dinâmicos e simulações que parecem totalmente reais. Conheça esta plataforma no botão abaixo.
Previna a perda de dados e vazamentos eficientemente com DLP
Aqui devemos fazer uma menção importante das técnicas e ferramentas preventivas contra a perda de dados, ou Data Loss Prevention. Este termo envolve a proteção de dados e a prevenção de vazamento dos mesmos. Uma ferramenta deste tipo tem dentre suas funções: proteger informações de identificação de dados pessoais, garantir a conformidade legal (como a LGPD), proteger a propriedade intelectual e obter visibilidade dos dados.
Uma solução de DLP permite ter uma visibilidade abrangente dos dados em uso, em movimento e em repouso. Além disso, permite ter um monitoramento completo dos dados, definir regras de uso, identificar digitalmente o banco de dados, manter uma correspondência de arquivos e documentos e até analisar materiais como fotos.
Conheça uma das melhores ferramentas de DLP no botão.
Simule ataques antes que sejam reais. Penetration Testing
Depois de você criar um programa de cibersegurança para sua empresa e implementá-lo, como pode estar seguro de que ele de fato funciona e está protegendo todas as possíveis vulnerabilidades? Não pode estar seguro, tem que testar!
É aqui que entra uma plataforma de Penetration Testing ou testes de intrusão, a qual permitirá você testar seu ambiente, sua rede e seus acessos. Com uma plataforma de pentesting será possível se colocar no papel de um cibercriminoso e fazer uma simulação de ataque em completa segurança com o objetivo de que essa simulação de ataque não possa se repetir posteriormente na vida real. Durante o processo de testagem, será possível avaliar todas as vulnerabilidades, pegar provas das mesmas (como um fragmento do banco de dados) e gerar um relatório com as próximas ações de correção a serem realizadas.
Este procedimento pode ser automatizado, o que será uma grande vantagem para a produtividade dos funcionários. Clique no botão e conheça uma das ferramentas mais completas para realizar testes de intrusão ou pentest.
Proteja os acessos a sua rede com um firewall
Como proteger os acessos a sua rede sem um firewall? Os firewalls colocam uma barreira de acesso a redes internas protegidas e controladas a partir de redes externas confiáveis ou não, como a Internet. Ele funciona como um filtro que restringe os acessos dependendo de regras e políticas previamente estabelecidas. Assim, o firewall decidirá quais acessos serão permitidos e quais serão bloqueados.
A melhor recomendação que podemos fazer é você preferir um Next Generation Firewall, pois este tipo de solução é ainda mais completa, uma vez que não só protege contra acessos indevidos, também diferencia entre recursos com maior ou menor risco, reduz o tempo de detecção e limpeza e reage rapidamente a ataques.
Conheça no botão abaixo uma ótima solução de Next Generation Firewall.
Dados na nuvem? Perfeito! Mas é segura?
Salvar os dados na nuvem é ótimo, mas é suficiente? É essa nuvem segura? Para você ter os dados salvos na sua nuvem precisa ter certeza de que eles estão protegidos por mecanismos eficientes de criptografia que garantam uma boa segurança dentro da internet.
Garanta uma boa segurança dos dados salvos na nuvem com uma solução que tenha uma proteção avançada contra ransomware, forneça criptografia e backup de dados, proteja dispositivos móveis, permita fazer pagamentos online, entre outras funções.
Clique no botão e conheça algumas soluções de nuvem.
O que tem a ver todos estes assuntos com o artigo 50 da LGPD?
Todas essas ferramentas e técnicas de proteção são provas de que você está realmente se protegendo e se adequando à lei. Estas soluções permitem que sua empresa possa comprovar que possui uma estrutura planejada e sistemática de proteção contra ciberataques, o que poderá funcionar no futuro para demonstrar de forma regular ou em possíveis auditorias que sua empresa está em conformidade.
Da mesma forma, em caso de, infelizmente, sofrer um ataque, a empresa poderá demonstrar que estava sim cumprindo com a lei, possibilitando a redução das penalidades.
Há que escolher todas essas soluções?
Como falamos, não existe uma receita de bolo pronta. Nós estamos recomendando o que seria bom ter em um programa de cibersegurança robusto, mas ainda existem centenas de outras soluções diferentes que poderiam ou não ser aplicadas ao seu tipo de negócio, aqui nós estamos comentando as mais importantes.
Precisa ter todas? Seria o ideal! Mas sabemos que nem sempre é possível. Por isso a importância de planejar seu programa de forma detalhada e personalizada para sua empresa, de forma que você possa escolher todas, ou só as que façam mais sentido ou adicionar outras que tenham ficado por fora desta postagem.
O importante é: Você precisa ter sim um plano preventivo de segurança cibernética porque você não está isento a sofrer ataques (ninguém está) e a LGPD não perdoará você nem ninguém se isso acontecer.
Então, bora lá? Conte conosco para ajudá-lo a encontrar as soluções mais assertivas para sua empresa!