Após uma longa jornada desde sua criação e aprovação no congresso (2018), a Lei Geral de Proteção de Dados LGPD [1] passou a vigorar no dia 18 de Setembro de 2020. Esta, com certeza irá trazer uma mudança drástica na forma em que as organizações tratam a segurança dos dados em sua posse. Apesar das sanções previstas na Lei serem passíveis de aplicação pela Autoridade Nacional de Proteção de Dados - ANPD, apenas em 2021, as entidades de denúncia e fiscalização popular como, o Ministério Público e Procon poderão ser canais para que os titulares dos dados façam valer os direitos adquiridos nesta nova Lei.
E, é por conta de todos os direitos adquiridos que as empresas e órgãos públicos deverão se organizar de forma a prover um cuidado com os dados pessoais em sua posse. A exemplo da Europa, onde a General Data Protection Regulation, GDPR [2] já vigora, o comportamento das empresas e de criminosos virtuais foram alterados. hackers agora invadem as empresas e exigem resgate para não divulgar o vazamento. Empresas e órgãos públicos se veem vítimas de uma nova forma e extorsão, através da ameaça dos Hackers criminosos que terão sanções embasadas e impostas pela Lei.
Nos últimos tempos houve uma crescente onda de ataques cibernéticos [3]. Essa onda de ataques está ligada a motivos específicos que, se observados e sanados, contribuem para melhorar consideravelmente a segurança de sua organização. Um desses motivos é o desconhecimento das próprias organizações sobre as vulnerabilidades de segurança existentes em sua infraestrutura e nas aplicações.
Os atacantes continuam a fazer uso de vulnerabilidades conhecidas para tentar explorar organizações. Muitos desses ataques são iniciados explorando vulnerabilidades que foram relatadas cerca de nove meses antes do ataque ser detectado ou bloqueado [4].
Segundo a consultoria Gartner até 2022, as instituições que utilizarem métodos de gerenciamento de vulnerabilidades reduzirão em 80% as chances de sofrerem um ataque cibernético [5]. Apesar deste ser um controle de Segurança da Informação, óbvio que a descoberta e o gerenciamento de vulnerabilidades tomam muito tempo das organizações, isso quando as mesmas o fazem. Este problema tende a se agravar com a chegada da 5G e o aumento dos dispositivos IoT nas redes.
Desta forma gerenciar vulnerabilidades passa ser um desafio contínuo para as organizações. Assim, analisar os riscos provenientes das vulnerabilidades além de priorizar correções, é primordial elevar o nível de proteção dos dados dos titulares de posse da organização.
Neste contexto, observando os controles da ISO/IEC 27001 que estabelece um padrão para implementação do Sistema de Gestão de Segurança da Informação - (ISMS - Information Security Management System), podemos sintetizar suas práticas para melhorar a segurança de nossas instituições através de cinco passos:
- Identificar as vulnerabilidades de sua instituição;
- Medir os riscos cibernéticos;
- Priorizar os investimentos e as correções dos problemas segundo o grau de risco;
- Monitorar seus ativos;
- Repetir os passos anteriores de forma contínua e sistemática.
Executando estes passos, as vulnerabilidades tendem a serem minimizadas, e por consequência os riscos das vulnerabilidades serem exploradas por atacantes e criminosos virtuais, também. Automatizar este processo pode ser de grande valia para as organizações. Hoje no mercado Brasileiro existem boas soluções para tal fim, cada uma com seu nível complexidade e para perfis de usuários distintos.
Sobre o Autor:
Wagner Monteverde é Especialista em Segurança da Informação e Privacidade com Certificação ISO/IEC 27001, Co-Fundador da Startup de Segurança da Informação EarlySec, Coordenador do Grupo de Trabalho GT-Periscope e Assistente de Inovação no Grupo de Trabalho GT-Arquimedes ambos fomentados pela Rede Nacional de Ensino e Pesquisa. Atua nas áreas de Segurança da Informação & Privacidade, Sistemas Distribuídos e Inteligência Artificial. Atua desde 2014 com consultoria, Pesquisa com Desenvolvimento de soluções para Segurança da Cibernética e da Informação.
Referências:
[1] http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
[5]https://www.cylance.com/content/dam/cylance/pdfs/reports/CylanceThreatReport2017.pdf
[4] Gartner, A Guide to Choosing a Vulnerability Management Solution, Prateek Bhajanka, Mitchell Schneider, Craig Lawson, 3 April 2019
_____________________________________
PARTICIPE da Comunidade Ambientes de Inovação para acessar esse e muitos outros conteúdos sobre recursos para Inovação. Gostou? Siga o autor nesta comunidade! Curta o artigo e indique para amigos/as!