A estrutura para a LGPD já está sendo criada pelo governo brasileiro e as empresas podem ter um respiro a mais antes que as sanções sejam realmente aplicadas. Sabemos que muitas empresas se perguntam “o que deve ser feito” ou “que solução se deve comprar” para tornar um ambiente preparado para a LGPD. Pensando nisso, resolvemos produzir um artigo que aborde esse tema de forma mais direta, citando nomes de tecnologias ou processos que podem auxiliar empresas a estarem preparadas para a LGPD.
É importante frisar que as tecnologias que citarei neste artigo têm o intuito exclusivo de trazer ideias para melhoria da segurança de rede dos ambientes empresariais, e não são uma sugestão de compra. Mesmo sendo soluções de segurança que podem trazer melhorias para quase todos os ambientes, é necessário que você, ou os responsáveis pela segurança do ambiente da sua empresa, avaliem quais soluções são adequadas para o momento atual.
Temos diversos outros artigos que abordam temas pertinentes à LGPD que com certeza também podem te auxiliar neste momento. Caso você já tenha visto algum dos nossos artigos, ou tenha lido sobre a LGPD em qualquer outro lugar, deve ter notado que a adequação também está fortemente relacionada aos processos da empresa, não apenas as tecnologias. Então, antes de entrarmos nas tecnologias em si, gostaria de falar sobre 4 dos principais pontos que considero serem as pedras fundamentais para um bom processo de adequação.
Conscientização e capacitação
Independentemente da quantidade de funcionários, cada um deles precisa estar ciente sobre a LGPD: é necessário entender suas implicações e, eventualmente, como lidar com os dados. Esse resultado pode ser atingido de diversas formas, por exemplo, reuniões, campanhas internas de conscientização e treinamentos costumam ser abordagens bem eficientes.
DPO
É mandatório que cada empresa tenha um encarregado responsável por endereçar questões referentes à LGPD, seja ele um funcionário interno da empresa ou um terceirizado. Cada empresa deve avaliar sua situação e eleger a melhor forma de preencher essa posição chave para o cumprimento das exigências.
Reveja (ou crie) políticas de segurança de dados
Revisar toda e qualquer política que tenha como intuito a proteção de dados é algo que considero essencial. As políticas devem refletir a nova realidade de tratamento de dados, podendo conter informações sobre as pessoas responsáveis, formas de armazenamento e eliminação dos dados que devem ser adotadas, e claro, quem pode ter acesso legítimo a eles.
Consentimento para coleta de dados
Se sua empresa precisa coletar quaisquer dados pessoais, é necessário que o dono desses dados (titular) esteja ciente disso. Nem sempre a coleta desse consentimento é complexa, podemos ver exemplos em grandes portais de notícias na Internet - um botão é exibido informando que eles utilizam cookies para melhorar a navegação e que ao continuar navegando o usuário aceita que eles façam isso, por exemplo.
Não é necessário exibir a política de uso de cookies antes que o usuário continue navegando, apenas é preciso deixá-lo ciente que ele pode encontrá-la e lê-la, caso deseje. Dependendo do segmento em que sua empresa atue, esse modelo pode ser adotado, ou talvez você precise fazer isso por meio de um contrato mais formal, o ponto a se ter atenção é que a coleta desse consentimento deve existir.
Explicados os processos que considero muito importantes e sabendo que existem diversos outros que eventualmente precisam ser revisados pelas empresas, mas que não abordaremos nesta publicação, passemos às tecnologias que efetivamente auxiliam na proteção dos dados de sua empresa:
1 - Firewall
Uma das soluções mais básicas de segurança e que deveria fazer parte de todo e qualquer ambiente. As versões mais tradicionais de firewall baseiam suas regras em IPs e portas, e têm papel essencial na proteção do entorno de rede. O firewall permite proteger as informações através do monitoramento e da restrição de IPs maliciosos que estejam tentando se comunicar com a rede ou impedindo que usuários internos tenham acesso a endereços maliciosos na Internet.
2 – Múltiplo fator de autenticação (senhas)
Temos visto que ataques de Brute Force contra servidos RDP têm aumentado nos últimos tempos, mas esse tipo de ataque sempre foi muito comum. O Bruce Force, também conhecido como Força Bruta, consiste em tentar adivinhar a senha de um usuário baseado em tentativa e erro. Claro que quanto mais simples for a senha da vítima, mais fácil e rápido será o processo para que os cibercriminosos possam comprometer o ambiente. Uma das formas para barrar esse acesso é adicionar um fator à autenticação, como, por exemplo, uma senha temporária gerada em um app que o usuário tenha. Dessa forma, além da senha do usuário em si, o criminoso precisaria desse token para realmente acessar o ambiente, tornando-o bem mais seguro mesmo em casos de vazamentos de senhas.
Também é possível adotar uma política de uso de senhas complexas e impor uma adequação a todos os usuários, sem exceção. Mesmo não sendo uma camada adicional de proteção e apesar de não evitar o comprometimento de informações em caso de vazamentos, aumentar a complexidade da senha auxilia a atrasar o processo de Brute Force dos criminosos - podendo até tornar o ataque inviável, dependendo do tempo que o criminoso levar para descobrir a senha.
3 - Gestão/Distribuição de patch e atualizações
Apesar de atuarem de forma indireta, as soluções de gestão e aplicação de patches são pontos importantes para a saúde de um ambiente e auxiliam na prevenção de acessos ilegítimos. Muitos softwares em suas versões antigas possuem falhas que, se exploradas adequadamente, podem conceder acesso indevidos aos criminosos. Dependendo da forma como essa exploração ocorre, o acesso pode não ser identificado por soluções de segurança como antivírus, fazendo com que o ataque passe desapercebido até que seja tarde demais. Consideramos de suma importância um ambiente sempre atualizado e bem configurado.
4 - Soluções de proteção de endpoint
Essas soluções são consideradas a evolução tecnológica dos antivírus mais simples. Às vezes são encontradas com o nome de antivírus avançado ou endpoint protection e oferecem diversos recursos de segurança em apenas um produto, trazendo um grande incremento de proteção ao dispositivo. Boa parte dos ataques mais comuns são interrompidos quando se tem esse tipo de solução nos equipamentos; se a solução por si só já interrompe boa parte dos ataques, consequentemente também impedirá que o criminoso tenha acesso a informação que está sendo protegida.
5 - DLP
Os Data Loss Prevention, que em tradução livre significa Prevenção contra Vazamento de Dados, como o nome sugere, impedem que os dados mais importantes para a empresa não sejam trafegados sem o devido consentimento. Eles podem impedir que, por exemplo, determinados arquivos sejam enviados para um pendrive ou HD externo, que informações sejam coladas em e-mails, ou que determinados tipos de dados sejam carregados em formulários na Internet. As aplicações desse tipo de ferramenta diminuem drasticamente a chance de exposição dos dados sigilosos de forma intencional ou acidental.
6 - Desenvolvimento seguro e revisão de código
Esse ponto não é exatamente uma tecnologia de segurança, apesar de ser possível contratar revisões de código focadas em segurança, mas é parte importante de um ambiente para empresas que desenvolvem suas próprias aplicações ou compram/contratam aplicações personalizadas para seu ambiente. Aplicar segurança desde o desenvolvimento diminui consideravelmente as chances de problemas com pontos vulneráveis, seja para o armazenamento/tratamento dos dados recebidos, ou para evitar que partes da aplicação sofram com ataques ao buffer.
7 - WAF/DBF
As siglas representam Web Application Firewall e Database Firewall, que em tradução livre significam Firewall de aplicação Web e Firewall de Banco de Dados, respectivamente. Essas são ferramentas mais avançadas de detecção e conseguem impedir, por exemplo, consultas em larga escala em partes do site onde não deveria haver esse comportamento, tentativa de enumeração de banco de dados, inserção de caracteres em excesso em formulários e diversos outros recursos úteis que podem impedir que suas aplicações se comportem de forma anormal a ponto de um criminoso conseguir extrair dados dela.
8 - Proteção física e Criptografia
Agora lidando com a parte concreta dos dados, o primeiro conceito visa proteger fisicamente o lugar onde as informações sensíveis estão armazenadas, a fim de evitar que sejam comprometidas. A proteção física pode ter muitas abordagens, desde uma porta que impeça que curiosos acessem os computadores principais ou servidores, até proteção perimetral envolvendo câmeras de segurança, catracas, controle biométrico e uma série de outros dispositivos. Todos os recursos empregados têm somente um destino, garantir acesso aos meios físicos somente à pessoas autorizadas.
Como nenhuma das soluções de segurança é a prova de falhas, a proteção física não é exceção. Caso um criminoso consiga ter acesso às mídias físicas que contém os dados sigilosos, elas também devem estar adequadamente protegidas por meio de criptografia, para que mesmo que os criminosos tentem o acesso lógico aos dados, eles sejam impedidos pela necessidade de senha exigida para descriptografá-los.
Nessa parte de criptografia, me referi especificamente a criptografia de HDs, mas também é possível adotá-la em outros momentos, como, por exemplo, na criptografia de informações armazenadas em banco de dados, criptografia de comunicação de um formulário web, utilização de túnel seguro para acesso a determinados serviços e em diversos outros pontos.
A quantidade de recursos ($) empregados para se adequar irá variar bastante, principalmente no que diz respeito ao tamanho da empresa. Uma empresa com 4 funcionários deve focar em instruí-los sobre a LGPD, proteger bem os endpoints, utilizar criptografia, e todos os outros recursos menos custosos e que tragam uma boa robustez ao ambiente. Uma empresa com muitos funcionários, aplicações próprias e contato com diversas outras empresas precisa aplicar tantos recursos quanto possível para que a integridade dos dados se mantenha, sem nunca deixar de instruir os funcionários, é claro!
