Como as pequenas empresas podem previnir invasões

Prévia do material em texto

TEXTO COMPLEMENTAR 
 
Disciplina: Ética e Legislação Profissional 
Professor: Ricardo Sewaybriker 
 
LGPD: Como as pequenas e médias empresas podem evitar vazamento de 
dados dos clientes 
 
Incidentes aumentam anualmente, mas empresas de qualquer porte podem 
se precaver com ações básicas e de baixo custo 
 
Em meados de maio, uma grande instituição revelou ter sofrido um ataque 
cibernético que ocasionou o vazamento de dados de 53 mil clientes, expondo a 
visualização não autorizada de informações relacionadas a contratos de veículos. 
O número de ataques desse tipo aumentou nos últimos meses. Em abril, outra 
instituição informou uma fragilidade no sistema que permitiu o vazamento de 
dados de cartões de crédito de clientes. Os vazamentos prejudicam a imagem 
das empresas e doem no bolso. Após a entrada da Lei Geral de Proteção de 
Dados – LGPD, empresas podem ser multadas se deixarem as informações de 
seus clientes vulneráveis. Por isso, especialistas alertam que não importa o 
tamanho do negócio, é necessário investir em Segurança para proteger os Dados 
dos clientes. 
 
“Estimativas falam que 50% a 60% dos pequenos e médios negócios sofrem 
algum tipo de ataque cibernético ou vazamento de dados todos os anos e 
infelizmente eles são os alvos preferidos dos bandidos, já que a maioria não tem 
estrutura tecnológica robusta para se proteger, como fazem as grandes 
empresas com equipes de TI. Por isso, essas empresas precisam ficar de olho 
em outras formas de proteção básicas, como adoção da cultura de proteção de 
dados por parte dos funcionários e clientes”, alerta Fernando Weigert, diretor da 
Alias Tecnologia, que fornece soluções para empresas públicas e privadas que 
atuam no segmento financeiro e de veículos. 
 
Entre as providências indispensáveis, que devem constar nos manuais e normas 
de qualquer empreendimento, ele enumera as seguintes: evitar exposição 
desnecessária, não comentar os negócios da empresa, não postar fotos, não 
abrir e-mails desconhecidos, não abrir boletos de pagamentos, ter cuidados com 
acessos externos, ler as políticas de privacidade e não repassar senhas são 
algumas das práticas básicas que devem constar nos manuais e normas da 
empresa. 
 
Exemplo de empresa que precisa lidar com um volume grande de dados de 
clientes, a Alias trabalha diariamente para identificar e resolver possíveis 
fragilidades. “Antes mesmo de a LGPD entrar em vigor, em 2019, a empresa já 
estava empenhada no assunto, tendo planos e estratégias formuladas e 
aplicadas no dia a dia. Tal procedimento resulta em um alto patamar de controle 
 
e rigidez no tratamento, compartilhamento e armazenamento dos dados e 
informações a que tem acesso”, diz Weigert. 
 
Uma pesquisa recente do Massachusetts Institute of Technology – MIT, 
publicada no Journal of Data and Information Quality da ACM (Association for 
Computing Machinery) aponta que vazamentos de dados aumentaram 493% no 
Brasil, sendo que mais de 205 milhões de dados de brasileiros vazaram de forma 
criminosa em 2019. Em número de incidentes relevantes, de grande porte, o país 
saltou de 3, em 2018, para 16 em 2019, de acordo com a pesquisa. 
 
Na prática 
Para aquelas empresas que não podem investir muito dinheiro em softwares de 
segurança ou não contam com um suporte de TI, existem algumas formas 
básicas e baratas para proteger os dados dos clientes. Entre elas, a criptografia, 
caracterizada por um conjunto de técnicas que protegem informações. Por meio 
dessa solução, apenas pessoas autorizadas conseguem decifrar os dados 
utilizando códigos de acesso restrito, sem riscos de extravios ou cópias 
indevidas. 
 
Política de proteção e segurança de Dados 
Produção de um documento com regras práticas e diretrizes sobre segurança da 
informação. As políticas atualmente devem cumprir as exigências da nova 
Resolução 4658 em caso de processamento e armazenamento de dados e de 
computação em nuvem. Essa espécie de manual deve conter as ações mais 
relevantes para assegurar as informações utilizadas nas organizações, como 
quem deve ter acesso aos documentos, normas internas de regulação de uso de 
dispositivos móveis nas dependências da empresa, contrato de 
confidencialidade, como acessar os dados dos clientes, quem está autorizado e 
qual a hierarquia, como utilizar redes sociais, entre diversas outras ações que 
organizam o acesso aos dados. 
 
Backups 
Cópias de segurança regulares evitam a perda de dados dos clientes. Com a 
ascensão dos chamados ransomwares é interessante além dos backups em 
nuvem ou em storage, ter também os chamados backups removíveis quando 
possível, ou seja, backups que podem ser removidos e desligados de qualquer 
que seja a rede. Podemos citar como exemplo os backups em fitas protegidas 
por chave criptográfica, onde uma fita é imobilizada num cofre, contendo pelo 
menos os dados do dia anterior se os outros backups e réplicas na nuvem 
falharem em defender-se de um destrutivo ransomware. 
 
Controle de acesso 
O acesso aos dados não deve ser atribuído a qualquer profissional. A 
responsabilidade precisa estar centrada em um administrador, de preferência 
com cargos de gerência e confiança da empresa, além disso os acessos quando 
remotos nunca devem ser feitos via NAT direta como tem sido propagado, mas 
preferencialmente com VPNs do tipo cliente-servidor que tenham rígidos 
controles de acessos bem como a identificação do usuário único na VPN com 
restritos acessos aos serviços necessários. Páginas administrativas da Web 
devem também funcionar com restrição de IP ou VPN. Pela nova LGPD, os 
 
responsáveis precisam ter medidas de segurança e técnicas administrativas 
aptas a proteger os dados pessoais de seus clientes. 
 
Fonte https://inforchannel.com.br/2022/06/20/lgpd-como-as-pequenas-e-medias-
empresas-podem-evitar-vazamento-de-dados-dos-clientes/. Acesso em: 21 jun. 
2022.