A privacidade de dados se tornou uma demanda mundial. Em um contexto cada vez mais conectado, onde as interações em redes sociais passaram a ter um peso relevante na forma com a qual as pessoas consomem produtos, serviços e informações, a necessidade do tema passou a ser considerada uma estratégia de negócio.
Para atender essas demandas, a tecnologia e a área de cibersegurança passam a ter um destaque importante na sobrevivência do negócio.
A própria Lei Geral de Proteção de Dados (LGPD), define em seu Art.6º quais são os princípios a serem observados nas atividades de tratamento de dados pessoais. Entre eles, o inciso VII traz a definição de segurança como sendo a “utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”; e de prevenção como “adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais”.
Para atingir esses objetivos, é importante entender como a tecnologia, técnicas e a cibersegurança podem ser aliados no momento da adequação à LGPD e na manutenção da privacidade de dados.
Leia também:
A digitalização e o risco de ataques cibernéticos
Metaverso: a grande tendência dos negócios para 2022
Como a tecnologia pode impactar positivamente suas vendas?
Passo 1 da privacidade de dados: mapeie seus dados para proteger
O primeiro passo para proteger é entender o que deve ser protegido. Por isso o processo de data mapping é importante também para a segurança além do Compliance.
Diferentes dados demandam diferentes atenções. Os considerados dados sensíveis por exemplo, deverão ter uma forma de tratamento, enquanto dados não sensíveis poderão demandar menos recurso e energia, mas não dispensam medidas protetivas.
Para essa etapa, encontra-se no mercado diversas soluções tanto gratuitas, como o Talend Open Studio ou Pentaho, e outras pagas, entre elas a solução IBM InfoSphere e a Iformatica PowerCenter.
Passo 2: proteja o acesso
A proteção do acesso às aplicações web e e-commerces é um fator importante e exige múltiplas camadas. Para isso, uma boa alternativa é o uso de Web Application Firewall (WAF), uma alternativa externa que filtra as requisições e impede acessos indevidos ou tentativas de ataques de negação de serviço, garantindo a privacidade de dados.
Uma ótima alternativa é o BruteSec, WAF da HackerSec de fácil configuração e usabilidade. Além de ser um dos melhores do mercado, oferece planos de proteção gratuitos.
Passo 3: pseudonimização de dados
A pseudonimização de dados é definida pela LGPD como “o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro”.
Apesar de não ser uma exigência por parte da lei, mas apenas uma recomendação de privacidade de dados para órgãos de pesquisas, ela traz algumas vantagens importantes na sua implementação.
Em casos de um incidente de dados onde certas informações possam ser acessadas e comprometidas, os impactos aos titulares e riscos de sanções são severamente reduzidos. Nem sempre é uma opção viável para algumas empresas, por se tratar de uma técnica de custos elevados, porém o retorno que proporciona à privacidade de dados, por ser uma camada extra de proteção, pode fazer seu uso valer a pena.
Passo 4: Tenha seu time de Hackers
Uma das melhores formas de se proteger é identificar e tratar as vulnerabilidades antes que os cibercriminosos façam isso. Afinal, você já deve ter ouvido a frase “a melhor defesa é o ataque”.
Contar com pentesters no time de TI é a forte tendência do mercado da privacidade de dados, por tornar as correções mais ágeis, uma vez que permite uma comunicação rápida entre o time de redteam e o de desenvolvimento. Para alcançar isso, a melhor opção é profissionalizar o time de TI em cibersegurança. Isso se dá por conta da escassez de profissionais qualificados no mercado (o que torna uma contratação cara mesmo que em modelo freelancer).
A plataforma de educação HackerSec, por exemplo, é a melhor alternativa no mercado, garantindo uma preparação completa que simulam experiências do dia a dia de um profissional de cibersegurança, a um custo de investimento acessível e vantajoso para as empresas.
Passo 5: Tenha um bom plano de recuperação de desastres
Segurança 100% não existe. A própria LGPD não tem essa expectativa, mas incentiva que todas as medidas disponíveis, acessíveis e possíveis sejam adotadas em prol da proteção dos dados.
Por isso um plano em caso de incidentes deve ser bem estruturado. Basicamente ele aponta o que fazer, como fazer e quem irá fazer em uma ocorrência. Esse plano compõe as exigências para que uma empresa seja considerada adequada à lei e às boas práticas em cibersegurança e privacidade de dados.
Etapas como avaliação do impacto para os titulares, impacto para o negócio, medidas de restauração total ou parcial e medidas para que novos incidentes não ocorram são algumas das considerações importantes a se fazer, com a finalidade de aumentar a privacidade de dados.
Este texto foi desenvolvido por João Paulo Machado, manager da HackerSec