Vazamento de dados: uma realidade brasileira! Você sabe como prevenir e mitigar este risco?
Prof. Dr. Antonio Celso Ribeiro Brasiliano,
CEGRC, CIEAC CIEIE, CPSI, CIGR, CRMA, CES, DEA, DSE, MBS
Presidente da Brasiliano INTERISK
02/08/2021
Julho | 2021
Em uma pesquisa feita pelo Procon-SP foi constatado que maioria desconhece a legislação de proteção de dados. Pouco mais que sete mil pessoas responderam ao levantamento, mas somente 35% declararam conhecer a Lei Geral de Proteção de Dados – Lei federal nº 13.709, criada para organizar e disciplinar as relações entre os titulares dos dados e aqueles que os coletam e fazem uso destes, garantindo regras claras e segurança.
Esta é uma grande vulnerabilidade, que mostra a falta de sensibilização das pessoas em relação ao tratamento de segurança de seus dados pessoais e pessoais sensíveis.
Na pesquisa foi perguntado se os consumidores conheciam a Lei Geral de Proteção de Dados - LGPD
Levando em consideração a quantidade total de consumidores que responderam ao questionário, somente 35% disseram ter conhecimento da LGPD, ao contrário dos 65% que disseram não conhecer. Aqueles que disseram conhecer, foi pedido que apontassem alternativas com afirmações sobre a legislação, sendo que apenas uma com informações totalmente corretas sendo ela: “LGPD é uma lei que protege os direitos fundamentais de liberdade, privacidade e o livre desenvolvimento da personalidade da pessoa natural”. No qual apenas 20% optaram por essa alternativa.
As outras opções eram: 1ª “LGPD é uma lei que protege os dados pessoais coletados dentro e fora do território nacional”, alternativa escolhida foi de 58%; 2º “É direito do titular ter acesso às informações sobre o tratamento dos próprios dados, que deverão ser disponibilizadas de forma clara. Contempla só o tratamento de dados que estão fora da rede (off-line)”, questão apontada por 11% e 3ª “LGPD é uma Lei que cuida exclusivamente da nossa segurança na internet”, opção assinalada por 10%.
A Lei Geral de Proteção de Dados é uma legislação que protege os dados pessoais coletados em território nacional e que regulamenta o tratamento de dados coletado tanto online quanto off-line.
Os consumidores também foram questionados se já tiveram conhecimento de que algum dado seu foi vazado, compartilhado indevidamente ou mesmo roubado. A grande maioria, equivalente a 73% não teve conhecimento de vazamento de seus dados, mas um percentual considerável, 30% tiveram.
Dos 32% tiveram conhecimento ao ser vítima de um golpe; 17% souberam ao investigar após ver notícia sobre vazamento de dados; 8% ao ter o nome sujo indevidamente; 6% tiveram conhecimento por amigos ou parentes; 2% ao ser indevidamente processado civil ou criminalmente; e 35% souberam de outra forma.
A grande maioria de dados vazados foi de documentos pessoais como RG, CPF, CNH, carteira de trabalho entre outros, em segundo lugar vieram dados cadastrais de lojas virtuais e em terceiro lugar dados bancários por exemplo: nº conta, nº cartão, senha etc.
O que isto significa? Há uma necessidade de troca de atitude, mindset, pois se não houver sensibilização sobre segurança de seus próprios dados, imaginem o que ocorre com dados das empresas. Portanto campanhas de conscientização são primordiais para diminuir a chance de os dados pessoais vazarem.
Na verdade, o Data Loss Prevention – DLP, termo em inglês, tornou-se assunto recorrente entre os executivos C-Level das empresas. Os incidentes relacionados com este tema inquietam profundamente e movimentam as áreas de Tecnologia da Informação, Cibernética e de Segurança Corporativa, sem falar em Recursos Humanos. As consequências com a perda de informações estratégicas e ou dados sensíveis, em função de requisitos legais, LGPD, impactam massivamente as empresas em termos financeiros, além da reputação em seu mercado.
Mesmo assim, diante deste cenário poucas empresas executam campanhas estruturadas de endomarketing. Grande maioria acredita que basta implantar um sistema, realizar uma palestra e com isso suas informações estão seguras.
Afinal o que você entende como Prevenção Contra Vazamento de Informações ou no linguajar da área Data Loss prevention – DLP?
Nós da Brasiliano INTERISK definimos a Prevenção contra Vazamento de Informações como sendo um conjunto importante de políticas, métodos e tecnologias utilizadas para tentar evitar que dados estratégicos ou sensíveis – quesitos legais – sejam compartilhados indevidamente, subtraídos da empresa ou enviados para ambientes inseguros ou manipulados por usuários não autorizados.
A empresa deve entender que para evitar o DLP vir a se concretizar tem que aceitar o fato de que as informações e dados estratégicos e dados pessoais e pessoais sensíveis podem ser conseguidos de forma voluntária ou involuntária. Isso mesmo. Se um funcionário de médio escalão possui uma informação estratégica e não sabe o valor desta para a empresa, grande possibilidade de vazar através de conversas informais com grupos de amigos, ou mesmo ser vítima de engenharia social e ou técnica de indução.
Para isso a empresa deve ter um Processo Estruturado Contra Vazamento de Informações, com metodologia e critérios parametrizados. A Brasiliano INTERISK possui um processo estruturado simples e prático, onde temos que seguir os seguintes passos:
PRIMEIRO PASSO
A empresa precisa identificar na sua cadeia de valor quais são os processos críticos que suportam o “core” do negócio. Esses processos devem merecer toda atenção do pessoal de segurança da informação, cibernética e segurança corporativa.
Pode-se utilizar como critério e parâmetro o BIA – Business Impact Analysis, onde medimos as consequências em termos de vazamento e sua falta nas tomadas de decisões e/ou em processos de negócio.
Abaixo, temos um exemplo no qual os processos localizados no quadrante vermelho são estratégicos e/ou sensíveis.
Fonte: Software INTERISK
SEGUNDO PASSO
Este segundo passo é o mais estratégico e importante, pois a empresa deve classificar as informações pelo seu conteúdo estratégico e também pelos requisitos legais. Ressalto que grande parte das empresas mundiais, cerca de mais de 85%, não praticam este segundo passo. A classificação das informações deve constar da Política de Segurança das Informações, onde está classificação irá demandar proteção diferenciada.
A classificação das informações não tem um critério definido, mas em termos de benchmarking pode-se classificá-las em quatro níveis:
1) Informações confidenciais – o mais alto nível;
2) Informações ou dados restritos – médio nível de confidencialidade;
3) Uso interno – o mais baixo nível de confidencialidade – público interno da empresa sabe da informação;
4) Informações e dados são públicos – todos podem ter a informação.
Informações classificadas, estas devem ser rotuladas e tratadas conforme sua política, podendo até integrar o IP da máquina, o e-mail do usuário para saber se ele pode mandar esta informação para fora da empresa. Aí o sistema de proteção de dados funciona. Percebem que se a empresa não classificar as informações, os sistemas de nada adiantarão.
Abaixo, um critério que utilizamos para identificar informações ou dados estratégicos.
Fonte: Software INTERISK
Estas informações, para melhor visualização, vão para uma Matriz de Relevância:
Há muitas outras vantagens do Software de Gestão de Riscos Corporativos.
Fonte: Software INTERISK
Com as informações estratégicas e sensíveis identificadas, podemos classificá-las, utilizando sua relevância versus sua confidencialidade, este cruzamento vai para outra, a Matriz de Classificação de Informações e Dados:
Fonte: Software INTERISK
É uma Matriz que de forma direta, ao cruzar os dois parâmetros, automaticamente já tenho o nível de tratamento desejado pela sua importância.
Temos que saber também neste passo, qual a característica das informações e dados, em relação a sua movimentação, ou seja, saber se elas estão:
- Em uso nas máquinas dos usuários;
- Em movimento na rede corporativa ou fora dela;
- Se estão armazenadas, como por exemplo em servidores.
A característica da movimentação irá direcionar a demanda da segurança necessária destas informações.
TERCEIRO PASSO
Com base nos processos críticos para o “core” da empresa, as informações e dados classificados quanto sua confidencialidade, aí é necessário identificar quais são os Sistemas de Tecnologia da Informação que sustentam os dois pilares. Uso também para selecionar o inventário de sistemas, o BIA – Business Impact Analysis.
Abaixo um exemplo de utilização do BIA para sistemas.
Fonte: Software INTERISK
Bem teoricamente, estou com minhas Joias da Coroa protegidas, certo? Errado!
Ainda falta o elo mais crítico deste sistema. Falta o Fator Humano!!
QUARTO PASSO
Este quarto passo significa identificar quais são as pessoas, e não o cargo, que manipulam ou tem acesso a estas informações. Temos que saber o nível de maturidade destas pessoas. Isso mesmo! Temos que fazer uma avaliação e identificar seus pontos fracos nos quesitos:
Engenharia Social; Técnicas de Indução; Phishing; Controle de senhas – de que forma controla e nível de complexidade; Nível de Segurança de seu computador ou aparelho mobile: criptografado, utilização de senhas, entre outros; Nível de tratamento com Segurança de documentos físicos: leitura em locais públicos, deixa o documento em cima de mesas, poltronas, salas de reunião, etc; Segurança digital - Trabalha em locais públicos com computador e aparelhos mobile; Segurança de Redes: utiliza redes abertas públicas tais como hotéis, aeroportos.
Qual a importância de sabermos a Maturidade sobre Confidencialidade das Informações destas pessoas sensíveis e estratégicas para as empresas?
A importância é identificar estas fraquezas e tratá-las, para evitar que sejam alvos de possíveis agressores. Podemos montar uma régua, com base nos oito quesitos e termos um range de maturidade. Régua para sabermos o nível de maturidade, para classificar as pessoas e treiná-las nos quesitos considerados fracos. Abaixo um exemplo desta classificação:
Fonte: Software INTERISK
Vejam que temos que avaliar a pessoa e não o cargo, pois cada um possui características e atitudes diferentes. Por esta razão é primordial sabermos as pessoas na organização que manipulam as informações e dados sensíveis e estratégicos.
Com estes quatro passos estabelecidos, aí podemos identificar os riscos possíveis e a gestão dos ativas primordiais para a empresa. Vejam que as empresas ficam míopes em relação a estes quesitos. Se preocupam em colocar muita tecnologia e esquecem o processo estruturado de Data Loss Prevention – DLP.
O que as empresas devem entender é o que define uma Maturidade em Segurança da Informação e Cibernética é o foco nos objetivos e a interconectividade com a estratégia de negócios.
Caso não ocorra esta conexão as empresas estarão enxugando gelo, ao implantarem uma série de sistemas sem saberem suas reais fragilidades. Pergunta que não pode calar: por que os ataques cibernéticos estão em um nível exponencial, se as empresas investem milhões em sistemas? Será que estão sendo assertivas.
Nós da Brasiliano INTERISK elaboramos projetos de Data Loss Prevention - DLP no nosso sistema INTERISK, de forma centralizada, visando obter maior eficácia e controle.
Fonte: Software INTERISK
Um processo estruturado de DLP coloca a empresa em grande vantagem competitiva, neste mundo BANI!
O Software INTERISK te ajuda a enxergar com antecipação suas vulnerabilidades, evitando desta forma a materialização de Vazamento de Dados.
Para saber mais sobre esses processo e como as nossas ferramentas trabalham entre em contato com um de nossos especialistas.