LGPD

LGPD: soluções de SI para sua empresa estar em conformidade

A LGPD, Lei Geral de Proteção de Dados, requer uma abordagem abrangente para segurança da informação, conformidade, governança e risco. Embora as ferramentas de segurança sejam apenas uma peça do quebra-cabeça da conformidade com a nova regulação, elas são um aspecto importante na proteção da privacidade dos dados do consumidor.

Sem tempo para ler? Clique no play abaixo para ouvir este conteúdo!

Confira abaixo oito ferramentas de segurança essenciais para manter a conformidade com a LGPD:

1. Descoberta e classificação de dados

A LGPD abrange tudo sobre privacidade e proteção de dados. Mas, para proteger a privacidade dos titulares de dados da UE, você precisa saber quais tipos de dados você mantém na organização.

Assim, uma ferramenta de descoberta ou mapeamento de dados o ajudará a encontrar as informações que você possui e a classificá-las por risco.

Você pode ter dados que são altamente sensíveis e podem ser de alto risco se forem vazados ou roubados.

Os dados pessoais confidenciais podem incluir:

  • Campos financeiros (salário, saldo);
  • Números de cartão de crédito;
  • Números de CPF / ID;
  • Datas de nascimento;
  • Raça, gênero e idade;
  • Telefones;
  • Endereço;
  • Nomes.

Além disso, ​você pode ter muitos dados que não contêm dados pessoais.Da mesma forma, dados não sensíveis podem ser usados ​​como alavancagem por hackers para obter acesso aos dados confidenciais.

Assim, sob a LGPD é essencial ter uma ferramenta de descoberta ou mapeamento de dados para classificar seus dados em alto, médio e baixo risco.

2. Criptografia ou mascaramento de dados

A criptografia codifica todos os dados para que sejam acessados ​​apenas por um usuário autorizado, que conhece a chave criptográfica criada especificamente para acesso.

Dessa forma, ao armazenar dados confidenciais em um banco de dados, como detalhes de cartão de crédito ou dados pessoais, muitas organizações estão optando pela criptografia.

Os dados podem ser criptografados quando em trânsito ou em uso. Por exemplo, os dados de pagamento processados ​​por comerciantes on-line costumam ser criptografados em trânsito usando o Secure Socket Layers (SSL) para proteger as informações pessoais de um comprador.

A criptografia torna muito mais difícil para os hackers fazerem qualquer conexão entre dados e seu assunto. Além disso, se você usar criptografia para proteger os dados e encontrar uma violação de dados. Ou seja, as autoridades reguladoras podem não ver a violação como uma falha completa de conformidade com a LGPD.

3. Gerenciamento de incidentes e eventos de segurança (SIEM)

Nos termos da LGPD, controladores e processadores de dados devem manter um registro de todas as atividades de processamento. Dessa forma, uma ferramenta SIEM pode ajudar a atender a esse requisito coletando dados e registrando as atividades. Assim, a ferramenta SIEM agrega dados de log de sistemas, redes e aplicativos e permite que uma organização os correlacione com atividades maliciosas.

Muitas ferramentas SIEM podem ser alinhadas aos requisitos da LGPD e às suas políticas de segurança. Ou seja, um painel pode ser criado para analistas de segurança revisarem e monitorarem a atividade.

Além disso, uma equipe de segurança também usa os logs do SIEM para identificar padrões, detectar comportamentos maliciosos e criar alertas acionáveis ​​sobre incidentes de segurança para sua organização.

4. Gerenciamento de vulnerabilidades e conformidade na LGPD

Segundo relatos recentes, 43% das pequenas organizações da América Latina sofreram uma violação de dados em 2019. Assim, com as iminentes penalidades da LGPD por violações de dados, fica claro que o gerenciamento de vulnerabilidades deve ser uma parte essencial de suas operações comerciais.

As ferramentas de gerenciamento e análise de vulnerabilidades analisam sua rede em busca de grandes vulnerabilidades e criam um plano de ação e um roteiro para corrigir falhas na rede, aplicativos e dados.

Essas ferramentas de segurança também ajudam a alinhar suas políticas de segurança da informação com regulamentos conhecidos do setor, como PCI-DSS. Elas também ajudam a saber que tipos de vulnerabilidades estão impedindo que você atenda a elas.

5. Segurança de endpoint de última geração

Os endpoints, como laptops, desktops e estações de trabalho, representam a maior porcentagem de infecções por malware e ransomware. Os funcionários costumam ser induzidos a abrir anexos maliciosos de esquemas de phishing. Consequentemente, abrindo as portas para que os hackers se infiltrem no seu ambiente.

As EPP (Endpoint Protection Platforms) vão um passo além das soluções antivírus tradicionais com aprendizado de máquina avançado para evitar malware, ransomware e até explorações e ataques de dia zero.

A EPP também pode aprender o comportamento dos pontos de extremidade da sua organização.  E ainda identificar qualquer comportamento malicioso sem consultar o banco de dados de assinaturas de antivírus.

6. Prevenção de perda de dados

A perda de dados pode ocorrer de várias maneiras para as organizações. Os dados podem ser filtrados por hackers, mas também por funcionários atuais e antigos que roubam dados.

As ferramentas de prevenção contra perda de dados (DLP) ajudam a proteger sua organização contra dados confidenciais roubados. Como a criptografia, as ferramentas DLP protegem seus dados confidenciais quando estão em trânsito, em uso e em repouso.

O mascaramento de dados é outra ferramenta importante a ser considerada na LGPS. Ele mascara dados confidenciais de pessoas que têm acesso autorizado.Ou seja, fornecendo ao usuário dados fictícios, mas realistas. Os usuários podem concluir um trabalho crítico, mas os dados confidenciais são cobertos com outras informações.

7. Automação e orquestração de segurança

A falta de recursos de segurança e uma lacuna de talentos em segurança cibernética aumentam a necessidade de automação e orquestração de segurança. As duas ferramentas de segurança permitem que sua organização crie eficiências. Dessa forma, aproveitando modelos e práticas recomendadas. Em suma, esses modelos foram projetados para combinar suas políticas de segurança com a conformidade com a LGPD.

Por exemplo, se você tiver funcionários manipulando dados pessoais de titulares de dados, poderá aplicar uma regra de automação de segurança. Do mesmo modo, para verificar se as políticas de segurança nos dispositivos de trabalho dos funcionários estão configuradas corretamente.

Da mesma forma, talvez você tenha um banco de dados com dados pessoais de titulares de dados e pode executar uma regra de automação que verifique as definições de configuração do banco de dados.

Esses são apenas alguns dos vários fluxos de trabalho de automação que podem otimizar sua conformidade com a LGPD.

8. Resposta a incidentes e gerenciamento de casos

As organizações implementaram alguma forma de uma estrutura de segurança cibernética que inclui as funções de ‘proteger, detectar, responder e recuperar’. As funções de resposta e recuperação são essenciais para a conformidade com a LGPD devido aos requisitos de notificação de violação. Definitivamente, as organizações devem relatar dados violação que afeta negativamente o titular dos dados em 72 horas.

Logo, torna-se extremamente importante para qualquer organização ter um plano de resposta a incidentes bem documentado e atualizado e uma ferramenta de gerenciamento de caso.

Em suma, a resposta aos incidentes e o gerenciamento de casos ajudam a registrar continuamente qualquer atividade mal-intencionada. Ou seja, que ocorre na sua rede e a criar uma visualização dos ataques cibernéticos do início ao fim.

Assim, quando você precisar denunciar uma violação às autoridades responsáveis, é melhor que você tenha um plano sistemático. Pois, ele poderá explicar exatamente o que aconteceu e como será abordado no futuro.

O desafio: por que contar com uma consultoria?

A data da promulgação da LGPD está chegando, em agosto de 2020. Você poderia tentar adquirir todas essas soluções para ajudar a atender à conformidade com a nova lei agora, mas ainda assim precisaria integrar sua equipe e processos para efetivamente usar essas ferramentas de segurança. Isso pode levar tempo e ser uma barreira significativa para atender adequadamente a todos os requisitos da LGPD.

Um provedor de serviços de segurança gerenciado, que ofereça consultoria sobre as soluções de segurança para sua empresa estar em conformidade pode ajudá-lo a atender rápida e efetivamente aos requisitos da LGPD. Isso é essencial para evitar as altas multas e impactos à imagem da empresa que uma violação à lei pode causar.

As organizações devem considerar um provedor de segurança que ofereça a experiência de trabalhar com essas ferramentas diariamente em uma variedade de verticais e cenários de clientes.

Por isso, entre em contato com a AllEasy e converse com um dos nossos consultores agora mesmo! Veja como podemos ajudá-lo a garantir a conformidade com os novos requisitos e evitar multas.

Proteção à borda de acesso e WAN: nova solução da Fortinet®

Agora está confirmado: A Fortinet® (NASDAQ: FTNT), que é uma das empresas líderes globais em soluções de segurança cibernética, anunciou o lançamento da solução Secure SD-Branch. Ou seja, esta solução é a mais abrangente do setor para proteção à borda de acesso e WAN. E ainda para redes orientadas por segurança para distribuição de empreendimentos.

Assim, a solução Secure SD-Branch da Fortinet®  amplia o Fortinet Security Fabric. Além disso, os benefícios do SD-WAN para o acesso à rede. Dessa forma, convergindo WAN e segurança para uma plataforma integrada. Essa convergência aumenta a segurança e a visibilidade, reduzindo a complexidade, melhorando o desempenho e a agilidade e reduzindo os custos gerais de TI nas bordas da rede.

As empresas usam cada dia mais cloud computing, computação remota e local e aplicações SaaS criando bordas várias bordas de acesso além da borda  WAN. Consequentemente, essa multiplicidade de bordas deve ser protegida. Logo, isso exige que as organizações se esforcem para adotar soluções de proteção à borda de acesso e WAN adequadas e confiáveis para proteger as suas filiais.

Em suma, realizar a gestão destas bordas é algo complexo porque pode incluir produtos e dispositivos sobrepostos. Além disso, é preciso ter atenção! Pois, quantidade de dispositivos conectados à rede de filiais também oferece oportunidades para criminosos cibernéticos que desejam acessar ao dados críticos e sigilosos da empresa.

Dessa forma, a tecnologia continua transformando velozmente a forma como as empresas negociam. À princípio, se torna fundamental que as partes da rede sejam protegidas para não comprometer as oportunidades de negócios digitais.

Para que as operações se desenvolvam e atinjam ao potencial máximo de produtividade, é necessário acesso seguro e em tempo real aos dados e recursos. Ou seja, não importando qual a sua localização.

Um pouco mais sobre proteção à borda de acesso e WAN

A solução Secure SD-Branch da Fortinet® é a primeira solução de proteção à borda de acesso e WAN do setor. Ela permite às empresas unificarem segurança e acesso à rede e estenderem o Fortinet Security Fabric para as filiais.

É composta pelos respectivos produtos da Fortinet®: FortiGate Next-Generation Firewall, FortiNAC Network Access Control, FortiSwitch e FortiAP Access Points. Ao mesmo tempo, oferece proteção principalmente para duas áreas:

  • Borda da rede: a segurança do firewall do FortiGate foi ampliada na camada de acesso com o FortiSwitch e FortiAP. Ele  oferece consolidação por meio da junção de segurança e acesso à rede. Além disso, é uma arquitetura exclusiva ideal para implementações do Secure SD-Branch.
  • Borda de dispositivos: o controlador de acesso à rede FortiNAC possibilita a descoberta, classificação e segurança automáticas de dispositivos IoT. Ou seja, assim que entram na rede.

Secure SD-Branch: combinação de tecnologias

A combinação de tecnologias tornou possível criar a  Secure SD-Branch. Ela é a primeira solução de proteção à borda de acesso e WAN do setor. Além disso, é capaz de otimizar a integração das plataformas LAN e WAN.  E ainda fornecer diversos benefícios para as empresas:

  • Segurança integrada: o FortiGate estende os serviços do Next Generation Firewall (NGF) para a camada de acesso à rede, integrando o gerenciamento de switches e wireless. O controle de acesso à rede (NAC) com o FortiGate como sensor aumenta a descoberta e a visibilidade, além de fornecer detecção de anomalias na segurança de dispositivos nas filiais.
  • Gerenciamento simplificado: implementação zero-touch e gestão integrada usando um único painel, que simplifica as instalações nas filiais. A arquitetura é flexível e atende aos diversos tamanhos e crescimento das filiais.
  • Redução de TCO: não há pagamento pelo licenciamento nem por sensores de tráfego de rede. Outro ponto relevante é que as operações de gestão simplificadas requerem menos interfaces para operar e gerenciar diariamente com menor tempo de implementação.

Conclusão

A nova solução a Fortinet® permite que os seus clientes gerenciem suas filiais com mais facilidade e segurança. E ainda auxilia na expansão do seu alcance além do SD-WAN, com o objetivo de proteger também a camada de acesso.

É uma tecnologia solução integrada e gerenciada centralmente com segurança, com fio, sem fio e SD-WAN em uma única plataforma. O acesso seguro da Fortinet é integrado ao nosso código FortiOS, ou seja, é diretamente integrado aos serviços de segurança oferecidos pelo FortiGate.

A Fortinet® é a única fabricante que fornece serviços de segurança líderes do setor vinculados a SD-WAN, LAN, WLAN e NAC. Assim, permitindo consolidar serviços de filiais em uma plataforma fácil de gerenciar, economizando tempo e reduzindo custos.

O que você acha das funcionalidades de proteção à borda de acesso e WAN desta nova solução? Se quiser conhecer mais sobre esta solução e entender como pode ser usada na sua empresa, entre em contato com os consultores e especialistas da AllEasy.

lgpd_pequenas_empresas

LGPD para pequenas empresas: como elas serão impactadas?

O Brasil tem nas pequenas e médias empresas a espinha dorsal da sua economia. Ou seja, atualmente, dos 20 milhões de empreendimentos registrados no país 13,5 milhões são PMEs.  Por isso, não há dúvida de que as pequenas empresas são essenciais para o desenvolvimento do Brasil. No entanto, apesar de sua relevância, pode-se argumentar que as empresas menores foram deixadas para se defender na corrida pelo cumprimento da LGPD para pequenas empresas.

Comparadas às grandes corporações, MPEs precisam se esforçar muito mais para seguir as regras, pois seus orçamentos e recursos simplesmente não estão à altura.

Consequentemente, isso deixa muitas empresas enfrentando um ultimato: elas cumprem e baseiam toda a sua operação na conformidade? Ou se colocam em risco de tomar uma alta multa? Não é uma ótima posição para se estar, não é mesmo? Contudo, há uma luz no fim do túnel para as pequenas e médias empresas.

Possui uma PME? Continue lendo e veja como a LGPD para pequenas empresas impactará seu negócio e o que você pode fazer para entrar em conformidade sem gastar rios de dinheiro!

Quais os objetivos da LGPD para pequenas empresas?

Em primeiro lugar, um pouco de contexto. A Lei Geral de Proteção de Dados padroniza as leis de proteção de dados em toda o Brasil e tenta alinhá-las com a tecnologia atual. Mais importante, ela visa:

  • Proteger a privacidade das pessoas;
  • Dar a elas mais controle sobre seus dados pessoais;
  • Impedir as empresas de coletar dados pessoais sem permissão ou outro motivo legal;
  • Punir empresas que abusam de dados pessoais.

Se você possui um negócio, bem como qualquer empresa de qualquer tamanho, a LGPD significa que você tem um novo conjunto de deveres legais para cumprir.

Para iniciantes, a lei concede às pessoas o direito de solicitar às empresas que:

  • Confirmem quais dados pessoais elas mantêm;
  • Explique onde esses dados estão sendo armazenados e para quais finalidades;
  • Forneça gratuitamente uma cópia eletrônica dos dados;
  • Pare de compartilhar os dados, verifique se terceiros param de usá-los e exclua os dados. Isso é chamado de direito a ser esquecido.

Mais importante, a lei cria ‘privacidade por design’. Isso significa que:

As empresas precisam coletar a menor quantidade de dados pessoais necessária para sua finalidade. Tem um formulário de contato em seu site? Se o nome e o endereço de e-mail de uma pessoa forem suficientes para contatá-la, seu formulário não deverá coletar informações sobre idade, tipo de corpo ou sexo.

A menos que você tenha outras razões legais para processar dados, precisará do consentimento expresso e específico da pessoa. Você não pode adicionar uma pessoa à sua lista de endereços apenas porque ela lhe deu o cartão de visita. Eles precisam concordar especificamente em estar na lista de discussão.

Em quais empresas a LGPD se aplica?

A LGPD se aplica sempre que uma empresa coleta ou rastreia os dados pessoais de um indivíduo brasileiro.

A lei define dados pessoais como “qualquer informação relacionada a uma pessoa física identificada ou identificável”. Em outras palavras, dados são dados pessoais. E, portanto, protegidos pelo LGPD, se puderem ser usados ​​para revelar a identidade de um indivíduo. Isso inclui:

  • Informações pessoais como nome, idade, data de nascimento, país de nascimento e país de residência;
  • Fotos ou vídeos;
  • Documentos e formulários;
  • Um endereço IP ou configurações específicas do site.

A falta de compliance com a LGPD pode resultar em penalidades pesadas. Sua empresa pode ser multada em mais de 2% do seu faturamento anual ou em R$ 50 milhões, se você violar a lei.

As pequenas e médias empresas estão isentas da LGPD?

Não, elas não estão. Logo, a LGPD se aplica sempre que uma empresa coleta dados pessoais de um cidadão brasileiro. Isso vale tanto para microempresas com três funcionários quanto para as megas corporações com escritórios em vários continentes.

Dessa forma, dito isso, você precisa manter um registro escrito de suas atividades de processamento de dados se:

  • Suas atividades de processamento de dados podem afetar os direitos e liberdades dos indivíduos;
  • Você processa os chamados dados sensíveis, que incluem raça ou etnia, crenças políticas, religiosas ou filosóficas, filiação sindical, dados sobre a saúde ou a sexualidade da pessoa;
  • Você processa dados pessoais regularmente.

Como manter minha PME em compliance?

Colocar sua PME no caminho da conformidade com a LGPD para pequenas empresas não é tão difícil quanto você imagina. Aqui está uma lista de verificação de conformidade com a nova lei para começar.

1. Quais dados pessoais você coleta?

Você deve saber quais informações pessoais você coleta e se alguma delas é sensível. Você também deve se perguntar:

  • De onde vêm as informações?
  • Por que você está coletando elas?
  • O que você está fazendo com isso?

Sua empresa deve ser capaz de responder a essas perguntadas caso seja solicitado pelo titular dos dados ou pelo órgão regulador.

2. Você tem consentimento?

A menos que você tenha motivos legais para usar dados pessoais, os indivíduos devem dar seu consentimento. Ele deve ser:

  • Dado livremente;
  • Específico;
  • Informado;
  • Não ambíguo.

Você deve manter um registro por escrito do consentimento. Também, é preciso fazer com que a retirada do consentimento seja rápida e fácil.

Um software de backup em Cloud compatível com a LGPD para pequenas empresas pode ajudar aqui. Em particular, pode:

  • Manter um registro seguro dos nomes das pessoas e dos dados pessoais que você guarda sobre elas;
  • Registrar o consentimento delas, especificando qual consentimento foi dado para as informações ​​(por exemplo, para receber seu boletim mensal);
  • Resolver rapidamente os desafios da proteção de dados que a LGPD traz e reduzir a sobrecarga de gerenciamento com um único console unificado.

3. Os dados estão seguros?

Sua empresa é responsável pelos dados pessoais que ela coleta. E você corre o risco de ser multado se esses dados caírem em mãos erradas. A falta de cultura de segurança dos funcionários nas PMEs, somada à ausência das corretas soluções de proteção, fazem da pequena empresa um alvo perfeito para os cibercriminosos. Assim, para garantir conformidade, é preciso:

  • Usar software de criptografia ao armazenar ou transmitir dados pessoais online;
  • Proteger sua rede. Os funcionários descuidados são a principal causa de violações de dados. Portanto, uma política de TI sólida é essencial. Você também deve investir em software de segurança, incluindo um firewall;
  • Criar avisos de política de privacidade e cookies compatíveis com a LGPD;
  • Usar um sistema DLP — Data Loss Prevention — confiável;
  • Proteger seus e-mails evitando ataques de phishing/ransomwares;
  • Verifique seus fornecedores quanto à conformidade com a LGPD.

4. E se houver uma violação grave?

Você deve relatar violações graves ao regulador dentro de 72 horas ou corre o risco de ser multado. Assim, verifique se você possui procedimentos de relatório em vigor. Além disso, o mais importante é treinar os seus funcionários para:

  • Estar atentos a possíveis violações;
  • Entender o que é uma violação grave;
  • Reconhecer bandeiras vermelhas.

Claramente, a LGPD para pequenas empresas é mais do que um conjunto de regras que você deve seguir para não ser multado. Ou seja, Ninguém gosta de ter suas informações privadas tiradas sem o seu consentimento. Ou mantidas em algum lugar onde criminosos poderiam pôr as mãos.

Contudo, manter a conformidade com a nova regulação pode ser difícil, especialmente para negócios que não possuem um foco em TI. Nesse caso, contar com uma empresa especialista que possa orientar a adequação à lei é um grande diferencial. Isso ajuda a reduzir os riscos de penalidades que podem ser causadas pela não conformidade com os requisitos da LGPD.

Gostou do nosso artigo sobre os impactos da LGPD para pequenas empresas? Quer continuar aprendendo? Então, não deixe de baixar gratuitamente o nosso ebook sobre os 10 passos para proteger os seus e-mails!

seguranca_email