DPO

DPO: Como a LGPD abre espaço para este novo profissional?

A LGPD trouxe mudanças radicais para a forma como as empresas pensam sobre a proteção de dados e, como resultado, algumas empresas precisarão nomear um diretor de proteção de dados (ou DPO) para garantir a conformidade as novas regras.

A partir de fevereiro de 2020, esse especialista será encarregado de administrar todo o fluxo de informações em qualquer empresa, desde sua coleta até seu tratamento. Ele também será a ponte entre a organização e a Autoridade Nacional de Dados, entidade a ser criada para regular o compliance à LGPD.

Mas então, qual é o papel de um oficial de proteção de dados, por que eles são tão importantes e quem é mais adequado para assumir essa nova posição? Vamos dar uma olhadinha nessas questões abaixo:

O que é um DPO?

Em primeiro lugar, um DPO tem a tarefa de ajudar uma empresa a entender como a LGPD se relaciona com os negócios da empresa e aconselhar o gerenciamento e os funcionários sobre as medidas apropriadas a serem tomadas para garantir a conformidade.

Embora o DPO também observe e avalie o risco como parte do processo de conformidade, ele ou ela não deve tomar nenhuma decisão pela empresa, mas sim atuar como consultor apenas para garantir que não haja conflito de interesses.

As principais tarefas do DPO no novo regime de proteção de dados são:

  • informar e aconselhar a administração da organização sobre suas obrigações no âmbito da LGPD;
  • monitorar a conformidade da organização com a leis de proteção de dados nacionais e internacionais;
  • fornecer orientação e aconselhamento sobre as avaliações de impacto na proteção de dados;
  • funcionar como o principal ponto de contato da organização para pessoas e instituições, incluindo as autoridades de proteção de dados.

Em outras palavras, a função deste profissional é concebida como o principal ponto de referência para evitar vazamento de dados dentro da organização.

Suas tarefas são aconselhar, informar e monitorar, e, enquanto ainda é a organização que tem a responsabilidade de cumprir com a LGPD, o DPO desempenha um papel fundamental para garantir a responsabilidade da organização, criando uma camada interna adicional de controle sobre práticas de processamento de dados.

Que tipo de empresas precisa contratar um DPO?

Existem dois critérios que determinam se uma organização precisa nomear um DPO:

  1. se as atividades essenciais da empresa exigem o monitoramento regular e sistemático de indivíduos em grande escala;
  2. e se a empresa está processando uma quantidade significativa de dados confidenciais.

Em ambos os casos, os dados, se usados ​​incorretamente ou vazados, podem prejudicar gravemente a privacidade das pessoas afetadas, daí a necessidade deste profissional, independentemente do tamanho da empresa.

Alguns setores, como o setor bancário ou de saúde, têm regras rígidas para assegurar a privacidade individual, de modo que esses setores terão menos impacto como resultado do emprego de um DPO.

As empresas que coletam muitos dados pessoais e usam esses dados para tentar ganhar dinheiro, como empresas de mídia social ou anunciantes, podem ver mudanças mais significativas na maneira como fazem negócios depois de contratar um DPO.

>> Veja mais: Conheça os principais desafios que a LGPD traz para empresas.

Como um DPO se encaixa na estrutura de uma empresa?

Ao contrário da maioria das outras funções dentro de uma empresa, o DPO deve operar de forma independente, porque sua principal responsabilidade é o indivíduo, e os direitos individuais frequentemente se chocam com os interesses e objetivos da empresa.

Seria quase impossível para um DPO equilibrar as necessidades desses dois grupos diferentes, e por isso não pode ter outras responsabilidades que afetem a privacidade individual, além das tarefas especificamente atribuídas a sob a LGPD, e só deve fornecer recomendações sobre as decisões que a gerência deve tomar.

Além disso, uma empresa não pode dispensar um DPO com base em suas recomendações. Desde que a ação recomendada pelo DPO seja parte de um esforço de boa-fé para proteger o indivíduo, a empresa também não pode responsabilizar o DPO por quaisquer penalidades ou efeitos negativos. No final, isso exige que as empresas levem a contratação de um DPO muito a sério.

Dito isto, este especialista não precisa necessariamente ser um papel em tempo integral ou mesmo um funcionário. Em particular, empresas menores podem decidir terceirizar essa função para um especialista externo em privacidade que atua como contratado na tentativa de encontrar uma maneira mais econômica de cumprir a LGPD.

Quem é mais bem posicionado para ser um DPO?

Os mais adequados para o papel devem ter amplo conhecimento das leis e práticas de proteção de dados, bem como um entendimento de como eles se encaixam no mercado em que a empresa opera.

Essa combinação de habilidades permite que um DPO forneça orientação, garanta a conformidade contínua e conduza avaliações de impacto sobre a privacidade que sejam relevantes e significativas — e não apenas um ambiente de conformidade.

Obviamente, aqueles em uma posição de oficial de privacidade existente dentro da empresa ou indústria são bons candidatos. Da mesma forma, aqueles que querem se tornar um DPO terão dificuldade em encontrar um programa que vá além da teoria do direito à privacidade.

Somente tendo uma firme compreensão dos desafios únicos associados a um campo em particular, um DPO poderá aconselhar e guiar com sucesso uma empresa através dos desafios que a conformidade com a LGPD e, mais importante, o respeito pela privacidade individual trazem.

Por isso, o ideal é contratar uma empresa de hunting de TI, que estará apta a escolher o candidato adequado para realizar a função de DPO na empresa. Entre em contato com a AllEasy e veja como podemos ajudá-lo a encontrar o DPO certo para seu negócio!

anti DDoS

Anti-DDoS: O que é e por que o seu negócio precisa disso?

A segurança online continua sendo uma preocupação para todas as organizações. Por isso, a adoção de Anti-DDoS tem crescido dia após dia. Os ataques cibernéticos chegam às manchetes periodicamente, geralmente quando atingem organizações de alto nível, como no recente ataque de ransomware WannaCry, que afetou gravemente o NHS.

Mas só porque nem sempre estão no noticiário não significa que não estejam acontecendo. Na verdade, empresas de todos os portes enfrentam ameaças diárias de uma grande variedade de malware e outros males, por isso a segurança de seus sistemas é algo que eles precisam levar a sério.

Você sabia que um dos tipos de ataques mais prejudiciais para as empresas lidar é o ataque de negação de serviço distribuído (DDoS)?

O que é ataque DDoS?

Conforme pudemos abordar no artigo ”Ataque DDoS: O que é?,  um ataque DDoS, ou ataque de negação de serviço, é uma tentativa de tornar indisponível um serviço online, uma rede, um servidor ou um aplicativo, sobrecarregando-o com o tráfego de várias fontes comprometidas e bloqueando o tráfego legítimo.

Ele é diferente de outros ataques de negação de serviço (DoS), pois usa um único dispositivo (mestre) conectado à Internet (uma conexão de rede) para gerenciar diversos outros incontáveis computadores (zumbis).

A maioria dos ataques dependem da atuação de botnets, que funcionam como um exército de robôs que podem ser controlados à distância por agentes maliciosos. Em outras palavras, por meio de um ataque DDoS, um “computador mestre” domina vários outros dispositivos fazendo-os acessar recursos determinados em servidores específicos, no mesmo momento.

Leia mais sobre como funcionam em nosso artigo “Ataque DDoS: como funciona e quais  os principais tipos?”

Como proteger a sua empresa de um ataque DDoS?

Embora esses ataques tenham sido simplificados na implantação – eles certamente evoluíram em complexidade.  Os métodos que os hackers usam para realizar ataques DDoS evoluíram de ataques tradicionais de alta largura de banda / volumétrico a ataques de camada de aplicativos mais furtivos, com uma combinação de ambos sendo usados ​​em alguns casos.

Ao trabalhar com ataques do tipo DDoS, os administradores precisam entender a profundidade do problema de DDoS.  Os ataques volumétricos também estão aumentando, com uma base maior de máquinas de malware ou hosts voluntários sendo usados ​​para iniciar esses ataques.

Por isso, elaborar uma estratégia assertiva de segurança integrada que proteja todos os níveis da infraestrutura e envolva as melhores práticas. No artigo “06 práticas para proteger a sua empresa de um ataque DDoS”  oferecemos sugestões de ações que devem ser tomadas para garantir e fortalecer a segurança da informação e TI do seu negócio.

Anti-DDoS:  a sua empresa precisa desta solução

Segundo uma pesquisa recente realizada pela Kaspersky, 25% das empresas não possui proteção Anti DDoS. Mesmo que a maioria entenda a importância da cibersegurança, quase um quarto não tem proteção nenhuma, e apenas 34% se consideram completamente protegidas.

Cerca de 20% das empresas com mais de 50 funcionários informaram ter sido vítimas de pelo menos um ataque de DDoS durante o período da pesquisa.

A proteção eficaz contra DDoS pode ser implementada de várias maneiras diferentes, embora na maioria das vezes envolva uma abordagem combinada combinando detecção de ataques, classificação de tráfego e várias técnicas de bloqueio.

Algumas tecnologias disponíveis incluem o uso de um “black hole” para redirecionar o tráfego suspeito para um servidor inexistente. Um sistema de prevenção de intrusão (IPS) também pode ser usado para detectar e bloquear ataques com base em seu conteúdo.

No entanto, os ataques mais recentes tendem a usar conteúdo legítimo para ocultar sua intenção maliciosa, portanto, esse tipo de proteção pode ser menos eficaz. As técnicas tradicionais de proteção, como firewalls, também podem desempenhar um papel na proteção Anti-DDoS

Onde os ataques estão concentrados em uma porta específica, uma regra de firewall pode ser uma maneira eficaz de combatê-los. Os recursos incorporados a alguns dos roteadores de última geração também podem resistir ao impacto de ataques DDoS que poderiam sobrecarregar o hardware convencional.

Então, o que exatamente você precisa procurar ao comprar proteção DDoS?

Primeiro, você precisa de um fornecedor no qual possa confiar. Procure uma empresa profissional e que tenha certificações e especialistas nos principais fornecedores de segurança. Isso lhe dará a tranquilidade de que os técnicos e consultores foram devidamente treinados e que a tecnologia mais recente está disponível para lidar com ataques.

Os ataques DDoS podem ocorrer a qualquer momento, portanto, conte com um serviço de monitoramento 24/7/365. Isto se torna essencial. Ele também precisa ser capaz de oferecer uma resposta rápida quando um ataque é detectado; quanto mais cedo você conseguir identificar e bloquear um ataque, menos dano ele causará ao seu negócio.

Contratar um Anti-DDoS como serviço também oferece vários benefícios para sua empresa. Isso significa que você tem acesso a uma gama completa de serviços, desde o monitoramento e detecção até a atenuação dos efeitos de qualquer ataque que possa ocorrer.

As habilidades de segurança cibernética estão em demanda, e as empresas menores podem não necessariamente ter condições de pagar uma equipe dedicada de especialistas internos para lidar com ameaças de DDoS e outros problemas de segurança.

Mas, ao comprar proteção de um fornecedor confiável, você garante que tem acesso à tecnologia e às habilidades mais recentes sem a dificuldade ou o custo de recrutamento ou treinamento enfrentados, caso tenha tentado lidar com todas as suas necessidades de segurança por conta própria.

Em resumo, a principal dica é que não espere um ataque DDoS impactar a continuidade dos negócios e a segurança das informações em sua empresa. Entre em contato com nossos especialistas para saber mais sobre como podemos ajudar você a prevenir ataques DDoS na sua empresa.

sd-wan

Segurança de SD-WAN: 04 estratégias para não errar

Você já refletiu por que a adoção do SD-WAN se tornou prioridade para muitas organizações? A resposta está no fato de que esta tecnologia é capaz de potencializar os benefícios da transformação digital para filiais.

Esta solução possibilita o acesso imediato a recursos distribuídos, que podem estar em data centers, sistemas multinuvens ou em outro local conectado à rede, sem sobrecarga e custos das conexões MPLS tradicionais ou requisitos engessados de implementação.

Leia mais!

Inteligência Artificial

Inteligência Artificial: heroína ou vilã da SI?

O tema Inteligência Artificial (AI) e os avanços constantes desta tecnologia fazem parte de importantes pautas de pesquisas e debates, que norteiam as estratégias de segurança da informação de grandes players do mercado.

O Gartner insere a Inteligência Artificial no topo da lista de mega tendências que irão fazer parte das estratégias das empresas para sobreviver e crescer na economia digital ao longo dos próximos cinco a dez anos. Além disso o Gartner prevê que esta tecnologia estará em quase todos os produtos de software até 2020.

Leia mais!

LGPD: os principais desafios para empresas

LGPD: conheça os principais desafios para as empresas

Embora a LGPD ( Lei Geral de Proteção de Dados ) seja uma realidade no Brasil desde 25 de maio de 2018, empresas de diferentes portes e segmentos ainda lutam para adequar suas atividades e garantirem a conformidade com a Lei.

O Senado aprovou, no dia 29 de maio de 2019, a Medida Provisória 869/2018 que recria a Autoridade Nacional de Proteção de Dados (ANPD), nos termos do Projeto de Lei de Conversão (PLV) 7/2019, aprovado pela Câmara de Deputados.

A Medida Provisória tem como objetivo oferecer maior proteção aos dados pessoais e determina exceções em que o poder público poderá compartilhar estes dados à iniciativa privada, desde que o fato seja previamente comunicado ao novo órgão.

Leia mais!

o que é um ataque BPC

O que é um ataque BPC?

Os ataques classificados como Business Process Compromise (BPC) alteram silenciosamente partes de processos de negócios específicos, ou máquinas que facilitam esses processos, a fim de gerar um lucro monetário significativo para os invasores.

O alto grau de discrição com que esses ataques são realizados geralmente significa que as empresas podem não identificar ou detectar facilmente as mudanças do comportamento esperado como normal, já que as funções comprometidas do processo continuam funcionando como esperado, mas produzem um resultado diferente do originalmente pretendido.

Leia mais!