LGPD

LGPD x GDPR: quais as semelhanças e diferenças?

A Lei 13.709, mais conhecida como Lei Geral de Proteção de Dados (LGPD) foi sancionada em agosto de 2018 e está prevista para entrar em vigor em agosto de 2020. Seu objetivo principal é regulamentar o tratamento de dados pessoais de todos os indivíduos ou pessoas físicas no Brasil.

Os principais pontos dessa lei refletem as disposições do General Data Protection Regulation (GDPR), livremente traduzido como “Regulamento Geral sobre Privacidade de Dados” que vigora em toda União Europeia (UE).

No entanto, a lei brasileira não é uma simples tradução do modelo europeu. Continue a leitura para descobrir quais são as principais semelhanças e diferenças!

Você tem a opção de ouvir este artigo também. Clique no play.

Leia mais!

LGPD

LGPD: soluções de SI para sua empresa estar em conformidade

A LGPD, Lei Geral de Proteção de Dados, requer uma abordagem abrangente para segurança da informação, conformidade, governança e risco. Embora as ferramentas de segurança sejam apenas uma peça do quebra-cabeça da conformidade com a nova regulação, elas são um aspecto importante na proteção da privacidade dos dados do consumidor.

Sem tempo para ler? Clique no play abaixo para ouvir este conteúdo!

Confira abaixo oito ferramentas de segurança essenciais para manter a conformidade com a LGPD:

1. Descoberta e classificação de dados

A LGPD abrange tudo sobre privacidade e proteção de dados. Mas, para proteger a privacidade dos titulares de dados da UE, você precisa saber quais tipos de dados você mantém na organização.

Assim, uma ferramenta de descoberta ou mapeamento de dados o ajudará a encontrar as informações que você possui e a classificá-las por risco.

Você pode ter dados que são altamente sensíveis e podem ser de alto risco se forem vazados ou roubados.

Os dados pessoais confidenciais podem incluir:

  • Campos financeiros (salário, saldo);
  • Números de cartão de crédito;
  • Números de CPF / ID;
  • Datas de nascimento;
  • Raça, gênero e idade;
  • Telefones;
  • Endereço;
  • Nomes.

Além disso, ​você pode ter muitos dados que não contêm dados pessoais.Da mesma forma, dados não sensíveis podem ser usados ​​como alavancagem por hackers para obter acesso aos dados confidenciais.

Assim, sob a LGPD é essencial ter uma ferramenta de descoberta ou mapeamento de dados para classificar seus dados em alto, médio e baixo risco.

2. Criptografia ou mascaramento de dados

A criptografia codifica todos os dados para que sejam acessados ​​apenas por um usuário autorizado, que conhece a chave criptográfica criada especificamente para acesso.

Dessa forma, ao armazenar dados confidenciais em um banco de dados, como detalhes de cartão de crédito ou dados pessoais, muitas organizações estão optando pela criptografia.

Os dados podem ser criptografados quando em trânsito ou em uso. Por exemplo, os dados de pagamento processados ​​por comerciantes on-line costumam ser criptografados em trânsito usando o Secure Socket Layers (SSL) para proteger as informações pessoais de um comprador.

A criptografia torna muito mais difícil para os hackers fazerem qualquer conexão entre dados e seu assunto. Além disso, se você usar criptografia para proteger os dados e encontrar uma violação de dados. Ou seja, as autoridades reguladoras podem não ver a violação como uma falha completa de conformidade com a LGPD.

3. Gerenciamento de incidentes e eventos de segurança (SIEM)

Nos termos da LGPD, controladores e processadores de dados devem manter um registro de todas as atividades de processamento. Dessa forma, uma ferramenta SIEM pode ajudar a atender a esse requisito coletando dados e registrando as atividades. Assim, a ferramenta SIEM agrega dados de log de sistemas, redes e aplicativos e permite que uma organização os correlacione com atividades maliciosas.

Muitas ferramentas SIEM podem ser alinhadas aos requisitos da LGPD e às suas políticas de segurança. Ou seja, um painel pode ser criado para analistas de segurança revisarem e monitorarem a atividade.

Além disso, uma equipe de segurança também usa os logs do SIEM para identificar padrões, detectar comportamentos maliciosos e criar alertas acionáveis ​​sobre incidentes de segurança para sua organização.

4. Gerenciamento de vulnerabilidades e conformidade na LGPD

Segundo relatos recentes, 43% das pequenas organizações da América Latina sofreram uma violação de dados em 2019. Assim, com as iminentes penalidades da LGPD por violações de dados, fica claro que o gerenciamento de vulnerabilidades deve ser uma parte essencial de suas operações comerciais.

As ferramentas de gerenciamento e análise de vulnerabilidades analisam sua rede em busca de grandes vulnerabilidades e criam um plano de ação e um roteiro para corrigir falhas na rede, aplicativos e dados.

Essas ferramentas de segurança também ajudam a alinhar suas políticas de segurança da informação com regulamentos conhecidos do setor, como PCI-DSS. Elas também ajudam a saber que tipos de vulnerabilidades estão impedindo que você atenda a elas.

5. Segurança de endpoint de última geração

Os endpoints, como laptops, desktops e estações de trabalho, representam a maior porcentagem de infecções por malware e ransomware. Os funcionários costumam ser induzidos a abrir anexos maliciosos de esquemas de phishing. Consequentemente, abrindo as portas para que os hackers se infiltrem no seu ambiente.

As EPP (Endpoint Protection Platforms) vão um passo além das soluções antivírus tradicionais com aprendizado de máquina avançado para evitar malware, ransomware e até explorações e ataques de dia zero.

A EPP também pode aprender o comportamento dos pontos de extremidade da sua organização.  E ainda identificar qualquer comportamento malicioso sem consultar o banco de dados de assinaturas de antivírus.

6. Prevenção de perda de dados

A perda de dados pode ocorrer de várias maneiras para as organizações. Os dados podem ser filtrados por hackers, mas também por funcionários atuais e antigos que roubam dados.

As ferramentas de prevenção contra perda de dados (DLP) ajudam a proteger sua organização contra dados confidenciais roubados. Como a criptografia, as ferramentas DLP protegem seus dados confidenciais quando estão em trânsito, em uso e em repouso.

O mascaramento de dados é outra ferramenta importante a ser considerada na LGPS. Ele mascara dados confidenciais de pessoas que têm acesso autorizado.Ou seja, fornecendo ao usuário dados fictícios, mas realistas. Os usuários podem concluir um trabalho crítico, mas os dados confidenciais são cobertos com outras informações.

7. Automação e orquestração de segurança

A falta de recursos de segurança e uma lacuna de talentos em segurança cibernética aumentam a necessidade de automação e orquestração de segurança. As duas ferramentas de segurança permitem que sua organização crie eficiências. Dessa forma, aproveitando modelos e práticas recomendadas. Em suma, esses modelos foram projetados para combinar suas políticas de segurança com a conformidade com a LGPD.

Por exemplo, se você tiver funcionários manipulando dados pessoais de titulares de dados, poderá aplicar uma regra de automação de segurança. Do mesmo modo, para verificar se as políticas de segurança nos dispositivos de trabalho dos funcionários estão configuradas corretamente.

Da mesma forma, talvez você tenha um banco de dados com dados pessoais de titulares de dados e pode executar uma regra de automação que verifique as definições de configuração do banco de dados.

Esses são apenas alguns dos vários fluxos de trabalho de automação que podem otimizar sua conformidade com a LGPD.

8. Resposta a incidentes e gerenciamento de casos

As organizações implementaram alguma forma de uma estrutura de segurança cibernética que inclui as funções de ‘proteger, detectar, responder e recuperar’. As funções de resposta e recuperação são essenciais para a conformidade com a LGPD devido aos requisitos de notificação de violação. Definitivamente, as organizações devem relatar dados violação que afeta negativamente o titular dos dados em 72 horas.

Logo, torna-se extremamente importante para qualquer organização ter um plano de resposta a incidentes bem documentado e atualizado e uma ferramenta de gerenciamento de caso.

Em suma, a resposta aos incidentes e o gerenciamento de casos ajudam a registrar continuamente qualquer atividade mal-intencionada. Ou seja, que ocorre na sua rede e a criar uma visualização dos ataques cibernéticos do início ao fim.

Assim, quando você precisar denunciar uma violação às autoridades responsáveis, é melhor que você tenha um plano sistemático. Pois, ele poderá explicar exatamente o que aconteceu e como será abordado no futuro.

O desafio: por que contar com uma consultoria?

A data da promulgação da LGPD está chegando, em agosto de 2020. Você poderia tentar adquirir todas essas soluções para ajudar a atender à conformidade com a nova lei agora, mas ainda assim precisaria integrar sua equipe e processos para efetivamente usar essas ferramentas de segurança. Isso pode levar tempo e ser uma barreira significativa para atender adequadamente a todos os requisitos da LGPD.

Um provedor de serviços de segurança gerenciado, que ofereça consultoria sobre as soluções de segurança para sua empresa estar em conformidade pode ajudá-lo a atender rápida e efetivamente aos requisitos da LGPD. Isso é essencial para evitar as altas multas e impactos à imagem da empresa que uma violação à lei pode causar.

As organizações devem considerar um provedor de segurança que ofereça a experiência de trabalhar com essas ferramentas diariamente em uma variedade de verticais e cenários de clientes.

Por isso, entre em contato com a AllEasy e converse com um dos nossos consultores agora mesmo! Veja como podemos ajudá-lo a garantir a conformidade com os novos requisitos e evitar multas.

lgpd_pequenas_empresas

LGPD para pequenas empresas: como elas serão impactadas?

O Brasil tem nas pequenas e médias empresas a espinha dorsal da sua economia. Ou seja, atualmente, dos 20 milhões de empreendimentos registrados no país 13,5 milhões são PMEs.  Por isso, não há dúvida de que as pequenas empresas são essenciais para o desenvolvimento do Brasil. No entanto, apesar de sua relevância, pode-se argumentar que as empresas menores foram deixadas para se defender na corrida pelo cumprimento da LGPD para pequenas empresas.

Leia mais!

DPO

DPO: Como a LGPD abre espaço para este novo profissional?

A LGPD trouxe mudanças radicais para a forma como as empresas pensam sobre a proteção de dados e, como resultado, algumas empresas precisarão nomear um diretor de proteção de dados (ou DPO) para garantir a conformidade as novas regras.

A partir de fevereiro de 2020, esse especialista será encarregado de administrar todo o fluxo de informações em qualquer empresa, desde sua coleta até seu tratamento. Ele também será a ponte entre a organização e a Autoridade Nacional de Dados, entidade a ser criada para regular o compliance à LGPD.

Mas então, qual é o papel de um oficial de proteção de dados, por que eles são tão importantes e quem é mais adequado para assumir essa nova posição? Vamos dar uma olhadinha nessas questões abaixo:

O que é um DPO?

Em primeiro lugar, um DPO tem a tarefa de ajudar uma empresa a entender como a LGPD se relaciona com os negócios da empresa e aconselhar o gerenciamento e os funcionários sobre as medidas apropriadas a serem tomadas para garantir a conformidade.

Embora o DPO também observe e avalie o risco como parte do processo de conformidade, ele ou ela não deve tomar nenhuma decisão pela empresa, mas sim atuar como consultor apenas para garantir que não haja conflito de interesses.

As principais tarefas do DPO no novo regime de proteção de dados são:

  • informar e aconselhar a administração da organização sobre suas obrigações no âmbito da LGPD;
  • monitorar a conformidade da organização com a leis de proteção de dados nacionais e internacionais;
  • fornecer orientação e aconselhamento sobre as avaliações de impacto na proteção de dados;
  • funcionar como o principal ponto de contato da organização para pessoas e instituições, incluindo as autoridades de proteção de dados.

Em outras palavras, a função deste profissional é concebida como o principal ponto de referência para evitar vazamento de dados dentro da organização.

Suas tarefas são aconselhar, informar e monitorar, e, enquanto ainda é a organização que tem a responsabilidade de cumprir com a LGPD, o DPO desempenha um papel fundamental para garantir a responsabilidade da organização, criando uma camada interna adicional de controle sobre práticas de processamento de dados.

Que tipo de empresas precisa contratar um DPO?

Existem dois critérios que determinam se uma organização precisa nomear um DPO:

  1. se as atividades essenciais da empresa exigem o monitoramento regular e sistemático de indivíduos em grande escala;
  2. e se a empresa está processando uma quantidade significativa de dados confidenciais.

Em ambos os casos, os dados, se usados ​​incorretamente ou vazados, podem prejudicar gravemente a privacidade das pessoas afetadas, daí a necessidade deste profissional, independentemente do tamanho da empresa.

Alguns setores, como o setor bancário ou de saúde, têm regras rígidas para assegurar a privacidade individual, de modo que esses setores terão menos impacto como resultado do emprego de um DPO.

As empresas que coletam muitos dados pessoais e usam esses dados para tentar ganhar dinheiro, como empresas de mídia social ou anunciantes, podem ver mudanças mais significativas na maneira como fazem negócios depois de contratar um DPO.

>> Veja mais: Conheça os principais desafios que a LGPD traz para empresas.

Como um DPO se encaixa na estrutura de uma empresa?

Ao contrário da maioria das outras funções dentro de uma empresa, o DPO deve operar de forma independente, porque sua principal responsabilidade é o indivíduo, e os direitos individuais frequentemente se chocam com os interesses e objetivos da empresa.

Seria quase impossível para um DPO equilibrar as necessidades desses dois grupos diferentes, e por isso não pode ter outras responsabilidades que afetem a privacidade individual, além das tarefas especificamente atribuídas a sob a LGPD, e só deve fornecer recomendações sobre as decisões que a gerência deve tomar.

Além disso, uma empresa não pode dispensar um DPO com base em suas recomendações. Desde que a ação recomendada pelo DPO seja parte de um esforço de boa-fé para proteger o indivíduo, a empresa também não pode responsabilizar o DPO por quaisquer penalidades ou efeitos negativos. No final, isso exige que as empresas levem a contratação de um DPO muito a sério.

Dito isto, este especialista não precisa necessariamente ser um papel em tempo integral ou mesmo um funcionário. Em particular, empresas menores podem decidir terceirizar essa função para um especialista externo em privacidade que atua como contratado na tentativa de encontrar uma maneira mais econômica de cumprir a LGPD.

Quem é mais bem posicionado para ser um DPO?

Os mais adequados para o papel devem ter amplo conhecimento das leis e práticas de proteção de dados, bem como um entendimento de como eles se encaixam no mercado em que a empresa opera.

Essa combinação de habilidades permite que um DPO forneça orientação, garanta a conformidade contínua e conduza avaliações de impacto sobre a privacidade que sejam relevantes e significativas — e não apenas um ambiente de conformidade.

Obviamente, aqueles em uma posição de oficial de privacidade existente dentro da empresa ou indústria são bons candidatos. Da mesma forma, aqueles que querem se tornar um DPO terão dificuldade em encontrar um programa que vá além da teoria do direito à privacidade.

Somente tendo uma firme compreensão dos desafios únicos associados a um campo em particular, um DPO poderá aconselhar e guiar com sucesso uma empresa através dos desafios que a conformidade com a LGPD e, mais importante, o respeito pela privacidade individual trazem.

Por isso, o ideal é contratar uma empresa de hunting de TI, que estará apta a escolher o candidato adequado para realizar a função de DPO na empresa. Entre em contato com a AllEasy e veja como podemos ajudá-lo a encontrar o DPO certo para seu negócio!

3 ações para o LGPD

03 ações para ajudar a acelerar a conformidade com a LGPD

Pode ser que sua empresa já tenha um plano tático e estratégico para estar totalmente em conformidade com a LGPD. A sua equipe de Segurança da Informação pode neste momento atuar energicamente na implementação e monitoramento das soluções e regras. Ou talvez ainda exista muito trabalho a ser feito.

Seja qual for o seu status, é hora de uma ação urgente.

De acordo com a notícia publicada recentemente, o atual Presidente Jair Bolsonaro sancionou a lei que estabelece a Autoridade Nacional de Proteção de Dados (ANPD). Ela ficará vinculada à Presidência, podendo se tornar uma autarquia ao final de dois anos.

A criação do órgão foi definida em Medida Provisória editada pelo governo de Michel Temer (MDB), aprovada pelo Congresso em maio, que altera a Lei Geral de Proteção de Dados (LGPD). A autoridade terá, entre suas atribuições, aplicar sanções em caso de descumprimento da legislação no tratamento de dados, estabelecer padrões, promover o conhecimento das normas e elaborar estudos sobre o tema.

Este artigo tem o objetivo de oferecer formas eficientes para acelerar e garantir a conformidade da sua empresa com o LGPD.

Mas, antes, é importante que você relembre o que envolve este regulamento. Resumidamente, além de oferecer maior controle de dados pessoais para os usuários, dá direitos sobre como estes dados são trafegados e armazenados.

Tudo o que você precisa inicialmente saber sobre este tema, está neste artigo que publicamos recentemente: Lei Geral de Proteção dos Dados: o que você deve saber.

Acelere a conformidade com a LGPD: mantenha o foco

Evite penalidades e adeque a sua empresa para que esteja em conformidade o mais rapidamente possível. Lembre-se que a LGPD interage e abrange com quase todo o seu negócio: desde a forma como os dados pessoais são coletados e usados, até como são processados, armazenados e transmitidos.

Abaixo, damos algumas dicas sobre as principais ações que a sua empresa precisa se concentrar, para acelerar o processo de adequação com a LGPD:

  • Segurança como foco central: sua empresa precisa colocar a segurança e proteção de dados como núcleo dos processos de informação, incluindo a execução de avaliações de impacto de proteção de dados;
  • Atenção aos direitos dos usuários: A LGPD exige maior transparência. Os usuários podem solicitar a exclusão de dados dos registros – o “direito de ser esquecido” -, a correção de erros e o direito de acessar dados em formatos estruturados. Se ocorrer uma violação de dados, os usuários também precisam ser notificados imediatamente e as providências precisam ser comunicadas.
  • Investimento estratégico em tecnologia: É necessário documentar e relatar a localização dos seus dados, de que forma são coletados e armazenados e definir quais colaboradores e fornecedores podem acessá-los.

03 ações que podem ajudar a acelerar a conformidade com a LGPD

A LGPD exige que as organizações dediquem recursos suficientes para gerenciamento de risco e conformidade. E, em particular, à tecnologia da informação. Então, como a tecnologia pode ajudar as organizações a acelerarem a adequação com a legislação e estar em conformidade com a LGPD?

  1. Gerenciamento e descoberta de dados

É necessário identificar todos os dados pessoais trafegados e armazenados na organização e protegê-los contra acesso não autorizado. Identificar, controlar e proteger dados pessoais – em repouso, em movimento e em uso – é o primeiro passo para que a sua empresa esteja posicionada para garantir a conformidade com o LGPD.

  1. Ações de Governança da informação

Centralizar e governar a identidade do usuário e gerenciar o acesso, especialmente no caso de usuários privilegiados. Ao automatizar esse gerenciamento de usuários, as organizações se beneficiam de quem tem acesso a insights, maior produtividade do usuário e conformidade com a LGPD.

  1. Gerenciamento de acessos e monitoramento de ameaças

Ao gerenciar os acessos, sua empresa poderá proteger com mais facilidade as atividades e realizar a detecção e notificação de violações de dados. Em resumo, as organizações precisam revisar o ciclo de vida de seus dados e implementar controles rigorosos e robustos para a segurança e proteção dos dados e como são usados ​​e acessados.

Ao adotar as soluções de software apropriadas e envolvê-las em torno de processos compatíveis, as organizações podem garantir a conformidade com a LGPD.

A transformação digital possibilitou que as empresas desenvolvessem comunicação direta com o mercado. Empresas de todos os portes e setores coletam volumes imensos de dados, e criam modelos cada vez mais tênues de contato.

Grande parte desta comunicação é desenvolvida por meio de aplicações web, que basicamente são softwares instalados em um servidor web e desenhados para responder a solicitações e comandos, processar informações, armazenar dados e interagir com as respostas, de acordo com a demanda.

Segundo o Instituto Gartner (2018), mais de 75% dos problemas com segurança na internet são devidos a falhas exploráveis a partir das aplicações web. Isto porque aplicações web não protegidos são o ponto de entrada mais fácil para os hackers e são vulneráveis a diversos tipos de ataques.

A abordagem em cibersegurança dos principais fabricantes do setor, diante desta demanda, projetou um firewall específico para este tipo de fragilidade; o Web Application Firewall, ou simplesmente WAF, que protege os aplicativos web contra diversas ameaças.

A AllEasy recomenda: FortiWeb Fortinet

O FortiWeb protege as aplicações web da sua empresa contra as dez principais ameaças do OWASP e de muitas outras. Esta solução, quando combinada com as soluções FortiGuard Labs, é capaz de proteger os dados do negócio e dos usuários contra as mais recentes vulnerabilidades dos aplicativos. Mais uma proteção eficiente contra as vulnerabilidades, que ajudarão nas ações de conformidade com a LGPD.

Além disso, protege as aplicações do negócio contra ameaças sofisticadas, como injeção de SQL, script entre sites, estouros de buffer, envenenamento de cookies, fontes maliciosas e ataques DoS.

Os Web Application Firewall (WAF) do FortiWeb possuem diversos modelos para atender a necessidades que vão desde appliances de hardware de nível básico até opções de VM sofisticadas para serem incorporadas nos mais recentes ambientes de nuvem.

Conte com a equipe da AllEasy para identificar quais as melhores alternativas, e como o FortiWeb ajudar a sua empresa a estar em conformidade com a LGPD o mais rapidamente possível.

LGPD: os principais desafios para empresas

LGPD: conheça os principais desafios para as empresas

Embora a LGPD ( Lei Geral de Proteção de Dados ) seja uma realidade no Brasil desde 25 de maio de 2018, empresas de diferentes portes e segmentos ainda lutam para adequar suas atividades e garantirem a conformidade com a Lei.

O Senado aprovou, no dia 29 de maio de 2019, a Medida Provisória 869/2018 que recria a Autoridade Nacional de Proteção de Dados (ANPD), nos termos do Projeto de Lei de Conversão (PLV) 7/2019, aprovado pela Câmara de Deputados.

A Medida Provisória tem como objetivo oferecer maior proteção aos dados pessoais e determina exceções em que o poder público poderá compartilhar estes dados à iniciativa privada, desde que o fato seja previamente comunicado ao novo órgão.

Leia mais!

Resolução 4.658

Segurança cibernética: conheça a Resolução 4.658 do Banco Central

O Brasil caminha para fazer parte do grupo de países com legislações específicas de segurança cibernética para a proteção de dados online. A sanção da nova Lei Geral de Proteção de Dados (LGPD) pelo Presidente Michel Temer foi um dos marcos mais importantes dessa caminhada.

Agora, instituições de todos os setores da economia precisam adequar seus processos para proteger os dados pessoais que circulam pela empresa. Contudo, isso é ainda mais importante para instituições financeiras.

Leia mais!