segunda-feira, abril 29, 2024
Últimas Publicações:

LGPD vira argumento de chantagem de criminosos virtuais para extorsão: veja como se defender

Por Fabrizio Alves, CEO da Vantix

Após dois anos de funcionamento da Lei Geral de Proteção de Dados (LGPD), um assunto chama atenção: se por um lado, ela tem o objetivo de proteger os direitos fundamentais de privacidade das pessoas, por outro, a norma tem sido vista, pelos cibercriminosos, como excelente fonte de renda.

Trata-se de uma faca de dois gumes, afinal, nenhuma companhia quer ter sua reputação comprometida por um vazamento ou exposição de suas próprias referências. Então, os hackers usam a lei para pressionar seus alvos a quitarem o “resgate” com valor mais alto – e mais rápido.

Além de prejudicar a sua imagem, que tem exposto ao mercado suas fragilidades de segurança, ao invadirem os sistemas ou rede e sequestrarem informações críticas e/ou dados pessoais, automaticamente a empresa também pode ser considerada culpada, de acordo com a LGPD, abrindo, assim, caminho para ser multada pela Autoridade Nacional de Proteção de Dados (ANPD). Por isso, as pesadas multas, aliadas ao comprometimento da imagem, são terrenos férteis para que a extorsão dos cibercriminosos esteja acontecendo com frequência cada vez maior.

Para agravar ainda mais o quadro, pelo menos 48% das organizações têm seus sistemas derrubados e dados sequestrados e, por isso, acabam pagando os resgates acreditando que retomarão o controle; mas quase sempre isso não resulta em recuperar todo o conteúdo ou, pior ainda, os dados são vazados na dark web. Essa é a motivação para as gangues cibernéticas fazerem a mesma vítima novamente ou buscarem outros alvos fáceis, aplicando o mesmo golpe.

E o assunto cibersegurança é, em geral, bastante complexo, requer muitos controles, equipes motivadas, treinadas e experimentadas para lidar com as situações do dia a dia e de crise.

O que fazer, então? Separei alguns pontos:

1º) Rever o básico: muitas tecnologias já estão implementadas, mas carecem de sustentação de dia a dia. As ferramentas mais elementares como antivírus, sistema de detecção e resposta de endpoints, firewalls e soluções de patching estão presentes em praticamente todas as organizações. Mas é aí que a grande maioria falha, quando não adotam processos e governança mínima para validar a sua aplicação no dia a dia. Sistemas sem patches, por exemplo, são o primeiro alvo de qualquer atacante e, a partir daí, é que novos acessos são conquistados e os grandes problemas começam a surgir.

2º) Limitar o acesso dos atacantes: três vetores lideram a lista de ataques ransomware: sessões de terminal RDP, phishing e credenciais fracas ou vazadas. Por isso, é fundamental evoluir os formatos de acessos às redes corporativas, através de princípios de Confiança Zero (Zero Trust) e a adoção de ferramental para esse fim, como soluções de gestão de acessos privilegiados, anti-phishing e a própria modernização do acesso dos usuários remotos, substituindo a tradicional VPN por modelos conhecidos como ZTA, ZTNA ou SDP. Além de autenticação multifator (MFA), para compor um quadro que minimize o acesso dos atacantes, e numa segunda instância a sua capacidade de lateralizar os ataques, i.e, sair de um ponto A para um ponto B dentro das nossas redes.

3º) Executar um Diagnóstico Situacional: é claro que existe muito além do básico quando o assunto é segurança. Mas é importante ter uma visão clara em quatro áreas alvo pra se atingir CIBER-RESILIÊNCIA: 1) Proteção da Informação – aquilo que envolve a proteção dos dados em si, sua manipulação, ciclo de vida e acesso, independentemente de onde estão os dados ou as pessoas; 2) Proteção contra Ameaças – defesas contra malwares e ataques em geral, mas também as tecnologias e processos de recuperação e continuidade de negócios; 3) Gestão de Identidades e Acessos – controles baseados em identidade e comportamentos, provisionamento de usuários e afins, gestão de acessos privilegiados, entre outros; 4) e por fim, as Operações de Segurança, que envolvem tudo aquilo em torno de gestão dos ambientes, monitoração, detecção e prevenção. Normalmente, esse diagnóstico é apoiado sobre frameworks de segurança do mercado, como ISO27001, para facilitar a comparação com os pares e normalizar o entendimento. Na forma de um relatório, uma arquitetura de segurança deve ser sugerida, incluindo as prioridades através de um roadmap tecnológico para a adequação.

4º) Elevar a Segurança para uma Função Estratégica: estabelecer um comitê responsável pela formulação das políticas e pelos direcionamentos do tema dentro da organização, próximo ou idealmente integrado aos níveis executivos, é chave para ampliar a governança. O nível de vulnerabilidade das empresas está intrinsecamente ligado à maturidade do tema e do seu entendimento na organização. Assim, é fundamental levar informações claras, baseadas em scores de fácil interpretação do grau de segurança atual, bem como resumos executivos das prioridades e dos riscos existentes, continuamente validados pelas ferramentas de simulação e pelos times de inteligência/defesa. As decisões bem-informadas serão extremamente facilitadas com essa cadeia.

5º) Segurança Ofensiva e Gestão das Vulnerabilidades: não existem bons jogadores que só treinam. É preciso jogar! Nesse sentido, a segurança ofensiva é a chave para ganhar e estar verdadeiramente pronto para as crises; testar as defesas e as reações da empresa. Conhecido como BAS (do inglês Breach and Attack Simulation), trata-se de um método de teste de segurança cibernética capaz de criar uma arquitetura resiliente para qualquer empresa. Funciona assim: o BAS imita as táticas do adversário através de simulações de ataque de múltiplos vetores. Com o teste de invasão, é possível identificar as ameaças e, principalmente, todos os pontos de vulnerabilidades que servem de entrada para o ataque. Ademais, o próprio sistema é capaz de dar as diretrizes de correção de forma rápida e eficaz, evitando qualquer incidente.

 

Você pode gostar também

Supermercados já amadureceram sobre a transformação digital e o comportamento do consumidor, avalia Ana Debiazi

Possibilidade de aumento na inflação demanda cautela por parte da indústria de alimentos

Marfrig lança e-commerce voltado para o consumidor final

Grupo HEINEKEN projeta aumento substancial nas vendas de fim de ano

Projeções da AEB para balança comercial apontam para novos recordes

Americanas lança programa para preparar os comerciantes para a Black Friday

Damos valor à sua privacidade

Nós e os nossos parceiros armazenamos ou acedemos a informações dos dispositivos, tais como cookies, e processamos dados pessoais, tais como identificadores exclusivos e informações padrão enviadas pelos dispositivos, para as finalidades descritas abaixo. Poderá clicar para consentir o processamento por nossa parte e pela parte dos nossos parceiros para tais finalidades. Em alternativa, poderá clicar para recusar o consentimento, ou aceder a informações mais pormenorizadas e alterar as suas preferências antes de dar consentimento. As suas preferências serão aplicadas apenas a este website.

Cookies estritamente necessários

Estes cookies são necessários para que o website funcione e não podem ser desligados nos nossos sistemas. Normalmente, eles só são configurados em resposta a ações levadas a cabo por si e que correspondem a uma solicitação de serviços, tais como definir as suas preferências de privacidade, iniciar sessão ou preencher formulários. Pode configurar o seu navegador para bloquear ou alertá-lo(a) sobre esses cookies, mas algumas partes do website não funcionarão. Estes cookies não armazenam qualquer informação pessoal identificável.

Cookies de desempenho

Estes cookies permitem-nos contar visitas e fontes de tráfego, para que possamos medir e melhorar o desempenho do nosso website. Eles ajudam-nos a saber quais são as páginas mais e menos populares e a ver como os visitantes se movimentam pelo website. Todas as informações recolhidas por estes cookies são agregadas e, por conseguinte, anónimas. Se não permitir estes cookies, não saberemos quando visitou o nosso site.

Cookies de funcionalidade

Estes cookies permitem que o site forneça uma funcionalidade e personalização melhoradas. Podem ser estabelecidos por nós ou por fornecedores externos cujos serviços adicionámos às nossas páginas. Se não permitir estes cookies algumas destas funcionalidades, ou mesmo todas, podem não atuar corretamente.

Cookies de publicidade

Estes cookies podem ser estabelecidos através do nosso site pelos nossos parceiros de publicidade. Podem ser usados por essas empresas para construir um perfil sobre os seus interesses e mostrar-lhe anúncios relevantes em outros websites. Eles não armazenam diretamente informações pessoais, mas são baseados na identificação exclusiva do seu navegador e dispositivo de internet. Se não permitir estes cookies, terá menos publicidade direcionada.

Visite as nossas páginas de Políticas de privacidade e Termos e condições.

Importante: Os cookies nos ajudam a administrar este site. Ao usar nosso site, você concorda com nosso uso de cookies. Política de Privacidade
×

Olá!

Clique abaixo para conversar pelo WhatsApp ou envie um e-mail para: comunicacao@portalredebrasil.com.br

Atendimento em Horário Comercial

× Fale conosco!