LEI LGPD
Após muitos anos de debates e mudanças no texto, a LGPD, Lei n.º 13.709/2018, entrou em vigor em setembro de 2020. Inspirado no modelo europeu, ela regulamenta o tratamento de dados pessoais por pessoas físicas e jurídicas em meios físicos e digitais, o que abrange qualquer operação realizada com esses dados.
Ou seja, a Lei determina que os dados sejam tratados de forma segura e transparente, garantindo a privacidade e evitando qualquer vazamento ou que sejam utilizados para finalidades que não foram estipuladas. A lei busca regular toda forma de tratamento, seja sua coleta, armazenamento, processamento, compartilhamento, entre outras.
Vamos analisar alguns números importantes do Brasil em relação à LGPD:
- 43% é a chance de enfrentarmos uma violação. É a maior do mundo (~27%)
- 46% das violações foram ataques maliciosos ou criminosos, sendo 54% vazamento de informação por colaboradores das empresas;
- 240 dias é o tempo médio para identificar uma violação, principalmente quando existem códigos maliciosos dentro da aplicação;
- 100 dias é o tempo necessário para conter cada violação.
Dados estão em toda parte.
Informações pessoais e sensíveis estão sendo armazenadas por todos os tipos de infraestrutura, dispositivos e tecnologias, apoiando os negócios que se tornam mais complexos a cada dia. Podemos afirmar que o dado é o novo petróleo e a IOT é a mais impactante tecnologia da transformação digital.
Por outro lado, o número de hackers e ataques cibernéticos cresce exponencialmente, assim como as suas tecnologias e métodos cada vez mais difíceis de identificar e controlar.
Frente a este cenário, as organizações precisam estar sempre um passo à frente para proteger e governar o ciclo de vida completo de dados pessoais e sensíveis para estar em compliance com a LGPD.
Ferramentas isoladas não são suficientes para identificar corretamente e eliminar os riscos de vazamento de dados, já que os ataques estão se tornando mais sofisticados.
No entanto, existem algumas questões (se não várias) que precisam ser compreendidas para que seja possível iniciar a implementação de um projeto aderente e que permita o compliance com a LGPD.
Chegou a hora de você entender a Nova Lei Geral de Proteção de Dados!
MULTAS EM SANÇÕES
Em agosto deste ano (2021), se encerra o período de adequação das empresas para elaboração de suas Políticas de Privacidade e de Proteção de Dados Pessoais. A data foi estipulada para atendimento das diversas previsões da nova normativa da Lei Geral de Proteção de Dados (LGPD). Aqueles que não a cumprirem estão sujeitos a sanções administrativas.
COMO MINHA EMPRESA PODE SER PUNIDA?
O descumprimento das regras de LGPD, como o vazamento ou a utilização indevida ou não autorizada de dados pessoais, pode gerar penalidades que vão desde uma mera advertência até a imposição de multa de até 2% (dois por cento) do faturamento da empresa, limitada a R$ 50 milhões por infração.
A LGPD traz grandes desafios ao mundo empresarial e industrial e impõe a adoção de uma série de medidas pelas empresas que coletam dados de clientes, fornecedores, empregados e colaboradores, e apresenta-se como verdadeira oportunidade para que a organização reavalie seus processos e, até mesmo, a necessidade da coleta de dados que podem vir a ser considerados supérfluos.
A Lei transformará não apenas os métodos de tratamento dos dados pessoais, mas também a forma de funcionamento e operação das organizações, tendo impacto, inclusive na gestão de RH e nas ações de marketing.
QUAIS SÃO OS IMPACTOS DA LGPD EM TI?
A responsabilidade do time de TI vai muito além do operacional, ela também é estratégica. Afinal, ao contribuir na escolha de tecnologias, o time de TI precisa garantir a segurança de informação sem comprometer a performance das redes e dos sistemas.
Assim como auxiliar em treinamentos e na transformação da cultura do negócio junto aos demais setores, a fim de elaborar novas normas sobre coleta, armazenamento e processamento de dados.
Em um compromisso compartilhado com outras áreas igualmente importantes na organização, o setor de TI é responsável por diagnosticar, executar o plano de adequação à lei, e por acompanhar a eficiência das ações em todas as plataformas de entrada e saída de dados sensíveis de funcionários, parceiros, fornecedores e clientes no dia a dia.
Logo, as empresas que operam com dados (em qualquer volume) em sistemas ERP, CRM, etc., precisam repensar bastante as suas estruturas de tecnologia para assegurar que os dados não sejam vazados e nem que eles sejam armazenados sem consentimento de titulares.
E isso requer uma mudança de visão da própria TI sobre seus equipamentos, processos e sobre a forma como lidam com dados, abrindo espaço para novos modos de usar a tecnologia e os dados.
PRINCIPAIS SOLUÇÕES MAMINFO PARA AUXIIAR NA ADEQUAÇÃO A LEI
*Parceria com Fortinet
FIREWALLS
Os firewalls tradicionais existem há décadas e são um produto de segurança padrão usado pela maioria das organizações. Mas à medida que o cenário de ameaças foi evoluindo, também evoluiu a tecnologia de firewall. Um next-generation firewall (NGFW) vai além de uma inspeção de porta/protocolo de firewall tradicional e técnicas de bloqueio e, na verdade, inclui inspeção no nível da aplicação, Intrusion Prevention e inteligência de fontes externas ao firewall.
Tanto os firewalls tradicionais quanto NGFW empregam filtragem de pacotes (estática e dinâmica) para garantir que as conexões entre a rede, a Internet e o próprio firewall sejam seguras. Além disso, ambos podem traduzir endereços de rede e porta para mapeamento de IP. Os NGFWs, no entanto, podem filtrar pacotes com base em aplicações, usando listas de permissões ou sistemas de intrusion prevention (IPS) com base em assinatura para distinguir entre aplicações benignas (ou seja, seguras) e aplicações potencialmente maliciosas. Existem muitas outras diferenças, mas um grande avanço entre os firewalls tradicionais e os NGFWs é a capacidade de bloquear a entrada de malware em uma rede; uma grande vantagem sobre os ataques cibernéticos que os firewalls de gerações anteriores não podem oferecer.
FORTIANALYZER
FortiAnalyzer é um produto da Fortinet que garante a Segurança de Rede, Log, Análise e Relatórios de Appliances e dados de registro com segurança agregados da Fortinet Security.
Ele apresenta um conjunto de relatórios customizáveis para análise e visualização de ameaças de rede, baixa eficiência e usabilidade.
Desta forma, o FortiAnalyzer é um dos produtos de gestão da Fortinet com mais diversidade de tipos de implementações, flexibilidade de crescimento, personalização avançada com APIs e licenciamento simples.
RECURSOS E BENEFÍCIOS
Visibilidade de ponta a ponta com correlação de eventos e detecção de ameaças
Reduz o tempo de detecção aproveitando o serviço Indicator of Compromise (IOC) para identificar rapidamente a ameaça em sua rede.
Alta disponibilidade de nível empresarial
Backup automático do banco de dados do FortiAnalyzer para até cinco nós em um cluster que pode ser geograficamente disperso para recuperação de desastres. Um dos nós secundários pode facilmente se tornar um nó primário.
Relatórios de conformidade avançados
Fornece centenas de relatórios e modelos pré-criados específicos para a regulamentação a fim de facilitar a conformidade com a certificação.
Automação de segurança
Reduz a complexidade e o custo aproveitando a automação habilitada via API REST, scripts, conectores e linhas de automação.
Integrações prontas para a empresa
Fornece integração pronta para uso, sem custos adicionais para produtos de parceiros confiáveis, como Splunk, IBM QRadar, ServiceNow, Tufin e AlgoSec.
Múltiplos inquilinos e domínios administrativos (ADOM)
Separa os dados do cliente e gerencia os domínios que utilizam os ADOM para serem compatíveis e operacionalmente eficazes.
FORTINAC
FortiNAC é a solução de segurança IoT da Fortinet que se integra ao software de segurança de desktop, diretórios de rede, infraestrutura e soluções de segurança.
FortiNAC dá à sua organização visibilidade ilimitada sobre quais usuários estão na rede, quais dispositivos endpoint estão na rede, onde e quando os usuários e dispositivos estão se conectando.
- Visibilidade para ver todos os dispositivos e usuários quando eles entram na rede.
- Controle para limitar onde os dispositivos podem ir na rede.
- Resposta automatizada para acelerar o tempo de reação para eventos.
Coletivamente, esses três recursos fornecem o necessário para que os administradores de redes precisam para proteger um mundo que está adotando a IoT.
GOSTOU DO CONTEÚDO? ENTRE EM CONTATO COM NOSSA EQUIPE DE ESPECIALISTAS E ENTENDA QUAL A MELHOR OPÇÃO PARA A NECESSIDADE DA SUA EMPRESA.