Desde que a Lei Geral de Proteção de Dados Pessoais brasileira (LGPD) – Lei nº 13.709/2018, de 14 de agosto de 2018, foi sancionada e, ainda mais, com a recente entrada em vigor da norma no último dia 18 de setembro, temas relacionados a vazamento de dados têm despertado grande interesse em muita gente.
Desse modo, no artigo desta semana iremos analisar como as empresas poderão se proteger de sequestros e vazamentos de dados, seja de seus funcionários, de clientes ou de parceiros comerciais.
Vazamento de Dados e Sequestro de Dados. Qual é a diferença?
O que é Vazamento de Dados?
O Vazamento de dados ocorre quando processos/procedimentos de segurança adotados pelas empresas, públicas ou privadas, não são suficientemente capazes de garantir e proteger as informações contidas em seus bancos de dados.
Nesse caso, falhas de segurança permitem que informações fiquem acessíveis a pessoas não autorizadas, facilitando assim o vazamento e o sequestro de informações por hackers.
O que é Sequestro de Dados?
No que tange ao Sequestro de dados, também conhecido como ransomware, observa-se que: hackers invadem os sistemas digitais das empresas, bloqueiam os dispositivos e cobram resgate para devolver o acesso às informações e documentos bloqueados.
Infelizmente, dia após dia, notícias do mundo todo apontam que os vazamentos de dados são mais frequentes do que a gente imagina e podem afetar grande parte da população mundial.
Casos de Vazamentos de Dados
1 – Vazamento de Dados do Facebook
Como exemplo, podemos citar o vazamento de dados de usuários do Facebook, revelado em setembro de 2018, onde foram coletadas informações sem permissão dos usuários (portanto, de forma ilegal). Foram expostos dados de perfil, crenças políticas, redes de amigos e mensagens privadas pela empresa Cambridge Analytica, uma consultoria política que utilizou esses dados vazados a serviço da campanha presidencial de um candidato à Casa Branca, vindo a afetar um total de 87 milhões de usuários da rede social em comento. Destes afetados pelo vazamento, estima-se que 443 mil são brasileiros, de acordo com o Facebook.
2 – Vazamento de Dados do Banco Inter
Um pouco antes, em agosto de 2018, outro caso de vazamento de dados ficou bastante conhecido no Brasil, o do Banco Inter, que admitiu, em maio do mesmo ano, o vazamento de dados de parte dos seus correntistas.
Em relação a esse caso, a Comissão de Proteção de Dados Pessoais do Ministério Público do Distrito Federal e Territórios – MPDFT, instaurou inquérito para apurar o fato, vindo a constatar, ao final da investigação, que foram comprometidos dados cadastrais de 19.961 correntistas do referido banco.
Além disso, com o intuito de encerrar a ação civil pública que havia sido movida pelo vazamento de dados de seus clientes, o Banco Inter aceitou realizar o pagamento de R$ 1,5 milhão a título de indenização pelo fato apurado.
3 – Vazamento de Dados da Netshoes
Outro caso emblemático, foi o da Netshoes, comércio eletrônico de artigos esportivos, onde se constatou que foram vazados dados de quase 2 milhões de consumidores. Nesse caso, a Netshoes firmou acordo com o Ministério Público do Distrito Federal e Territórios e concordou em pagar R$ 500 mil de indenização por danos morais pelo vazamento dos dados.
4 – Vazamento de Dados do Governo Federal
Porém, muita gente se engana quando pensa que os vazamentos de dados ocorrem somente em empresas privadas. Isto porque, esse também é um problema crescente para o Governo Federal. Informações apontam, que o vazamento de dados aumentou 19 vezes em seis anos e se tornou o segundo maior tipo de ataque sofrido pelos sistemas do Governo, ficando atrás apenas dos casos em que hackers desfiguram sites do governo federal e expõe seus códigos ou alteram a integridade dos dados contidos nos respectivos bancos de dados.
Em abril de 2019, foram vazadas informações pessoais de 2,4 milhões de usuários do Sistema Único de Saúde – SUS. Nesse episódio, foram expostas informações como: endereço, data de nascimento, número de documento, nome completo, entre outras informações pessoais dos usuários do SUS.
Como se proteger de Vazamento de Dados e Sequestro de Dados
Feita esta introdução, passemos a analisar agora o que as empresas poderão fazer para se prevenir de ataques e garantir que informações mantidas em seus bancos de dados estejam seguras.
6 Dicas para se proteger de Sequestro de Dados e Vazamento de Dados
Isto porque, quando adotados alguns cuidados, as chances de as empresas sofrerem vazamentos de dados são bastante reduzidas. Então, veremos abaixo, que a palavra de ordem aqui é prevenção.
Desse modo, listei abaixo 6 dicas que, se adotadas, poderão reduzir bastante as chances de ver sua empresa envolvida em vazamentos de dados.
1 – Escolher sistemas operacionais com menor índice de vulnerabilidades;
Apesar do domínio do mercado pelo sistema operacional Windows, da Microsoft, existem diversas opções que oferecem tanto quanto ou mais segurança do que ele. Alguns exemplos são o OSX, da Apple, ou até mesmo sistemas operacionais baseados em Linux, onde exitem até opções desenvolvidas pensando primeiramente em Segurança da Informação.
2 – Assegurar e manter o sistema operacional dos computadores e dispositivos eletrônicos da empresa sempre atualizado;
3 – Possuir bons softwares antivírus;
4 – Possuir firewalls instalados
Os firewalls são programas de segurança da rede que avaliam e monitoram o tráfego, impedindo que malwares, worms e hackers, tenham acesso ao computador, criando assim uma barreira entre o computador e a internet;
5 – Realizar backups periódicos, visando a preservação e a integridade da informação.
Os backups são bastante recomendados, pois garantirão que dados importantes, e muitas vezes cruciais à operação da empresa não sejam perdidos. Além disso, mesmo nos casos em que dados da empresa sejam sequestrados, se backups forem realizados periodicamente, os prejuízos com o bloqueio de acesso a documentos e informações poderão ser bastante mitigados.
6 – Elaborar e implementar uma Política de Segurança da Informação (PSI), com protocolos de segurança e planos de ação em caso vazamento ou alteração de dados.
Em relação a esse último item, insta salientar mais algumas informações devido a sua grande relevância.
Isto porque, como veremos abaixo, a elaboração de uma Política de Segurança da Informação possui uma dupla função:
a) Preservar a integridade e a confidencialidade de dados e informações da empresa, clientes e parceiros comerciais;
b) Estipular as regras e diretrizes da empresa quanto à proteção de ativos de informação.
Além disso, a PSI (Política de Segurança da Informação) deverá especificar como será realizada a coleta, o tratamento e a exclusão definitiva das informações do banco de dados da empresa, a fim de garantir que informações críticas e dados pessoais de clientes não sejam vazados ou sofram danos à sua integridade.
A Política de Segurança da Informação deverá ainda estipular quem serão os responsáveis pela criação, implementação, treinamento, supervisão e melhoria da Política.
Deverão ser estipulados também os níveis de acesso à determinadas informações, ou seja, quem poderá acessar, como acessar e quando acessar (as chamadas restrições de acesso), bem como o padrão de comportamento exigido no que tange à segurança da informação, a fim de preservar a integridade e a confidencialidade dos dados da empresa, dos clientes e dos parceiros comerciais.
Por fim, insta salientar que treinamentos periódicos de todos os funcionários sobre a Política de Segurança da Informação da empresa são fundamentais para garantir o correto entendimento do que é permitido e do que é proibido fazer, bem como para oportunizar o esclarecimento de dúvidas relacionadas ao tema.
Além disso, indica-se que sejam demonstrados os riscos envolvidos em situações corriqueiras do dia a dia da operação da empresa, que poderão afetar a segurança da informação, como a abertura de anexos em e-mails desconhecidos ou mesmo a abertura de links de fontes não confiáveis, por exemplo. Caso queira saber mais sobre proteção do e-mails e ataques de e-mail phising recomendo este artigo de autoria de Edson Costa.
Conclusão
Nesse momento você ainda pode estar se perguntando:
Tomei todos os cuidados, e mesmo assim houve vazamento de dados em minha empresa. O que devo fazer agora?
Bom, para não me alongar ainda mais, deixarei para responder essa e outras perguntas em meu próximo artigo. Combinado?
Um abraço a todos e até breve!
7 respostas
Parabéns, Thiago, tema delicado muito bem abordado. Esperamos que suas recomendações sejam seguidas pelas Organizações.