iXC: LGPD e SI, uma visão holística e integrada entre CTOs, CSOs e DPOs

Innovation Xperience 3

Notícias de vazamento de dados, paralisações de operações e serviços diversos, fraudes e tantas outras se tornaram comuns nos últimos anos. Com a digitalização, muitas organizações sofreram com as ameaças virtuais à medida que migravam seu funcionamento para o ambiente online. É fato que tais incidentes já aconteciam, mas eles foram potencializados com o intenso processo de transformação digital. Durante a 3ª edição da Innovation Xperience Conference, o tema foi debatido por especialistas do setor, que compartilharem suas experiências sobre o cenário atual de ciberameaças.

 

Innovation Xperience 3
Samantha Oliveira

Para Samantha Oliveira, DPO do Mercado Livre e líder do Comitê de Proteção de Dados da Associação Brasileira Online to Offline (ABO2O), o tema em si está diretamente relacionado com a forma com que lidamos com os dados.

 

“Não basta ler termos de uso, mas é preciso vivenciar, conhecer e saber como configurar bem o seu dispositivo, como mexer nas regras de privacidade e saber com quem estamos nos relacionando”.

 

Além disso, ela afirma que é importante as empresas manterem tudo devidamente atualizado e obedeçam a conceitos de privacy by design e security by design, ou seja, que recursos de segurança e privacidade sejam embutidos nos serviços e produtos desde a sua concepção, não incorporada posteriormente.

 

Innovation Xperience 3
Paulo Ruza

Paulo Ruza, gerente de Governança de Dados do Banco Carrefour, concorda que incluir mecanismos de proteção de dados já no início de um produto ou serviço é fundamental, mas reforça que, além da tecnologia, é preciso investir na conscientização das pessoas.

 

“A principal ameaça serão sempre as pessoas. Tenho certeza que ataques contra funcionários são infinitamente maiores que os de força bruta em tecnologia. É preciso engajar pessoas, treinar a companhia para ver o dado como um ativo, um produto, que precisa ser cuidado”.

 

“A gente pode ter a melhor infraestrutura de tecnologia, os melhores mecanismos de proteção, mas se uma falha humana acontece, vai tudo por água abaixo”, concordou Guilherme Kato, CTO do Dr. Consulta e líder do Comitê de Tecnologia da ABO2O, que conduziu a moderação do painel. Por isso que, segundo ele, é tão importante investir em treinamento e capacitação dos profissionais.

 

Innovation Xperience 3
Marcelo Fontenelle

Segundo Marcelo Fontenelle, diretor de Segurança da Informação do Gabinete de Segurança Institucional do Governo Federal, o aspecto cultural é, de fato, o elo mais fraco dessa cadeia. Um estudo mencionado por ele, que mapeava o nível de maturidade em termos de segurança cibernética de vários países, identificou que um dos fatores que mais precisa ser desenvolvido no Brasil é a conscientização da população como um todo.

 

“Conscientização é fundamental. Envolve não apenas a parte de educação desde o primário, como investimentos em profissionais que vão atuar na área e aquela parcela da população que não atua em segurança da informação. Toda a base de engenharia social a que estamos vulneráveis requer essa cultura de segurança. A partir do momento que tivermos mais maturidade nessa área, acredito que vamos mitigar bastante as nossas vulnerabilidades”.

 

Ransomware, sequestro de dados

 

O Ransomware, ou sequestro de dados, é um dos principais pesadelos dos gestores atualmente. Inúmeras empresas ao redor do mundo têm sido vítimas dessa modalidade de ataque que paralisam os sistemas das organizações até que paguem um resgate. Os métodos são cada vez mais sofisticados e difíceis de escapar consequentemente. Algumas dicas ajudam a mitigar os impactos em caso desse tipo de incidente.

 

“Quem protege tudo não protege nada”, disse Paulo parafraseando um amigo. Segundo ele, as companhias precisam entender quais são as informações que precisam ser realmente protegidas. Na opinião dele, vazar dados irrelevantes não deve ser motivo de uma grande preocupação, diferentemente de informações que possam comprometer a empresa, expor clientes, algo estratégico. “Tem um primeiro trabalho que é definir e marcar quais são as joias da coroa e como protegê-las”.

 

Innovation Xperience 3
Guilherme Kato

“Já que estamos todos vulneráveis, se houver um sequestro que pegue o que é menos importante”.

 

Segundo os especialistas, é uma preocupação da indústria proteger o seu maior ativo já que o dado é, atualmente, determinante para estabelecer uma relação de confiança entre marcas e consumidores, por exemplo. Samantha frisou que essa ameaça não é exclusivamente brasileira e que líderes de diversos países se reuniram na Casa Branca recentemente para debater como combater o ransomware e outras formas de ataques. Todas as empresas estão sujeitas a vivenciar uma experiência similar a essa e precisamos estar preparados. Mas como?

 

O primeiro passo é, se houver algum tipo de incidente, ter políticas dedicadas a continuidade dos negócios e um plano de backup para não ter paralisação da operação. Samantha destacou ainda a importância de possuir um mapeamento do ciclo de vida dos dados para que ele protegido do momento da coleta ao descarte. Marcelo concorda e reforça que as organizações precisam de um plano para que os seus “sistemas continuem funcionando mesmo que em condições precárias. O importante é que não aconteça a interrupção total do serviço”.

 

Para que isso aconteça, o GSI se mantém em contato com diversos órgãos para alertar setores públicos e privados sobre ameaças, compartilhar dicas e informações que possam ser de interesse estratégico para tais organizações. Além disso, há uma rede de informações colaborativas que ajudam os profissionais a entender a metodologia dos ataques e traçar planos de contenção.

 

Assista ao painel na íntegra abaixo ou escute o podcast completo aqui.

 

 

Compartilhar