Cyber Security, Cloud e LGPD

Cyber Security, Cloud e LGPD. Depois de vários anos de discussão e no vácuo da GDPR europeia finalmente a nossa Lei Geral de Proteção de Dados foi aprovada no dia 14/08/18, com vetos. Esta lei com determinados prazos e penalidades objetiva proteger a utilização não autorizada de dados pessoais.

Num contexto holístico de segurança da informação tivemos recentemente (26/04/18) a Circular 4.658 do BACEN que “Dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil”.

E, mais recentemente ainda (16/08/18), tivemos a Circular 3.909 do BACEN que “Dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições de pagamento autorizadas a funcionar pelo Banco Central do Brasil.”

Estas “regulamentações”, vamos chamar assim, tem aspectos em comum quanto às responsabilidades:

• dos detentores de dados sensíveis contra a utilização não autorizada;
• de estruturas de gestão de controle;
• e de procedimentos, ou planos se preferirem, de resposta e controle de eventuais ataques cibernéticos e/ou “vazamentos” de dados, estejam eles armazenados nas próprias instalações dos detentores dos dados ou em terceiros, a “nuvem”.

Já começa a haver um certo consenso entre os profissionais que direta ou indiretamente atuam em segurança da informação que a questão a ser respondida não é “SE” e sim “QUANDO” teremos um incidente de segurança da informação e/ou um vazamento de dados sensíveis, embora ainda existam CSOs resistentes a esta visão.

Ninguém tem conhecimento de todas as falhas, vulnerabilidades, backdoors, vírus não detectados em circulação etc. existentes nos recursos que utilizamos, sejam eles roteadores, servidores, impressoras, IoTs, aplicativos, apps etc. portanto, ninguém pode afirmar com segurança que a sua operação está imune a riscos de segurança da informação e cibernéticos.

Assim, de forma a mitigar reativamente estes riscos o que estas “regulamentações” demandam são estruturas e procedimentos para a prevenção, detecção, resposta e controle eficaz de um incidente de segurança da informação.

Isto é muito mais simples falar do que fazer. Implica antes de mais nada em admitir que o risco existe, que potencialmente pode não ser pequeno, interações ou integrações entre as áreas de segurança da informação, segurança cibernética, riscos corporativos/operacionais e continuidade de negócios, métricas comuns, procedimentos estruturados de resposta a incidentes (de qualquer natureza) e gestão de crises e, finalmente, planos de continuidade de negócios para serem utilizados se e quando todos os demais controles falharem.

Ou então, continuaremos reagindo como foi no caso do “WannaCry 2.0”, interrompemos as operações, aplicamos correndo todas as atualizações pendentes e depois vamos corrigindo as aplicações que deixaram de funcionar devido às atualizações aplicadas. E claro, neste meio tempo pode ter havido o vazamento de dados, como vemos nos noticiários todos os dias.

Na seção Strohl News abaixo você verá vários exemplos recentes de incidentes relacionados à segurança da informação, segurança cibernética e armazenamento e processamento de dados na “nuvem”.

Strohl News

• Está disponível o Calendário 2018 do Programa de Capacitação em Continuidade de Negócios.  Clique para acessar a página da Strohl ou se preferir clique e acesse a versão PDF
• Um ataque cibernético é inevitável, o que importa é como você irá reagir
  Cyber attacks are inevitable: it’s how you respond that counts https://bit.ly/2PsEymr
• Para quem acredita que porque foi para a “Nuvem” está seguro
  AWS building site burns in fatal Tokyo fire, reports say https://bit.ly/2nWe3sN
• Um possível procedimento de recuperação de dados sensíveis criptografados será a utilização de backups. O backup tradicional em fita morreu https://bit.ly/2L9pAhH
• E se meus dados vazarem, isto antes da LGPD
  Ministério Público move ação contra Banco Inter por vazamento de dados https://bit.ly/2LfuGc1
• Você tem certeza que a sua operação está protegida contra vírus?
  Virus shuts down TSMC factories, impacting chip production https://bit.ly/2N5xRFc
• Fui para a “Nuvem” e tenho DRP, estou seguro!
  Datacentre issue to blame for Commonwealth Bank outage https://zd.net/2Lcnrli

Fonte: Strohl Brasil – Pílulas de Continuidade de Negócios

Veja também:

• Fórum discutiu implementação da Regulamentação 4658 do Bacen
• Resolução BACEN 4658 sobre Política Cibernética e uso de Cloud
• Circular 3.909 do BACEN endereça Política Cibernética e Cloud para Instituições de Pagamento
• Violação do banco de dados da T-Mobile expõe dados de 2 milhões de clientes
• EUA cria lista “Do Not Buy” que inclui empresas russas e chinesas
• Vulnerabilidade do Bluetooth pode permitir ataques man-in-the-middle
• Malware IoT ataca sistemas de satélites de aviões e navios
• Hackers podem falsificar mensagens do WhatsApp
• Falha em FAX da Impressora da HP permite hacking da rede
• Vulnerabilidades em roteadores D-Link permitem alterar DNS e redirecionam o usuários para Página Falsa