Cyber Security, Cloud e LGPD

Cyber Security, Cloud e LGPD. Depois de vários anos de discussão e no vácuo da GDPR europeia finalmente a nossa Lei Geral de Proteção de Dados foi aprovada no dia 14/08/18, com vetos. Esta lei com determinados prazos e penalidades objetiva proteger a utilização não autorizada de dados pessoais.

Num contexto holístico de segurança da informação tivemos recentemente (26/04/18) a Circular 4.658 do BACEN que “Dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil”.

E, mais recentemente ainda (16/08/18), tivemos a Circular 3.909 do BACEN que “Dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições de pagamento autorizadas a funcionar pelo Banco Central do Brasil.”

Estas “regulamentações”, vamos chamar assim, tem aspectos em comum quanto às responsabilidades:

  • dos detentores de dados sensíveis contra a utilização não autorizada;
  • de estruturas de gestão de controle;
  • e de procedimentos, ou planos se preferirem, de resposta e controle de eventuais ataques cibernéticos e/ou “vazamentos” de dados, estejam eles armazenados nas próprias instalações dos detentores dos dados ou em terceiros, a “nuvem”.

Já começa a haver um certo consenso entre os profissionais que direta ou indiretamente atuam em segurança da informação que a questão a ser respondida não é “SE” e sim “QUANDO” teremos um incidente de segurança da informação e/ou um vazamento de dados sensíveis, embora ainda existam CSOs resistentes a esta visão.

Ninguém tem conhecimento de todas as falhas, vulnerabilidades, backdoors, vírus não detectados em circulação etc. existentes nos recursos que utilizamos, sejam eles roteadores, servidores, impressoras, IoTs, aplicativos, apps etc. portanto, ninguém pode afirmar com segurança que a sua operação está imune a riscos de segurança da informação e cibernéticos.

Assim, de forma a mitigar reativamente estes riscos o que estas “regulamentações” demandam são estruturas e procedimentos para a prevenção, detecção, resposta e controle eficaz de um incidente de segurança da informação.

Isto é muito mais simples falar do que fazer. Implica antes de mais nada em admitir que o risco existe, que potencialmente pode não ser pequeno, interações ou integrações entre as áreas de segurança da informação, segurança cibernética, riscos corporativos/operacionais e continuidade de negócios, métricas comuns, procedimentos estruturados de resposta a incidentes (de qualquer natureza) e gestão de crises e, finalmente, planos de continuidade de negócios para serem utilizados se e quando todos os demais controles falharem.

Ou então, continuaremos reagindo como foi no caso do “WannaCry 2.0”, interrompemos as operações, aplicamos correndo todas as atualizações pendentes e depois vamos corrigindo as aplicações que deixaram de funcionar devido às atualizações aplicadas. E claro, neste meio tempo pode ter havido o vazamento de dados, como vemos nos noticiários todos os dias.

Na seção Strohl News abaixo você verá vários exemplos recentes de incidentes relacionados à segurança da informação, segurança cibernética e armazenamento e processamento de dados na “nuvem”.

Strohl News

  • Está disponível o Calendário 2018 do Programa de Capacitação em Continuidade de Negócios.  Clique para acessar a página da Strohl ou se preferir clique e acesse a versão PDF
  • Um ataque cibernético é inevitável, o que importa é como você irá reagir
    Cyber attacks are inevitable: it’s how you respond that counts https://bit.ly/2PsEymr
  • Para quem acredita que porque foi para a “Nuvem” está seguro
    AWS building site burns in fatal Tokyo fire, reports say https://bit.ly/2nWe3sN
  • Um possível procedimento de recuperação de dados sensíveis criptografados será a utilização de backups. O backup tradicional em fita morreu https://bit.ly/2L9pAhH
  • E se meus dados vazarem, isto antes da LGPD
    Ministério Público move ação contra Banco Inter por vazamento de dados https://bit.ly/2LfuGc1
  • Você tem certeza que a sua operação está protegida contra vírus?
    Virus shuts down TSMC factories, impacting chip production https://bit.ly/2N5xRFc
  • Fui para a “Nuvem” e tenho DRP, estou seguro!
    Datacentre issue to blame for Commonwealth Bank outage https://zd.net/2Lcnrli

Fonte: Strohl Brasil – Pílulas de Continuidade de Negócios

 

Veja também:

Sobre mindsecblog 2401 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!