Elimine a duplicação de dados sensíveis e gerencie o consentimento para atender a LGPD
A Lei Geral de Proteção de Dados requer várias providências por parte da TI. O texto prevê a proteção aos dados sensíveis, como nomes, CPF, endereços etc. de consumidores. Prevê, também, que esses dados só serão coletados com o consentimento de seus proprietários.
Portanto, se você tem bancos de dados de usuários, clientes ou consumidores, tem que adequar-se para estar em conformidade. Para isso, é preciso conhecer os dados relevantes e descobrir onde estão armazenados. Em muitos casos, os dados estão dispersos ou são compartilhados com diferentes departamentos, como SAC, logística ou marketing.
Então, para começar, elimine a duplicação de dados e crie um catálogo único.
O mesmo usuário/consumidor pode ter entradas em diferentes plataformas, com nomes abreviados, incompletos etc. Você precisa identificar as duplicações e consolidá-las para conseguir resgatar os dados de uma pessoa, caso seja preciso.
Claro que você precisará de uma solução que permita a adição, o trabalho e o compartilhamento de dados entre sistemas e processos de recebimento de dados. E que apresente recursos de Machine Learning para otimizar os processos.
Gerencie o consentimento
O consentimento está previsto na lei: a empresa só poderá armazenar dados pessoais se o usuário/consumidor concordar e der o seu consentimento. O consentimento pode ser manifestado pelo preenchimento de um formulário eletrônico, pelo envio de e-mail ou um simples clique do usuário num checkbox. Ao coletar os dados, portanto, será preciso apresentar um texto solicitando o consentimento (texto que, por sinal, precisa ser escrito pela área jurídica de forma a garantir que esteja de acordo com a lei).
Se a empresa já tem um banco de dados, terá que disparar um pedido de atualização dos Termos de Uso e Políticas de Privacidade.
Como se vê, o tema demanda uma solução capaz de gerenciar o consentimento, separando aquelas pessoas que já concordaram daquelas que não concordaram ou não responderam, para manter as informações pelo tempo previsto ou eliminá-las do banco de dados.
Solução que resolve
Com MDM - Master Data Management Express, da IBM, você consolida dados de diferentes fontes em minutos. E tem uma visão unificada e confiável dos dados do cliente (dado mestre), vindos de sistemas redundantes e inconsistentes. Assim, é possível eliminar duplicações de dados e unificá-los num catálogo único.
A solução também conta com interface gráfica para fácil curadoria, visualização e edição de informações de gerenciamento de consentimento; faz buscas de texto avançadas para localizar e visualizar dados de uma pessoa específica; fornece gráficos e estatísticas.
A solução faz uso de Machine Learning, tem instalação simples e conta com APIs para integração.
Com MDM você já dá os primeiros passos para adequar sua empresa à LGPD. A nova lei é uma realidade. Por isso, se precisar de ajuda, pode contar conosco!
5 etapas para colocar sua empresa em conformidade com a LGPD
A LGPD – Lei Geral de Proteção de Dados está em contagem regressiva para entrar em vigor. É preciso correr! Por onde começar?
Comece pela conscientização de executivos e gestores sobre os conceitos da lei e os riscos que ela representa. Quais são os dados sensíveis de que fala a lei? Quais são os direitos garantidos pela lei aos donos da informação?
85% das empresas não estão prontas para atender a LGPD
Estivemos presentes no IBM Think 2019, em São Paulo, um dos mais importantes eventos sobre tecnologia, com muita informação sobre tendências e soluções. E a Stefanini Scala apresentou sua expertise relativa a LGPD – Lei Geral de Proteção de Dados, que deve vigorar a partir do próximo ano.
A palestra foi conduzida por Daniel Reis, head de Analytics. Daniel revelou que na Europa, onde a lei de proteção de dados GDPR está em vigor, metade das empresas foram alvo de algum tipo de ação regulatória por não estarem totalmente adequadas.
Aqui no Brasil, a situação parece seguir pelo mesmo caminho, com empresas despreparadas para atender as exigências da nova lei. Segundo dados da Serasa Experian, em levantamento de Agosto de 2019, 85% das empresas declararam que não estão prontas para atender a LGPD.
ABORDAGEM AMPLA
A LGPD envolve muitos aspectos, tanto jurídicos, quanto de TI, de processos e governança. É preciso uma abordagem ampla para estar em conformidade.
Por isso, a oferta da Stefanini Scala engloba várias etapas, incluindo o entendimento dos processos e sistemas de captura de dados adotados, o mapeamento desses dados, a estratégia de comunicação, de governança, anonimização, higienização e descarte de dados; as rotinas de auditoria e, por fim, a prevenção a incidentes e das ações a serem tomadas após um eventual vazamento de dados ou utilização ilegal desses dados.
É um trabalho extenso, feito dentro de um cronograma pré-estabelecido, com profissionais especializados. E sob medida, já que empresas são diferentes e precisam de soluções específicas que realmente atendam suas necessidades.
Saiba mais sobre LGPD, clique aqui!
Seguro de Software: garanta a gestão dos licenciamentos. Não corra riscos!
Escrever esse artigo me lembra que nós, seres humanos, temos a capacidade de saber o que temos de fazer, mas nem sempre priorizamos ou fazemos aquilo que precisa ser feito. Nas organizações, muitas vezes, acontece da mesma forma. Toda empresa sabe que precisa ter controle e gestão sobre a utilização do seu parque de licenças de software e que precisa manter estas ferramentas atualizadas e devidamente legalizadas. Sendo assim, por que NÃO o fazem?
Já vi cliente sendo auditado pelo fornecedor do software e ficando chateado porque foi pego de surpresa [chateado foi a palavra mais amena que encontrei] e depois de muita conversa [pra não dizer confusão] precisou pagar a multa. A verdade é que o processo de controle e gestão dos softwares fica esquecido, debaixo do tapete, com baixíssima prioridade. O tempo passa, o time de operações instala novas licenças, urgências acontecem e quando você menos espera, está com o parque não licenciado de novo. Sendo assim, precisamos que alguém fique atento [ou como diz o matuto, de butuca!] e monitore continuamente.
Falando sério: a imagem da organização vai por água abaixo e pode gerar um grande prejuízo financeiro se não houver uma conformidade legal dos programas utilizados na empresa. É importante entender que, ao não agir com regularidade, a organização corre risco de multas, ações indenizatórias e até interdições. Entre as penas previstas pela Lei 9.609/98 está a detenção de seis meses a dois anos. Se não for possível descobrir o número de licenças que foram evadidas, tanto pior. Pode haver cobrança de uma indenização no valor de 3 mil vezes o preço da licença!
PARA FACILITAR
Em anos de crise é natural que os fornecedores corram atrás de validar se seus clientes estão utilizando o licenciamento corretamente. Nem sempre os processos de licenciamento são triviais e fáceis de entender, principalmente quando eles começam a ficar em múltiplos ambientes, incluindo a Cloud. Uma boa alternativa para facilitar a tarefa e aumentar a eficiência da fiscalização é ter uma área responsável, que conheça as normas e leis regulatórias implicadas neste processo, e que também possa contar com uma empresa externa que apoie essa iniciativa [aqui eu começo a falar da Stefanini Scala], validando as informações e dando o devido respaldo.
O importante é ter uma solução que não apenas apague o incêndio, mas traga garantias de que não haverá surpresas no momento de uma possível auditoria interna ou externa [ou seja, não será pego de calças curtas]. Ter os relatórios bimestrais com todo o acompanhamento do que está sendo utilizado [mostrando quais licenças compradas podem estar sem uso] e também como está o compliance com o que foi comprado [fazendo um match com as licenças dos contratos existentes]. O relatório deve permitir que seja feita uma análise para a redução de riscos e custos. Por fim, não espante se você começar a dormir melhor e ficar à vontade quando o fornecedor vier negociar!
___
Mirna Machado é diretora de produtos Stefanini Scala
Como melhorar a proteção de dados críticos da sua empresa?
A segurança da informação é um dos tópicos mais discutidos na atualidade — e isso não acontece à toa. Afinal, muitas empresas precisam de proteção de dados críticos para ficar longe de inúmeras complicações.
Pensando na enorme relevância que o assunto tem, preparamos este conteúdo. Ao longo do texto, explicaremos o que configura esse tipo de dado, quais práticas devem ser evitadas e o que fazer para protegê-los de maneira efetiva.
No que consistem os dados críticos?
Basta uma simples navegação pela web para deixarmos uma série de rastros e informações perdidas pelo caminho. Quando um CPF ou um CNPJ são utilizados para comprar algo em um e-commerce, por exemplo, contribuímos para que outros vendedores saibam sobre nossas preferências e interesses gerais.
Pensando nesse fato e no contexto da transformação digital vivenciado por tantas organizações, os dados críticos representam uma pequena parcela de todas as informações que a sua empresa armazena. Apesar de não significar tanto em termos de quantidade, eles são as informações de maior valor, sem dúvidas — se caírem em mãos erradas, podem trazer prejuízos inestimáveis.
Podemos considerar como críticos todos os números, índices, documentos e relatórios confidenciais que estabelecem uma relação direta com os serviços prestados e/ou produtos vendidos pela organização: eles são determinantes para atividades centrais do negócio.
Infelizmente, desde que a internet foi criada e ganhou popularidade para os mais variados usos, tornou-se um ambiente propício para ações fraudulentas. Repare: não é tão raro assim ouvir notícias sobre vazamento de dados pessoais e empresariais. Isso acontece porque há diversos interesses em torno desse tipo de informação, já que ele vale muito.
Quais são as práticas não recomendadas em relação à segurança de dados?
Não há nenhuma receita de bolo a respeito da segurança de dados. Ainda assim, existem algumas práticas importantes:
É fundamental alertar os funcionários para que não caiam em ataques de phishing ao clicar em links maliciosos nas redes sociais usando um computador ou celular da empresa.
Também é necessário estabelecer uma política interna clara, que seja exercida de fato. Muitas empresas o fazem, mas, na prática, as diretrizes nunca saem do papel e servem apenas para finalidades burocráticas ligadas a auditorias e compliance.
Se possível, não deixe esse tema cair no esquecimento dentro de sua empresa em nenhuma hipótese. Afinal, o sigilo também pode ser quebrado por colaboradores insatisfeitos ou desavisados. Certifique-se de que todos estão avisados sobre as atividades proibidas e cuidados a serem tomados. Tenha em mente que, se sua empresa realiza operações de coleta de dados, ela também deverá se adaptar às exigências da Lei Geral de Proteção de Dados (LGPD).
Quais cuidados tomar?
Como dissemos, o primeiro passo a ser dado é o de padronizar procedimentos internos, para que fiquem claros e de fácil compreensão. Eles devem estar de acordo com as necessidades da organização e envolvem diversos fatores, como hardwares, softwares e pessoas. A ideia é minimizar o risco que essas ameaças podem causar.
A falta de controle do acesso de usuários nos sistemas da empresa também é um erro grave, que precisa ser evitado a qualquer custo. Como cada empresa utiliza os dados de uma maneira, tende a ser trabalhoso elaborar níveis diferentes de proteção e aplicá-los. De qualquer modo, é indicado fazer valer a velha lógica: se menos pessoas têm acesso às informações críticas, menores são os riscos.
A ausência de atualizações e o descumprimento da LGPD também inspiram muitos cuidados. Equipamentos e softwares desatualizados expõem a sua companhia às armadilhas, que são frequentemente renovadas e reestruturadas. Oferecer treinamentos aos colaboradores também é produtivo para atualizá-los a respeito da ação de novos malwares e fraudes.
Garantir transações seguras é uma prática útil para proteger com eficácia, assim como o backup na nuvem, que ajuda a recuperar o que for necessário em casos de perdas. Sendo assim, mesmo que as piores hipóteses se tornem realidade, é possível retomar as operações de rotina em menos tempo.
Conte com especialistas para proteger dados
Confira, a seguir, alguns motivos que fazem da terceirização de segurança da informação uma boa saída para a proteção de dados.
Oferece um serviço especializado
Como se trata de uma questão bastante delicada, que pode acarretar prejuízos e custos elevados para a empresa, nada melhor do que ter uma equipe especializada à disposição, não é mesmo? Assim, haverá uma garantia de que todos os procedimentos contam com o respaldo de quem tem um vasto know-how sobre o tema. Vale lembrar que, por conta disso, a redução de despesas também é alcançada.
Ajuda a identificar e evitar falhas nos processos
Na maioria das vezes, um serviço terceirizado desse tipo também acaba atuando como uma consultoria, o que é especialmente proveitoso no sentido de identificar possíveis gargalos e falhas em sua empresa. Esse apoio é relevante para ajudar a definir as políticas internas.
Aumenta a produtividade da equipe
Com o apoio de profissionais focados na segurança, os colaboradores não precisarão se preocupar com medidas adicionais no cotidiano. Além disso, eles terão o apoio necessário para direcionar toda produtividade para o departamento ao qual pertencem, executando funções prioritárias.
Melhora a imagem da empresa
Atualmente, poucas coisas são tão negativas para a imagem de uma empresa quanto o vazamento de noções sigilosas — a proteção oferecida por uma equipe terceirizada atua para que isso não ocorra. Desse modo, na hora de vender para um cliente ou firmar uma parceria, a empresa demonstrará zelo com seus dados, o que é muito positivo perante o mercado.
Oferece controle
Por meio de relatórios apurados e prestação de contas, é viável controlar os serviços realizados por uma organização terceirizada: você tem acesso às medidas e melhorias implementadas e acompanha de perto todas as entregas.
Enfim, proteger os dados críticos da empresa é muito mais do que uma necessidade. Independentemente de tomar os cuidados necessários e evitar erros mais comuns, é recomendado contar um suporte que compreende o assunto de maneira aprofundada.
Se precisa de ajuda com a segurança da sua empresa, entre em contato conosco!
Conheça 4 tendências em segurança da informação para sua empresa
Todos os anos, as notícias sobre tendências em Segurança da Informação trazem um balanço com relatos de invasão de dados e vírus dos mais variados tipos. Isso causa um estigma sobre a segurança dos dados, pintando-a como um desastre.
Na realidade, guardar e proteger os dados de sua organização precisa ser um dos fatores mais importantes ― se não for o maior. Atualmente, temos a LGPD (Lei Geral de Proteção de Dados), que entrará em vigor em meados de 2020. Sua ideia é proteger os clientes ao prevenir o vazamento de dados. Sua empresa deve estar em conformidade para não ganhar penalidades sérias!
E onde estaremos mais vulneráveis na área de Segurança da Informação e compliance?
O conceito de Segurança da Informação
Chamada de InfoSec, essa área faz muito mais do que impedir acesso não autorizado. Existem diversas definições acadêmicas, mas basicamente a Segurança da Informação é a prática de impedir o acesso não autorizado, divulgar, gravar, modificar ou destruir as informações ― sendo estas físicas ou elétricas.
Podem ser perfis nas redes sociais, dados do celular, informações biométricas, arquivos e e-mails da empresa. Isso abrange muitas áreas, como criptografia, computação móvel, redes sociais, segurança forense, entre outros.
Normalmente, a InfoSec é baseada em quatro pilares:
Confidencialidade
Os dados só podem ser vistos ou usados por pessoas autorizadas a acessá-los. Indivíduos, entidades e processos não autorizados devem ser sinalizados imediatamente para a área responsável, para que a sua origem seja verificada.
Integridade
Significa manter a precisão da informação. Ou seja, toda e qualquer alteração nas informações por um usuário proprietário deve continuar em estado íntegro. Informações sigilosas têm que ter rastreio, para fins de auditoria. É necessário que o acesso não autorizado seja impossível — ou pelo menos detectado a tempo.
Disponibilidade
Essa é fácil: as informações precisam estar disponíveis sempre que os usuários autorizados necessitarem delas. Por exemplo, se o RH quiser conferir as horas extras de determinado funcionário, esses dados devem ser fiéis à realidade.
Hoje em dia, devido ao próprio desenvolvimento exponencial das tecnologias, mais um fator tem sido largamente considerado: a conformidade.
Conformidade
Existe para garantir que todas as leis, normas e regulamentos sejam contemplados e validados em todos os sistemas de uma organização.
A importância da Segurança da Informação
As organizações reconheceram a importância da proteção de todas as informações privadas. Elas nunca devem se tornar públicas, especialmente quando são privilegiadas.
Com o aumento das ameaças de ataques cibernéticos, consultorias especializadas ou profissionais qualificados em segurança da informação estão sendo alocados. Assim, as interrupções na defesa da rede não acontecem ou são rapidamente resolvidas, evitando a perda de tempo.
Para que não existam essas surpresas desagradáveis, fique de olho nas soluções mais importantes que estarão no radar!
As 4 maiores tendências em Segurança da Informação
Controle de permissões de usuários, autenticação de dois fatores, backup diário e firewalls poderosos são algumas das maneiras de proteger sua organização. Contudo, com a Indústria 4.0, surgiram novos desafios.
- Internet das Coisas ― IoT
A IoT deixou de ser algo distante e está em um bom nível de desenvolvimento. Acredito que você tenha ouvido falar de casas inteligentes, alarmes fotossensíveis inteligentes e carros conectados, e que já tenha uma SmartTV em casa.
Com tanta novidade e a pressa de lançar os produtos no mercado, a segurança nem sempre foi considerada prioridade máxima durante a fase de design do produto.
Apesar disso, muitas estruturas de segurança IoT já foram desenvolvidas, mas ainda não temos um padrão único aceito. É importante contar com ao menos uma estrutura de segurança, pois temos também a chegada dos ransomwares, como veremos no próximo tópico.
- Ransomware das Coisas ― RoT
Durante o inverno de 2016, na Finlândia, cibercriminosos foram capazes de assumir o controle e interromper o aquecimento de dois prédios durante um ataque distribuído de Permission Denied ― Permissão Negada. Foi pedido um resgate para que os prédios voltassem a funcionar, e daí surgiram os RoT ― Ransomwares das Coisas.
Será necessário um esforço para proteger os sistemas IoT e seus dispositivos, já que as técnicas atuais (como filtragem, criptografia e autenticação) poderão gerar um consumo de processamento e banda que não estava previsto.
Para mitigar qualquer tipo de ataque, também é crucial educar e mudar a cultura da organização. Oriente sua equipe sobre as melhores práticas e ética ao utilizar os dispositivos e dados da empresa.
Dica de Ouro: se sua companhia estiver infectada com ransomware, é aconselhável não pagar o resgate, pois essa é uma forma de incentivo aos cibercriminosos. É possível recuperar os arquivos danificados com decodificadores especializados. Peça o conselho de um especialista em Segurança da informação. E não se esqueça do backup!
- Backup e RAID
Os backups são uma solução bem antiga, que nunca esteve tão em evidência. Trata-se de uma proteção contra a corrupção dos dados, com a qual é possível realizar o backup diário incremental e backups completos semanais, armazenados na nuvem ou em seu próprio data center.
RAID significa Redundant Array of Independent Disks― Conjunto Redundante de Discos Independentes. É uma solução por vezes mais barata, cujo objetivo é fornecer redundância das informações utilizando as matrizes. Ou seja, se um disco falhar, os outros discos assumem o controle até que a unidade seja substituída. Mas, no caso de corrupção de dados, os dados corrompidos ficarão em todas as unidades.
Então, qual solução utilizar? Especialistas recomendariam as duas! Discos rígidos falham, é inevitável. E a solução RAID é fantástica para tratar redundância. Além disso, existem provedores de nuvem que já utilizam criptografia de alto nível — mais uma arma contra os ataques.
- Autenticação de múltiplos fatores
Embora esteja longe de ser uma solução perfeita (pois ainda pode haver ataque por phishing), a maioria dos serviços online está abandonando o acesso por senha. A tendência é oferecer métodos de autenticação adicionais ― que, por enquanto, serão opcionais.
Os bancos — na vanguarda, como sempre — já estão realizando essas alterações para aumentar a segurança.
Os fatores de autenticação são classificados em três casos:
- O que o cliente sabe: senha, PIN ou frase de segurança;
- O que o cliente possui: tokens via software, que enviam códigos por SMS ou e-mail;
- O que o cliente é: impressão digital, padrão de retina, reconhecimento facial.
Os usuários com certeza ficarão confusos por um tempo, mas as diferentes formas de autenticação de múltiplos fatores aumentarão a segurança.
O campo da InfoSec cresceu e evoluiu significativamente nos últimos anos. Vimos aqui o que é, sua importância e os maiores fatores que serão tendência em segurança da informação.
A segurança de informações é uma área sólida, e a maioria das organizações já compreende a necessidade de tecnologia de firewall, antivírus e antispam. Mas só essas soluções não são o bastante.
É necessário também ter programas de correção agressivos e sistemas reforçados, a fim de se proteger de invasões ou de ver os dados da empresa totalmente corrompidos ou roubados.
Conte com o conhecimento e experiência de nossos especialistas em segurança da informação para garantir a proteção dos dados de sua empresa.