Flowti
  • Soluções
  • Conteúdo
  • Contato
Service Desk  

Serviços Gerenciados

  • Cloud
    Cloud Reseller
  • Continuidade dos Negócios
    Backup Disaster Recovery as a Service
  • Governança de TI
    Suporte Especializado Outsourcing Alocação de profissionais NOC as a Service
  • Segurança e Privacidade
    SOC as a Service Manutenção do Programa de Privacidade Firewall as a Service

Projetos de Transformação

  • Cloud
  • Continuidade dos Negócios
    Continuidade de Negócio Disaster Recovery Plan (DRP/PCN)
  • Governança de TI
    Evolução Tecnológica Assessment Infraestrutura Performance & Tuning
  • Segurança e Privacidade
    Programa de Adequação à LGPD DPO Academy HIPAA Compliance Assessment Programa de Diagnóstico de Vulnerabilidade

Produtos

  • Blog
  • Cases
  • Materiais Educativos
  • Fale Conosco
  • Trabalhe Conosco
  • Service Desk
  • Soluções

    Serviços Gerenciados

    • Cloud
      Cloud Reseller
    • Continuidade dos Negócios
      Backup Disaster Recovery as a Service
    • Governança de TI
      Suporte Especializado Outsourcing Alocação de profissionais NOC as a Service
    • Segurança e Privacidade
      SOC as a Service Manutenção do Programa de Privacidade Firewall as a Service

    Projetos de Transformação

    • Cloud
    • Continuidade dos Negócios
      Continuidade de Negócio Disaster Recovery Plan (DRP/PCN)
    • Governança de TI
      Evolução Tecnológica Assessment Infraestrutura Performance & Tuning
    • Segurança e Privacidade
      Programa de Adequação à LGPD DPO Academy HIPAA Compliance Assessment Programa de Diagnóstico de Vulnerabilidade

    Produtos

  • Conteúdo

    Blog

    Cases

    Materiais Educativos

  • Contato

    Fale Conosco

    Trabalhe Conosco

Social

Fale Conosco
Fones

+55 47 3035.3777

FLOWTI TECNOLOGIA LTDA
CNPJ: 23.064.331/0001-90
Inscrição Estadual: Isento
+55 (47) 3035-3777
Av. Consul Carlos Renaux, nº 141, sala 402
Centro - Brusque - SC – 88.350-001

  1. Flowti >
  2. Blog

Saiba tudo sobre Cibersegurança

Segurança da Informação 08/09/2020

Confira os principais conceitos, as relações com a LGPD, práticas de governança e conformidade documental, medidas técnicas.

A Lei Geral de Proteção de Dados Pessoais (LGPD) retomou, com bastante força, o tema da cibersegurança. Gestores da equipe de TI aumentaram seu nível de atenção nas empresas para atender à conformidade exigida pela lei, o que é fundamental para a continuidade dos negócios.

No entanto, a cibersegurança já é um assunto amplamente discutido, porque se conecta diretamente à posição de uma empresa no mercado. Afinal, o risco de perda de dados compromete a saúde financeira e a reputação. Ter boas medidas de proteção de dados é, por isso, fundamental.

Neste e-book, abordamos todos os principais conceitos que você precisa refrescar em sua mente sobre o tema. Apontamos a relação com a LGPD, bem como as práticas de governança e conformidade documental. Por fim, elencamos algumas medidas técnicas de segurança e as tecnologias de proteção que você pode utilizar para proteger informações. 

Cibersegurança x Segurança da Informação

Cibersegurança é também chamada de segurança informática, o que quer dizer proteção de dados no ambiente virtual. Ela é uma parte da segurança da informação, que possui maior abrangência. Em outras palavras, cibersegurança é um conjunto de práticas, técnicas e normas direcionadas à proteção de informações em formato digital sensíveis ao negócio e de sistemas interconectados de processamento, armazenamento e transmissão de tais informações.

Por outro lado, a segurança da informação define tecnologias e metodologias de proteção de dados em geral, seja em ambiente físico ou digital. Ou seja, abrange projetos, dados financeiros e de performance, dados de colaboradores e qualquer tipo de dado do negócio.

Em suma, ambos os conceitos possuem um preceito comum, que é diminuir os riscos de vazamento e perda de dados a um nível aceitável para empresa, preferencialmente próximo de zero. A proteção das informações, físicas e digitais, obedecem a um padrão internacional, a ISO 27001. A norma contém as técnicas necessárias para cumprir seu objetivo, como avaliações de riscos, gerenciamento de crises, e conscientização de colaboradores.

Em uma empresa, a área de cibersegurança é responsável por proteger todos os ativos digitais da corporação, armazenados em nuvem ou transmitidos por rede, além de realizar testes de prevenção de potenciais ataques externos. Seu papel é, assim, fundamental, uma vez que as informações são os ativos mais valiosos de uma organização. Para conseguir cumprir esse papel, é preciso entender a relação da cibersegurança com a LGPD.

LGPD, cibersegurança e comportamento empresarial

A Lei Geral de Proteção de Dados Pessoais (LGPD) dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

É uma lei fundamentada em alguns princípios básicos, como privacidade e inviolabilidade da intimidade, da honra e da imagem. Isso deve ser bem compreendido pelos gestores de TI, porque, mesmo sem saber, eles lidam com dados pessoais a todo momento. Quando situados em ambiente digital, passa a ser uma questão de cibersegurança.

O tratamento de dados pessoais é qualquer procedimento que envolva o uso de dados pessoais:

  • Coleta;
  • Utilização;
  • Classificação;
  • Armazenamento;
  • Processamento;
  • Correção;
  • Compartilhamento;
  • Transferência;
  • Eliminação de dados.

Isso significa que o simples cadastro no software de gestão de nome e CPF de um cliente já é uma prática inserida na LGPD. Isso não é tão claro ainda para uma parte considerável das empresas.

 

Comportamento empresarial quanto à LGPD

Um levantamento inédito, realizado em 2019 pela Serasa Experian, ouviu 508 empresas em todo o país. Das entrevistadas, 66% afirmou que tem médio conhecimento sobre a lei. Esse número aumenta para 81% quando se considera companhias com mais de 1 mil funcionários, montante que acredita ter conhecimento alto ou mediano.

Outro dado interessante é que 65% das empresas afirmaram estar preparadas para atender ao que a lei estabelece. Enquanto as pequenas empresas devem utilizar equipe interna e recursos próprios, as médias e grandes pensam em terceirizar o serviço.

Fato é que todas acreditam que a lei contribuirá positivamente para melhorar ou fortalecer a transparência e a segurança da informação. No entanto, isso só ocorrerá com a revisão dos processos internos que asseguram a qualidade dos dados, o que também traz novidades quanto ao impacto sobre os recursos tecnológicos.

A área de TI das empresas deverá rever os processos e as obrigações para aderir à LGPD devido à maior complexidade da gestão dos dados. Mas deverão, acima de tudo, treinar as equipes da empresa no tocante à cibersegurança. Esse será um grande desafio da adequação.

 

Cibersegurança e LGPD

A segurança digital e cibernética adequada à LGPD envolverá medidas que contemplam processos, tecnologia e pessoas. Serviços, soluções e aplicações de cibersegurança poderão ser adotadas na empresa, mas é essencial que já estejam fundamentadas nos preceitos da lei.

Isso porque ela já traz a necessidade de se utilizar medidas administrativas e técnicas que aprimoram a cibersegurança. Muitos dispositivos da LGPD se constituem como boas práticas em segurança da informação e riscos. É o caso da garantia de prevenção à fraude, uma dinâmica fundamental de TI.

Em outras palavras, a LGPD se relaciona de maneira intrínseca à cibersegurança, pois aborda o universo de governança, compliance e riscos. Uma área de TI que já possui boas práticas de controle de acessos, criptografia de informações, análises e testes, criação de camadas de segurança, e habilitação de autenticação não terá dificuldades para implementar a nova lei geral de proteção de dados.

Governança e conformidade documental

Governança e conformidade documental são dois aspectos muito importantes para a cibersegurança. Essas práticas permite aos gestores de TI ter maior controle sobre a proteção de dados, o que envolve identificar e mapear riscos e vulnerabilidades. A partir de uma análise profunda de incidentes e processos internos, é possível ter maior assertividade nas ações de proteção de dados.

 

Governança

A governança envolve gestão de incidentes e riscos, mapa de dados e a figura do DPO. Veja a seguir breves considerações sobre cada prática e sobre o profissional, essenciais na cibersegurança.

  • Gestão de incidentes: Elaboração de uma base de dados dos incidentes, de modo a documentar as vulnerabilidades e otimizar a prevenção, e criação de comitê para tratar do evento ocorrente e minimizar seus efeitos para a empresa. Lembre-se de que a LGPD obriga informar qualquer incidente que envolva vazamento de dados pessoais.
  • Gestão de riscos: Prática de adequação à LGPD que identifica os riscos inerentes mediante elaboração de um mapa de calor respectivo, de acordo com o impacto do risco e sua probabilidade de ocorrência. Envolve testes de vulnerabilidades e de invasão.
  • Mapa de dados: Auxilia o gestor na identificação de processos empresariais que tratam dados pessoais, desde o atendimento ao cliente pessoa física até o relacionamento com colaboradores e fornecedores. Fundamental para dar visibilidade sobre o tratamento de dados pessoais.
  • Encarregado de Dados (DPO): profissional com autonomia e responsabilidade para monitorar a disseminar boas práticas para proteger dados pessoais dentro da organização e diante os stakeholders. É a interface da empresa com a Autoridade Nacional de Proteção de Dados (ANPD).

 

Conformidade documental

A conformidade documental é mais uma prática necessária para garantir a cibersegurança. Com a LGPD, os gestores devem realizar a adequação jurídica de contratos, termos e políticas de privacidade e de proteção de dados.

O artigo 50 da LGPD é o primeiro da seção que trata de boas práticas e governança. De acordo com o dispositivo, é preciso formular regras que estabelecem condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

Em outras palavras, as empresas devem se atentar para a conformidade de seus documentos que trazem tais regras, mantendo-os  atualizados conforme as normas sobre proteção de dados. 

A política de segurança só será efetiva após a avaliação das características do negócio e das vulnerabilidades e complexidades do ambiente computacional. Ou seja, a conformidade documental e a governança andam junto quando o assunto é cibersegurança.

 

Conscientização e capacitação de stakeholders

Colaboradores, parceiros e fornecedores fazem parte do negócio de uma empresa. Cada um deles atua em uma etapa da oferta de produto ou serviço, que abrange desde a gestão administrativa até a entrega ao consumidor final. 

Em termos de cibersegurança, significa que todos eles lidam com dados pessoais em ambiente digital, que é o principal meio de relações para uma empresa atualmente. Para uma empresa estar adequada à LGPD, toda a cadeia deve ter consciência sobre as regras.

Seus funcionários lidam diretamente com os dados dos clientes, motivo pelo qual devem entender não só as regras da lei, como também a forma de segui-las. Em outras palavras, devem ser conscientizados sobre as boas práticas de cibersegurança para evitar perda e vazamento desses dados.

O mesmo se aplica a parceiros e fornecedores, que podem ser enquadrados como operadores dos dados de sua empresa. Da mesma forma que o negócio deve atender aos princípios de finalidade, necessidade e adequação, bem como restrição ao uso de dados pessoais, eles também deverão.

Em suma, eduque seus stakeholders sobre as práticas de cibersegurança conforme à lei. Se eles já estão adequados à LGPD, sua empresa garante, de forma indireta, a proteção dos dados pessoais.

Ebook completo sobre "Guia básico sobre Segurança da Informação". Baixe aqui gratuitamente!

Boas práticas e medidas técnicas de segurança

A compreensão sobre o impacto da governança, da conformidade documental e da conscientização na cibersegurança é o primeiro passo para os gestores de TI. Mas, a partir deste momento, é preciso adotar, na prática, as medidas técnicas de segurança que garantirão a proteção de dados.

As principais medidas técnicas são a análise de vulnerabilidades, a automatização de processos, a digitalização de dados e a adequação de processos. O setor de TI deve aplicá-las em todas as áreas da empresa, de modo a executar as boas práticas de governança e conformidade documental apontadas.

Essas medidas técnicas podem ser norteadas com algumas práticas fundamentais para a cibersegurança. São elas:

  • Anonimização: Adoção de meios técnicos razoáveis e disponíveis no momento do tratamento do dado pessoal por meio dos quais este perde a possibilidade de associação com o seu titular. Essa prática aperfeiçoa a cibersegurança e gera mais confiança nos serviços da empresa.
  • Backup e outras rotinas de TI: o backup (principalmente em nuvem) é fundamental para garantir a cibersegurança, porque evita a ocorrência de incidentes e disponibiliza os dados prontamente em caso de eventos danosos.
  • Privacy by Design: A proteção da privacidade está no centro de todo o desenvolvimento do produto ou serviço ofertado por sua empresa, sendo inclusive uma concepção que baliza sua conduta ética.

Além disso, a empresa deve adotar a prática de monitoramento de eventos, incidentes e ativos, de modo a garantir a continuidade dos negócios, mesmo com comprometimento da infraestrutura de TI.

A melhor modalidade, para este caso, é o monitoramento 24x7x365, muito utilizada em instituições financeiras, empresas do setor de saúde, indústrias, escolas e e-commerces. Uma simples parada e falha no sistema pode comprometer a cibersegurança. Mas com o monitoramento ininterrupto, é possível avaliar o ambiente de TI diariamente, além de gerar relatórios e análises em tempo real de possíveis ameaças.

Tecnologias de proteção

Por fim, para falar de cibersegurança, é preciso mencionar as tecnologias de proteção de dados. Certamente, muitas já são adotadas em sua empresa, mas é importante relembrar:

  • DLP (Data Loss Prevention): Fundamental para a adequação à LGPD, permite classificar arquivos e conteúdos, conferindo a eles rastreabilidade, para que certos dados ou informações não saiam do ambiente empresarial. Caso saiam, é possível rastreá-los. Em outras palavras, protege os dados organizacionais contra perdas, roubos, vazamentos etc.
  • Antivírus e AntiMalware: Ferramenta destinada a acompanhar em tempo real as ameaças ao ambiente e criar proteção aos dispositivos de risco, de modo a garantir a proteção dos dados e das aplicações de negócio.
  • Criptografia: Aplicada a um dado específico ou a todos os dados, se destina a proteger informações confidenciais de ameaças. É uma solução de cibersegurança versátil.
  • Firewall: seja de perímetro ou interno, são ativos de segurança fundamentais para aumentar o nível de proteção da infraestrutura.

Conclusão

O setor de TI de uma organização cumprirá um importante papel na adequação da empresa à LGPD. É a maneira legal de garantir a cibersegurança, ao mesmo tempo em que promove a continuidade dos negócios com uma eficaz proteção de dados.

Para tanto, além das boas práticas e medidas técnicas de governança e conformidade documental, será preciso conscientizar os stakeholders sobre a importância da cibersegurança e sua relação com a LGPD. A escolha de parceiros e fornecedores, inclusive, será um ponto de atenção. O ideal é buscar um parceiro de tecnologia e infraestrutura de TI especializado em cibersegurança para apoiar sua empresa na adequação da LGPD. 

Sem dúvidas, ele oferecerá boas soluções para ajudar você nos procedimentos e tecnologias de cibersegurança. É o caso da Flowti, que possui uma gama de serviços voltados à proteção de dados, desde a análise de vulnerabilidades do ambiente de TI até a assessoria em segurança da informação.

Fale com um especialista Flowti e proteja os dados da sua empresa.

13145620230605647ddfd06596e.png
Autor

Equipe de Conteúdo Flowti

LGPD TI ISO segurança da informação tratamento de dados dados pessoais gestão backup antivírus criptografia firewall

Blog

Ver todas
img-01

Segurança da Informação 04/06/2020

Cibersegurança: o que fazer para prevenir ataques no ambiente de TI da empresa
img-01

Infraestrutura 23/05/2018

Saiba como uma estratégia de TI ajuda a empresa na crise
img-01

Segurança da Informação 24/07/2019

Backup: Os riscos de não ter uma política na sua empresa
Ver todas

Quer falar com um especialista da Flowti?

Solicite o contato agora mesmo!

Envie sua mensagem

Retornaremos o seu contato em breve
Mensagem de status sobre o envio.

Soluções

Serviços Gerenciados Projetos de Transformação Produtos

Conteúdo

Blog Cases Materiais Educativos

Contato

Fale Conosco Trabalhe Conosco

Institucional

Sobre Flowti

Suporte Técnico

Service Desk Portal do Cliente

Social

Fale Conosco
Fone

+55 47 3035.3777

Logo

Empresa do Ecossistema MV

FLOWTI TECNOLOGIA LTDA

CNPJ: 23.064.331/0001-90

Inscrição Estadual: Isento

+55 (47) 3035-3777

Av. Consul Carlos Renaux, nº 141, sala 402

Centro - Brusque - SC – 88.350-001

Política de privacidade

Logo

Empresa do Ecossistema MV

  • Soluções
    • Serviços Gerenciados
    • Projetos de Transformação
    • Produtos
  • Conteúdo
    • Blog
    • Cases
    • Materiais Educativos
  • Institucional
    • Sobre Flowti
  • Service Desk
  • Portal do Cliente
  • Contato
    • Fale Conosco
    • Trabalhe Conosco

Social

Fale Conosco
Fone

+55 47 3035.3777

FLOWTI TECNOLOGIA LTDA
CNPJ: 23.064.331/0001-90
Inscrição Estadual: Isento
+55 (47) 3035-3777
Av. Consul Carlos Renaux, nº 141, sala 402
Centro - Brusque - SC – 88.350-001

Política de privacidade

Nós usamos cookies em nosso site para oferecer a melhor experiência possível. Ao continuar a navegar no site, você concorda com esse uso. Para mais informações sobre como usamos cookies, veja nossa Politica de Privacidade.