Blog Every TI Cybersecurity and GRC Solutions: Junho 2019

A Every TI é especializada em soluções de Governança, Gestão de Riscos e Compliance. Conquistamos a confiança e a satisfação dos nossos clientes, destacamos o SERPRO, o DATASUS, o MMA - Ministério do Meio Ambiente, a Imprensa Nacional e a DPU - Defensoria Pública Geral da União. Em 2019 conquistamos o maior nível de parceria do programa RSA SecurWorld alcançando o TITANIUM PARTNER principalmente pelos projetos de implantação do RSA Archer Suite. Dezenas projetos de Diagnóstico LGPD realizados.

Proteção de dados: segurança e transparência no uso de informações

Para onde vão os dados cadastrados em lojas, sites e e-commerces? Quem tem acesso aos registros de clientes, empregados e fornecedores? As discussões em torno da privacidade de informações ganharam amplitude nos últimos anos, com o aumento dos casos de vazamento em todo o mundo. Se antes a coleta era feita de forma abrangente e sem fiscalização, a palavra de ordem passa a ser confiança, o que ganha força com a Lei Geral de Proteção de Dados (lei nº 13.049/2018), conhecida como LGPD. “A lei traz segurança jurídica para o tratamento de dados em todas as transações, comerciais ou não. Como tudo é feito pela internet, as pessoas se deram conta de que os detalhes de um cadastro têm um valor imensurável. Com regras para proteção, criam-se limites e mais transparência na coleta dessas informações”, explica a doutora em direito econômico Fernanda Gibran Bauer, professora representante da Faculdade da Indústria.

Fora do Brasil, partiu da União Europeia a iniciativa de criar leis sobre o assunto e estabelecer que seus parceiros comerciais façam o mesmo. A privacidade de dados é uma obrigatoriedade para quem deseja se relacionar com o mercado nacional e internacional a longo prazo. Segundo o estudo Tendências 2019/2020 do Sistema Fiep, a extração de informações individuais em larga escala deve diminuir à medida em que cresce a preocupação dos usuários e a cobrança por parte dos órgãos públicos.

Para as indústrias, os próximos passos são o conhecimento sobre o tema e a adequação de processos. “Pessoas jurídicas são formadas por pessoas físicas. Nas indústrias, por exemplo, há registros sobre empregados, fornecedores, clientes e parceiros. O que a lei faz é preparar todas essas camadas para coletar e utilizar esses dados de forma ética e transparente”, diz André Luiz Gusi Rosa, consultor de riscos e compliance do Sistema Fiep.

Adaptação das indústrias

A lei já está aprovada e até julho de 2020 todas as empresas deverão implementar sistemas de segurança e tratamento de dados. O objetivo é evitar penalidades quando a legislação passar a vigorar, em agosto do próximo ano. Será necessário criar organizar processos, investir em infraestrutura tecnológica e capacitar dos colaboradores. No Sistema Fiep, o projeto de conformidade está em andamento. “Iniciamos os trabalhos no final de 2018 e possuímos uma equipe de projeto com diversas áreas técnicas da federação. Estamos preparando o campo internamente e, enquanto executamos nosso projeto de conformidade, pretendemos compartilhar nosso conhecimento e experiência com o mercado”, conta André.

O consultor de riscos e compliance do Sistema Fiep explica como os projetos de conformidade podem ganhar agilidade. “O ideal é trabalhar com equipes multidisciplinares, criando um comitê interno para conduzir as ações, pois a LGPD permeia todas as áreas. A lei discrimina todas as etapas que a empresa deve seguir, da realização do inventário de dados à nomeação de um encarregado, o DPO – Data Protection Officer”, diz André. Somente para o inventário, é preciso descrever e justificar todos os dados pessoais tratados pela empresa, a finalidade da coleta, onde os dados são armazenados e quem tem acesso. Recentemente, o governo federal sancionou a Medida Provisória 869/2018, que autoriza a contratação de empresas terceirizadas para atuarem como encarregadas dos dados.

Ética e responsabilidade

Ainda que os industriários não tratem diretamente com o consumidor final, toda empresa busca entender o comportamento dos clientes. Por isso a coleta de dados se tornou o “petróleo do século XXI”, como sinaliza o estudo Tendências 2019/2020 do Sistema Fiep. As empresas começaram a comprar bancos de informações, criando o mercado que deu origem às discussões sobre ética e privacidade. “Por mais que seja uma lei vinculada à coleta desses dados, ela não é direcionada apenas à esfera tecnológica, mas à capacitação de pessoas em uma cultura que preza pela particularidade do indivíduo. Sempre haverá colaboradores envolvidos e a lei traz responsabilidade sobre eles”, frisa André Luiz.

Em relação aos custos para adequação, André diz que podem variar conforme o número de colaboradores, a atividade da empresa e o nível de segurança desejado. “Empresas que têm estrutura menor podem contratar terceiros especializados para gerenciar a atividade. O maior esforço é operacional, para criar os processos e os documentos normativos perante a lei”, detalha o consultor.

Conscientização e capacitação

Os próximos 12 meses serão de muito trabalho e o Sistema Fiep vai atuar na conscientização do setor industrial. “Estaremos em todas as Casas da Indústria fazendo workshops sobre a LGPD. Nosso objetivo é, mais do que levar informação, promover reflexões. A tendência é que as empresas sejam mais conscientes tanto na captação quanto na utilização dos dados”, conclui André.

Outra frente de trabalho acontece nas Faculdades da Indústria, que em agosto promove o curso “Os impactos da Lei Geral de Proteção de Dados: Governança Corporativa”, com duração de 16 horas. A doutora e professora representante da instituição, Fernanda Gibran Bauer, diz que é importante alcançar o maior número de pessoas dentro das empresas. “Nosso curso é direcionado a todos aqueles que em algum momento têm contato com dados de terceiros, como profissionais da área jurídica, de tecnologia e do departamento pessoal. Traremos os principais conceitos da lei e aplicações práticas para as equipes que já estão trabalhando nisso nas indústrias”, finaliza.

As inscrições para o curso estão abertas e as aulas acontecem nos dias 1, 2 e 3 de agosto no campus de São José dos Pinhais. Mais informações estão disponíveis no site das Faculdades da Indústria.

Fonte: G1

Falha em sistema da LATAM deixava hackers roubarem dados sigilosos

Uma vulnerabilidade no sistema de entretenimento LATAM Play, da companhia aérea LATAM, permitia que cibercriminosos roubem informações sigilosas de passageiros ou até instalem malwares em seus celulares por meio de um phishing interno.

Segundo o The Hack, a falha foi descoberta pelo pesquisador brasileiro Boot Santos. O pesquisador deixa claro que a vulnerabilidade não afeta os controles críticos da aeronave. O LATAM Play está disponível para todas as classes de voo da companhia: ele oferece conteúdos multimídia para serem consumidos por passageiros em notebooks ou celular via aplicativo.

O problema, segundo Boot Santos, está no servidor responsável por controlar a estrutura, que pode ser invadido sem dificuldade. Depois do acesso, basta ao criminoso corromper o arquivo APK oferecido para ser instalado nos celulares e, dessa maneira, infectar todos os smartphones de interessados com malware. A partir disso, a agente malicioso poderia continuar roubando informações mesmo após o final do voo — tudo por meio de uma interface simulada pelo atacante.

De acordo com o Santos, o serviço “Wi-Fi a bordo” — permite a compra de pacote de internet dentro de aviões — também é vulnerável: ela permite que o atacante aplique golpes de phishing para enganar os clientes, gerando um falso formulário de compra para roubar tudo o que eles escrevem. Ou seja, desde dados pessoais até bancários podem ser levados caso um interessado caia no golpe.

O The Hack procurou a LATAM sobre o caso. A empresa afirmou que não há registros de abuso e que uma solução já está sendo desenvolvida para consertar a brecha, mas não estabeleceu um prazo para a atualização dos sistemas.

“O sistema de entretenimento de bordo da LATAM, o LATAM Play, é utilizado desde 2014 nas aeronaves narrow body (de corredor único), que fazem voos domésticos e entre países da América do Sul. Neste período, não houve registro de qualquer tipo de má utilização relacionada ao aplicativo. LATAM e seus fornecedores, Zodiac Inflight Innovation e Gogo, realizam constantemente testes para identificar problemas de segurança, aprimorar o sistema e melhorar a experiência dos clientes. No caso apontado, a solução já está em desenvolvimento e será implementada em toda a frota.

A companhia assegura que o aplicativo LATAM Play está restrito apenas ao sistema de entretenimento a bordo e não compromete de nenhuma maneira a segurança dos voos e nem os sistemas do avião. O LATAM Play tem a mesma natureza de outros sistemas de entretenimento de bordo utilizados em companhias ao redor do mundo – é uma rede aberta. Por isso, a LATAM recomenda que os mesmos cuidados tomados pelos clientes em seu dia a dia ao acessar redes públicas de hotéis, aeroportos e restaurantes, sejam aplicados também ao acessar a rede dentro dos aviões: manter o dispositivo pessoal sempre atualizado com ferramentas e controles de segurança instalados, como antivírus e senha de alta segurança para desbloquear o dispositivo. A companhia recomenda sempre instalar softwares e aplicativos de fontes confiáveis, por exemplo, das lojas oficiais Apple Store e Google Play”.

Fonte: TecMundo

Como prevenir o vazamento de dados

A ampla utilização da internet por pessoas, empresas, organismos e governos possibilitou uma integração sem precedentes, fazendo com que as fronteiras geográficas que existem fisicamente não mais sejam relevantes diante de um atributo intrínseco às informações digitais - elas transitam praticamente livres pela rede mundial de computadores.

A violação da privacidade tem aumentado a cada dia e o vazamento de informações por meio eletrônico está cada vez mais recorrente. Especialistas se adiantam em dizer que a questão do vazamento de informações hoje em dia não é "se" irá acontecer e sim "quando" ele irá acontecer. Para isso, torna-se fundamental conhecer a nova legislação acerca do tema.

Após um longo período de preparação e debate, o Brasil passa a fazer parte do grupo de países que possuem a Lei Geral de Proteção de Dados (LGPD). Aprovada em agosto do ano passado, a Lei nº 13.709/2018 trouxe aos holofotes a questão de proteção de dados e privacidade de usuários/clientes exigindo das empresas que revejam seus processos de gerenciamento de dados.

A Lei representa um marco legal para a proteção de dados pessoais e privacidade no nosso país e traz à luz regras de como serão assegurados os direitos dos consumidores de produtos e serviços que tenham violados os seus dados por fornecedores, quer sejam pessoas físicas ou jurídicas. A nova legislação determina também os direitos e deveres das empresas em relação aos dados de seus clientes, desde endereços e meios de contato, até dados financeiros e de comportamento na internet.

Outras questões importantes da legislação incluem questionamentos de como lidar com novos casos de vazamento e quais serão as responsabilidades.

Percebe-se, na prática, que as empresas não conseguem verificar com 100% de clareza todos os canais de entrada de dados e, muito menos, todos os tratamentos que ocorrem, bem como as pessoas que manipulam os dados dentro da companhia. Sendo assim, a solução seria instaurar na empresa programas de Compliance Digital e Política de Segurança da Informação.

Desta forma, vale ressaltar, a LGPD tem exigido muito dos gestores de segurança e Tecnologia da Informação no Brasil, pois suas empresas precisam se ajustar a esta necessidade, evitando inconformidades, riscos de multas pesadas e processos judiciais. Portanto, vale lembrar, as empresas tem até agosto de 2020 para se adequarem à LGPD, o que na prática exigirá consultoria técnica, de tecnologia e jurídica.

Fonte: DefesaNet