Gestão de Riscos De Dados Pessoais – Como adequar a sua empresa

A Gestão de Riscos de sua empresa está ajustada à realidade atual?

Autor: Nilton Stringasci Moreira – Especialista em Gestão de Riscos da P&B Compliance


Com o aumento significativo do número de ataques cibernéticos nos últimos anos, tem-se como vilão, um dos ataques mais temido pelas organizações atualmente, o Ransomware, que impactou grandes organizações brasileiras como a Protege, Renner, JBS, Fleury e muitas outras, tendo suas operações interrompidas por muitos dias, proporcionando prejuízos financeiros astronômicos.

Além deste tipo de ataque cibernético, como resultado da pesquisa realizada pela European Confederation of Institutes of Internal Auditors (ECIIA) em 2022, a Gestão de Riscos das organizações deverá ter como prioridade a segurança da Informação e a privacidade de dados.

Toda essa preocupação se dá, não somente pela necessidade de atender Leis locais, como no Brasil a Lei 13.709 (LGPD), mas por uma questão de imagem, do possível prejuízo causado pelos ataques que agora objetivam as informações pessoais dos cidadãos brasileiros que constam em base de dados.

Como parte do processo de adequação de sua empresa para atender a esta Lei, tem-se a Gestão de Riscos como um importante instrumento de diagnóstico, para saber os riscos que a empresa está exposta e o que é necessário fazer para diminuir o grau de exposição, fortalecendo os controles.

 

Ciberataques e os dados pessoais

Uma das maiores preocupações dos executivos das Organizações responsáveis é a de serem atacadas e terem os dados pessoais, que estão sob sua custódia, copiados e usados para a realização de fraudes. O artigo 52 da Lei 13.709 determina que:

“Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;”

Assim sendo, o DPO (Data Protection Officer), profissional responsável pelo tratamento de dados da empresa e responsável pela proteção dos dados pessoais, deve atuar preventivamente e estrategicamente para poder proteger os dados pessoais e dados pessoais sensíveis de possa da empresa. A sua relação com a área de Segurança da Informação deve ser total, uma vez que tal área, possui o know how para proteger as demais informações de negócios como projetos estratégicos, informações de marketing, financeiras, entre outras, e pode contribuir com estratégias e ferramentas úteis no monitoramento e na proteção dessas informações.

Dados pessoais em risco

O OWASP, uma entidade sem fins lucrativos, com reconhecimento internacional e que atua com foco na colaboração para o fortalecimento da segurança de softwares em todo o mundo, publica todos os anos, uma lista com os tipos de falhas e ataques mais frequentes do ano anterior. Usuários de segurança da informação do mundo inteiro acompanha de perto essa lista, uma vez que ela retrata os fatos ocorridos no ano em questão.

Neste ano, foi publicada uma lista com as falhas e ataques mais frequentes no ano de 2021 (https://owasp.org/Top10/pt_BR/), classificada pelo volume de ocorrências. São eles:

  • A01:2021-Quebra de Controle de Acesso
  • A02:2021-Falhas Criptográficas
  • A03:2021-Injeção (SQL Injection)
  • A04:2021-Design Inseguro
  • A05:2021-Configuração Incorreta de Segurança
  • A06:2021-Componente Desatualizado e Vulnerável
  • A07:2021-Falha de Identificação e Autenticação
  • A08:2021-Falha na Integridade de Dados e Software
  • A09:2021-Monitoramento de Falhas e Registros de Segurança
  • A10:2021-Falsificação de Solicitação do Lado do Servidor

 

Pode-se notar que, grande parte dos ataques realizados no ano de 2021, tiveram como alvo direta ou indiretamente as aplicações Web das Organizações, o que reforça a tese de que uma Gestão de Riscos mais efetiva precisa dar foco neste tema.

 

Aplicações Web como alvo de Ataques

Atualmente, muitas empresas possuem aplicações acessíveis pela Web, hospedadas em nuvem, por exemplo, para desburocratizar e facilitar o acesso. Em ataques que possuem como alvo tais aplicações, caso tenham êxito, o atacante consegue obter os dados armazenados em banco de dados, mesmo sem ter uma conta de usuário criada em seu nome, por exemplo.

Por essa razão, o objetivo de obter acesso aos dados de cidadãos ficou mais facilitada, uma vez que as aplicações que armazenam tais informações e o ambiente que a hospeda, em geral, estão vulneráveis aos diversos ataques apresentados a seguir.

As falhas e ataques mais comuns que tiveram como alvo as aplicações WEB, de acordo com a última pesquisa OWASP, foram:

  • A03:2021-Injeção (SQL Injection)
  • A04:2021-Design Inseguro
  • A06:2021-Componente Desatualizado e Vulnerável
  • A07:2021-Falha de Identificação e Autenticação
  • A08:2021-Falha na Integridade de Dados e Software

A seguir, detalharemos tais falhas mais comuns encontradas em ambientes tecnológicos com aplicações Web existentes e que, por existirem nestes ambientes, expõem os dados pessoais e os dados pessoais sensíveis armazenados.

 

A03:2021-Injeção (SQL Injection)

O SQL Injection é uma falha encontrada em uma aplicação, e que possibilita a manipulação de consultas ao banco de dados (SQL), utilizada internamente na aplicação para acessar os dados. Isso é perfeitamente possível de se fazer, diretamente em um formulário de cadastro que está na própria aplicação.

Uma aplicação é vulnerável a este tipo de ataque quando:

  • Os dados fornecidos pelo usuário não são validados, filtrados ou higienizados pela aplicação;
  • Consultas dinâmicas ou chamadas não parametrizadas são usadas diretamente no interpretador;
  • Dados hostis são usados diretamente ou concatenados.

 

A04:2021-Design Inseguro

O design inseguro é uma categoria ampla que representa diferentes pontos fracos, expressos como “design de controle ausente ou ineficaz”.

Há uma diferença entre design inseguro e implementação insegura, pois têm diferentes causas raízes e remediação. Um design seguro pode ter falhas de implementação que levam a vulnerabilidades que podem ser exploradas.

Um design inseguro não pode ser corrigido por uma implementação perfeita, pois, por definição, os controles de segurança necessários nunca foram criados para a defesa contra ataques específicos.

 

A06:2021 – Componentes Vulneráveis e Desatualizados

Cada organização deve garantir um plano contínuo de monitoramento, triagem e atualizações ou alterações de configuração durante a vida útil da aplicação.

Exemplos de vulnerabilidades dessa natureza:

  • Se você não souber as versões de todos os componentes que usa (tanto do lado do cliente quanto do lado do servidor). Isso inclui componentes que você usa diretamente, bem como dependências aninhadas.
  • Se o software for vulnerável, sem suporte ou desatualizado. Isso inclui o sistema operacional, servidor web/application, sistema de gerenciamento de banco de dados (DBMS), aplicações, APIs e todos os componentes, ambientes de tempo de execução e bibliotecas.
  • Se você não faz a varredura de vulnerabilidades regularmente e não assina os boletins de segurança relacionados aos componentes que você usa.
  • Se você não corrigir ou atualizar a plataforma, as estruturas e as dependências subjacentes de maneira oportuna e baseada em Isso geralmente acontece em ambientes em que a correção é uma tarefa mensal ou trimestral sob controle de alterações, deixando as organizações abertas a dias ou meses de exposição desnecessária a vulnerabilidades corrigidas.
  • Se os desenvolvedores de software não testarem a compatibilidade de bibliotecas atualizadas, atualizações ou com patches.
  • Se você não proteger as configurações dos componentes

 

A07:2021-Falha de Identificação e Autenticação

Se as aplicações não realizam o registro dos acessos realizados, as violações podem ocorrer e não serão detectadas. Tanto o registro, a detecção, o monitoramento e resposta ativa devem estar ativos, para evitar que falhas como as listadas a seguir existam no ambiente. São elas:

  • Eventos auditáveis, como logins, logins com falha e transações de alto valor, não serem registrados.
  • Avisos e erros geram mensagens de log inadequadas ou pouco claras.
  • Os logs de aplicativos e APIs não serem monitorados quanto a atividades suspeitas.
  • Os logs são armazenados apenas localmente.
  • Alertas e processos de escalação de resposta não estarem implantados ou não serem eficazes.
  • Testes de penetração e varreduras por ferramentas de teste de segurança não serem realizados.

 

A08:2021-Falha na Integridade de Dados e Software

As falhas de integridade de software e dados estão relacionadas a código e infraestrutura que não protegem contra violações de integridade.

Um exemplo disso é quando um aplicativo depende de plugins, bibliotecas ou módulos de fontes não confiáveis.

Por fim, muitas aplicações incluem a funcionalidade de atualização automática, em que as atualizações são baixadas sem verificação de integridade suficiente e aplicadas ao aplicativo anteriormente confiável.

Os invasores podem fazer upload de suas próprias atualizações para serem distribuídas e executadas em todas as instalações.

Sem um processo de configuração de segurança de aplicações que seja integrado e repetível, os sistemas correm um risco maior.

 

Diante de todo esse cenário, recomenda-se o tratamento deste assunto de forma planejada e que ações efetivas sejam estruturadas para que o risco do vazamento de dados pessoais e dados pessoais sensíveis armazenados em banco de dados seja evitada.

A norma ABNT NBR ISO 27002 aborda o assunto e possui diversas recomendações que devem ser seguidas, para que tais falhas citadas possam ser corrigidas e os ataques serem impedidos.

Ciclo de vida de desenvolvimento seguro

O desenvolvimento seguro é um requisito para construir serviço, arquitetura, software e sistema seguros e deve ser implementado em todas as organizações que desenvolvem software internamente.

Para isso, convém que sejam considerados os seguintes aspectos:

  1. separação dos ambientes de desenvolvimento, teste e produção;
  2. orientação sobre a segurança no ciclo de vida do desenvolvimento de software;
  3. requisitos de segurança na fase de especificação e design;
  4. pontos de verificação de segurança em projetos;
  5. testes de sistema e segurança, como testes de regressão, verificação de código e testes de penetração;
  6. repositórios seguros para código-fonte e configuração;
  7. segurança no controle de versão;
  8. conhecimento e treinamento necessários de segurança de aplicativos;
  9. capacidade dos desenvolvedores para prevenir, encontrar e corrigir vulnerabilidades;
  10. requisitos e alternativas de licenciamento para assegurar soluções econômicas, evitando futuros problemas de licenciamento.

 

Em síntese, recomenda-se para todas as empresas que desenvolvem sistemas internamente, que passem a adotar as boas práticas de desenvolvimento seguro, incluindo testes de vulnerabilidades em suas aplicações, frequentemente, de forma a aumentar o nível de segurança destas aplicações, principalmente para as aplicações que armazenam dados pessoais e/ou dados pessoais sensíveis.

Adotando tal prática, além de estar em conformidade com boas práticas internacionais de desenvolvimento seguro, a sua gestão de riscos estará criando valor para o negócio, por evitar que dados sensíveis em sua custódia sejam comprometidos, preservando assim a sua imagem e reputação de uma organização responsável, que protege suas informações e a de seus clientes.


Referências

Information Technology – Security Techniques – Information security management systems – Requirements – ISO IEC 27001:2022

European Confederation of Institutes of Internal Auditors (ECIIA) –

https://www.eciia.eu/wp-content/uploads/2020/09/100242-RISK-IN-FOCUS- 2021-52PP-ECIIA-Online-V2.pdf

LEI Nº 13.709, DE 14 DE AGOSTO DE 2018

BRASIL. Decreto Lei nº 13.709, de 14 de agosto de 2018. Dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco         Civil    da                 Internet),      Brasília,       DF,             agosto                 2018.     Disponível em:<http://www.planalto.gov.br/ccivil_03/_Ato2015- 2018/2018/Lei/L13709.htm>. Acesso em 31 mar 2022.

OWASP (Open Web Application Security Project)

https://owasp.org/www-project-top-ten/

 

Compartilhe essa publicação

Você também pode gostar

P&B e DPO-ONE

P&B Compliance e DPO-One unem forças para oferecer ferramentas de Compliance de primeira linha para o mercado brasileiro A P&B Compliance é uma consultoria brasileira conectada à transformação digital que

Congresso de Compliance

Estamos felizes em anunciar que a P&B Compliance é patrocinadora do VI Congresso de Compliance da OAB São Paulo. Teremos dois dias de muito conteúdo, interações e networking.Então, se você

plugins premium WordPress