Data Security & Governança

Soluções em Hardware & Software
LGPD CONSULTING

Serviços


Sobre


Sobre Sobre
Tão importante quanto contratar as soluções adequadas para garantir a proteção da informação da sua organização, é saber com quem você realmente pode contar. Por isso, é importante avaliar o conhecimento da empresa  a  ser contratada  e  das  equipes  especializadas no gerenciamento  de  processos que têm como foco a garantia da proteção de dados da empresa.

A DATA SECURITY, é uma empresa brasileira associada da ABES, especialista em gestão e segurança de dados e governança, gestão de redes e pode ajudá-lo tanto a escolher sua equipe interna, quanto a terceirizar, o que é hoje uma das tendências do mercado.

Cada vez mais as empresas são formadas com uma estrutura extremamente enxuta e, por este motivo, não há espaço para erros. Hoje, muitas empresas escolhem ter profissionais especialistas, que já possuem as competências necessárias, e são comprometidos com o projeto e com a forma de adequação do ponto de vista da segurança.
Além disso, a Data Security & Governance está sempre acompanhando as evoluções tecnológicas e possui conhecimento sobre como funcionam os equipamentos de última geração, levando aos clientes soluções sob medida para suas demandas em relação aos dados e redes.


Contato


  • Rua Deputado Emílio Carlos, 708 - Vila Campesina, Osasco - São Paulo, Brazil

Por quê Nós?


Por quê Nós? Por quê Nós?
A todo  o  momento, centenas  de   ataques  são   executados  às  redes  e  aos servidores  ao  redor   do  mundo. Dessa forma, a segurança de dados é um tema estratégico na gestão dos negócios e deve sempre ser levados em consideração pelos gestores da área  de  Tecnologia  da  Informação. Nenhuma empresa está livre de receber um ataque e, infelizmente, não é possível  obter  100%  de  controle  das  ameaças  à  segurança  dos dados  da  companhia. Portanto, é fundamental saber e traçar o  que  será  priorizado  na  hora  da  proteção  da  informação  para  evitar  vazamentos.

Quem precisa estar em concordância com a lei?
Se você tem um negócio de qualquer porte que lida com informações do público, sejam elas específicas ou tão simples quanto apenas um nome, é muito importante estar por dentro. De fato, toda empresa com algum tipo de cadastro de clientes ficará sujeita à LGPD. A ideia da LGPD é criar uma cultura de respeito à privacidade dos dados.


A Data Security quer ajudá-lo a entender tudo o que você precisa para saber se está no caminho certo no quesito segurança da informação, se há algo mais que você deveria olhar, e apresentar a você as melhores práticas do mercado para prevenir ataques. Será que sua empresa está preparada?

Princípios básicos da segurança da informação:

A segurança de dados ou segurança da informação não está ligada somente ao ataque cibernético de hackers, mas também ao comportamento e procedimentos que são adotados para evitar que informações e dados fiquem vulneráveis.

Existem quatro princípios básicos:

Confidencialidade
Autenticidade
Integridade


Disponibilidades cncias necessárias, comprometidos com o projeto e com a forma de atuação do ponto de vista da segurança. Um trabalho profissional reduz custos e evita vazamentos que podem ser fatais.

LGPD

Sancionada em 2018 e com previsão para entrar em vigor em agosto do próximo ano, muitas organizações ainda estão se adaptando e apresentam dúvidas sobre a Lei Geral de Proteção de Dados (LGPD). Com o objetivo de equiparar o Brasil aos demais países que apresentam leis específicas para a proteção de dados pessoais, a lei estabelece regras que devem ser adotadas pelas organizações para garantir a privacidade e segurança da informação de seus usuários.

A novidade tem sido vista como algo promissor e desafiador ao mesmo, uma vez que o documento oficial não determina ferramentas e processos exatos para sua adoção, apenas os requerimentos que precisam ser atendidos.

O que é a Lei Geral de Proteção de Dados?

A Lei Geral de Proteção de Dados (LGPD) estabelece regras e normas para as organizações que coletam, usam e compartilham informações pessoais de cidadãos brasileiros.
Baseada no Regulamento Geral sobre Proteção de Dados (RGPD) da União Europeia, a lei oferece instrumentos claros para que a população controle e questione a forma como organizações coletam e usam suas informações. Assim, ela direciona a forma como os dados da população brasileira podem ser coletados, armazenados, tratados e compartilhados, principalmente em canais digitais, como redes sociais, empresas aplicações de software. Para isso, a LGPD estabelece diretrizes e normas que devem ser adotadas pelas organizações, bem como sanções legais para a punição de transgressões.

O direito à privacidade é um movimento global

Engana-se quem acredita que a LGPD é mais uma lei que "não vai pegar". Esse é um movimento global, talvez iniciado (ou aquecido) pelo escândalo de dados do Facebook–Cambridge Analytics, que envolveu a coleta de informações de dados identificáveis de 87 milhões de usuários. A LGPD acompanha algumas das melhores práticas da lei européia, a GDPR, que entrou em vigor em 25 de maio de 2018. Na Europa ela impõe multas pesadas em caso de não cumprimento da legislação [20 milhões de Euros ou 4% da receita anual]. Pode-se dizer que a LGPD aprofunda um tópico muito importante da Constituição Federal, que é o direito à intimidade.

O inciso X do artigo 5º dispõe que:
  • X – são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação.

Materiais relacionados

A equipe da Pluga responsável pela adequação à LGPD semanalmente lê artigos, escuta podcasts e participa de eventos sobre o tema proteção de dados. Não poderíamos deixar de compartilhar alguns materiais, para fins de estudo.



ISO 27001 imposes various data protection, privacy and security testing requirements on all companies that must adhere to it. Holistic visibility and inventory of digital assets, web and mobile application security are an indispensable part of ISO 27001 compliance process:

A.7.1.1 Inventory of assets
“All assets shall be clearly identified and an inventory of all important assets drawn up and maintained.”

A.12.6.1 Control of technical vulnerabilities
“Timely information about technical vulnerabilities of information systems being used shall be obtained, the organization's exposure to such vulnerabilities evaluated, and appropriate measures taken to address the associated risk.”

A.15.2.2 Technical compliance checking
“Information systems shall be regularly checked for compliance with security implementation standards”


ISO 27001 na Contabilidade: Escritório de contabilidade deveriam pensar na ISO 27001 e não apenas na LGPD!

A ISO 27001 pode auxiliar escritórios de contabilidade a garantir segurança das informações além da LGPD.

A lei geral de proteção de dados (LGPD) entrará em vigor em agosto de 2020 e tem causado uma movimentação no mercado pela busca por soluções de proteção da informação e garantindo que as empresas estejam em conformidade com lei. Mas isso basta para ter segurança das informações em um escritório de contabilidade? Vamos entender como a ISO 27001 pode auxiliar nessa proteção.

A ISO 27001 na contabilidade pode auxiliar escritórios a garantir segurança das informações além da LGPD.
A lei geral de proteção de dados (LGPD) entrará em vigor em agosto de 2020 e tem causado uma movimentação no mercado pela busca por soluções de proteção da informação e garantindo que as empresas estejam em conformidade com lei. Mas isso basta para ter segurança das informações em um escritório de contabilidade? Vamos entender como a ISO 27001 na contabilidade pode auxiliar nessa proteção.
A lei, realmente traz uma nova cultura para nosso país e para todos os ramos de atividades que utilizam dados pessoais, ou seja, praticamente 100% das empresas. Esse é um grande ganho para todos, tanto para a empresa quanto o proprietário da informação (em geral os consumidores que fornecem seus dados pessoais).
Mas o que gostaria de falar vai um pouco além dessa obrigação legal, vai além de atender uma legislação para não levar multa. Gostaria de falar sobre garantia do negócio quanto à perda de informação, seja ela de relativa a dados pessoais ou importante para operação de uma empresa.
Vamos pensar em um escritório de contabilidade que tem diversas atribuições para pessoas físicas e jurídicas. Quais são as informações que transitam na operação de um escritório de contabilidade? Dados pessoais atrelados às empresas como todas as informações pessoais de sócio, colaboradores, financeiras incluindo dados bancários. Informações que devem ser protegidas de acordo com a LGPD, mas e as informações jurídicas?
E todas a informações de faturamento, dados cadastrais, senhas, assinaturas digitais, impostos governamentais que se vazarem podem gerar riscos de fraude gigantescos e acabar com a operação do escritório, a marca e gerar prejuízo financeiro e até mesmo a falência da organização?
Por isso temos que ir além da LGPD, precisamos pensar em uma solução global para garantir a segurança da informação de toda empresa. Que traga a visão de gerenciamento de risco permeando todos os processos do escritório de contabilidade e assim garantindo sua operação livre de risco de vazamento de informação.
Mas se não temos uma lei que nos obriga a realizar toda essa proteção qual a melhor forma de gerenciar as informações no escritório? Podemos classificar em três grandes grupos de risco:

  • Riscos físicos,
  • Riscos oriundos do comportamento humano e;
  • Riscos digitais.
Vamos detalhar um pouco mais cada um dos riscos e pensar como pode afetar o escritório de contabilidade.
Os riscos físicos afetam diretamente a continuidade do negócio, isso quer dizer, que um dano físico com grande proporção pode parar completamente a operação, levando à falência. Podemos pensar em situações extrema como catástrofe ambiental (inundações, terremoto, furacões, queimadas, entre outros acidentes ambientais). Para gerir esse risco ter um sistema de backup em nuvem, ou servidores em locais extremante protegidos é uma boa solução.
Existem aqueles riscos mais prováveis como a queda de energia, perda de rede de telecomunicações e comprometimento da conexão com a internet, e no momento do pico de energia a queima de equipamentos, que não utilizam backup tendo como consequência a perda de informação contida naquele equipamento. Esse é um exemplo muito simples e bastante factível e que pode afetar a integridade das informações do escritório de contabilidade. Informações de clientes podem ser comprometidas e afetando diretamente a qualidade do serviço do escritório que não atenderá a necessidade do cliente.

Os riscos de comportamento humanos são aquele que estão atrelados ao mal uso da informação comprometendo a confidencialidade. Uma série de atividades cotidianas que não são naturalmente vistas como risco, mas são riscos sim, como por exemplo: computador aberto em local público com informações disponível, acesso à redes públicas e desprotegida (de hotéis, shopping, aeroporto e tantas outras). O risco de roubo de celulares, notebook ou tablets que são utilizados para acessar informação da empresa. Isso pode acontecer quando mantemos os equipamentos no automóvel ou em bolsas em locais públicos.
Esses riscos são os mais difíceis de serem controlados, já que depende de seres humanos e não simplesmente da instalação de uma ferramenta de proteção. Por isso o treinamento contínuo e a evidência da importância da participação de todos é crucial para minimizá-lo.

E os riscos digitais são aqueles ligados aos sistemas utilizados, bancos de dados, redes e conexões entre outros. E para eles uma série de ações de segurança podem e devem ser realizadas para garantir que não ocorra vazamento de informações do escritório e além de prejudicar o escritório podendo levar a crimes contra seus clientes. Algumas dessas ações incluem o gerenciamento de acesso, sistemas de criptografia, proteção contra vírus, conexões seguras, qualificação de fornecedor de software garantindo que eles tenham proteção adequada.

Esse conjunto de ações levará à um sistema de segurança de informação que garanta a integridade, confidencialidade e acessibilidade de informações e dessa maneira a continuidade do negócio. Assim se inicia um gerenciamento de riscos à segurança da informação no escritório, mas seguir padrões internacionais de segurança pode ser ainda mais eficiente. A ISO 27001 é reconhecida mundialmente e apresenta um método de determinar, gerir e eliminar o risco. Num sistema de planejamento e avaliação, plano de ação, monitoramento adequado para sempre aumentar a eficiência do sistema implementado. Dessa forma é possível entender como a LGPD atende um pequeno pedaço da operação dos escritórios e não garante 100% de segurança. De maneira complementar, ter ações de proteção de dados pessoais e dados gerais do escritório elevará o padrão de segurança e o gerenciamento de risco da empresa garantindo a continuidade das atividades sem envolvimento processual e crimes cibernéticos.





LGPD


LGPD LGPD
LGPD: PMEs não se escorem no atraso da Autoridade de Dados


Depois de aprovada em 2018 e prevista para entrar em vigor no dia 14 de agosto deste ano, a Lei Geral de Proteção de Dados (LGPD) passou, de fato, a vigorar no Brasil em setembro. Ao site da Abranet, o coordenador da área de compliance e contencioso estratégico de São Paulo no GVM Advogados, Diego Martinez, respondeu algumas questões, explicando principalmente como as PMEs devem se adequar.

Confira abaixo as respostas.

A LGPD entrou em vigor no Brasil em setembro, mas as punições e multas previstas serão aplicadas a partir de agosto de 2021. As multas poderão ser retroativas? O que isto significa efetivamente para as empresas?

Diego Martinez — As multas não podem retroagir e somente deverão ser aplicadas a partir de agosto de 2021 pela ANPD. Todavia, existem outros órgãos, como por exemplo, Ministério Público e Procon, que estão atentos às determinações e às diretrizes da LGPD e que podem atuar defendendo os interesses dos titulares e consumidores.

Como as empresas de menor porte, as PMEs, devem se adequar? A maioria não tem um departamento focado em compliance e nem os recursos para fazer as adaptações. O que elas têm de fazer primeiro e como traçar um plano para estar em conformidade?

A primeira etapa é assessment:

- a identificação,
- o mapeamento,
- avaliação,
- diagnóstico e o
- plano de ação e mitigação dos riscos do tratamento dos dados pessoais.

Depois, deve-se entender e avaliar todo o caminho percorrido pelos dados pessoais desde a entrada na empresa, o caminho percorrido, o ciclo de vida dos dados até o descarte ou eliminação. Deve-se verificar se todas as informações recolhidas são necessárias, se todos os dados têm finalidade clara e verificar onde estão sendo armazenados e se estão seguros e protegidos por um sistema de segurança da informação. Fazer um levantamento de como os dados são obtidos, se tem consentimento explícito e se compreendem com o que estão consentindo, por quem os dados são acessados, se a confidencialidade está garantida e se os dados estão em uso, bem como verificar se as políticas de privacidade estão de acordo com a LGPD.

Na segunda etapa, entra a implementação, a execução do plano de ação de mitigação dos riscos, o acompanhamento, a melhoria contínua e os resultados auferidos.
E, a terceira etapa, é de gestão: deve-se contratar um responsável (DPO), que fica encarregado pela comunicação entre a empresa e a ANPD e o titular dos dados;

- pela criação e gestão do canal de comunicação – Hotline;
- pela gestão do tratamento dos dados pelo controlador e operador;
- pelo treinamento de conscientização sobre a importância dos dados pessoais e o programa de privacidade;
- pelo monitoramento e melhoria contínua da adequação da LGPD à empresa; e
- pela elaboração periódica de relatórios de impacto.


Diagnóstico LGPD


Ferramentas


Ferramentas

Ferramentas:


1) Verifique se sua senha é robusta e não foi crackeada, sofreu vazamento na DeepWeb ou vazou de grandes bases de dados.

2) Verifique se seu e-mail consta na DeepWeb em vazamentos de bancos de dados, comprometendo seus dados de Login e Senha entre outros.


Como se proteger


Para se proteger de ataques ou golpes virtuais e preservar a segurança dos dados, é necessário tomar algumas precauções, listadas a seguir.


  • Não exponha seus dados pessoais em redes sociais ou em sites e plataformas não-oficiais, desconhecidas ou que aparentem insegurança;

  • Mantenha o sistema operacional atualizado;

  • Evite armazenar dados pessoais, bancários ou senhas no navegador e opte por usar gerenciadores de senhas, programas específicos para esse fim;
  • Instale um bom antivírus no seu dispositivo;

  • Redobre a atenção a e-mails que solicitam informações como nome completo, CPF e conta bancária. Verifique o remetente da mensagem para se certificar de que não se trata de um golpe de phishing. Se necessário, entre em contato com a instituição em questão;

  • Use senhas diferentes em cada site;

  • Dê preferência aos aplicativos de Internet banking em vez do acesso à conta bancária via navegador;

  • Evite a navegação em sites sem o protocolo HTTPS.