É registrada a primeira morte associada a um ataque de ransomware

As principais notícias da semana

Se por um lado, por mais prejudiciais que sejam, ciberataques nunca foram considerados violentos por não apresentarem risco real à vida dos usuários, por outro essa realidade parece estar mudando.

Na Alemanha, registrou-se a primeira morte associada a um ataque de ransomware, que pode ser tratada como assassinato. Seria a abertura de um capítulo completamente novo na história da cibersegurança.

Enquanto isso, ataques de ransomware menos nocivos, mas ainda preocupantes, crescem no setor da Educação, e o Google se mobiliza para auxiliar vítimas a se prevenirem de malwares.

O que você vai ler hoje:

Ataques de ransomware são um desafio para universidades ao redor do mundo

O número de ataques de ransomware a universidades tem aumentado vertiginosamente desde o começo do ano, forçando as instituições acadêmicas a se manterem atualizadas sobre as melhores soluções de segurança para garantir que suas redes sejam resistentes o suficiente para prevenir e combater estes ataques, casos eles ocorram.

Recentemente, o Reino Unido emitiu um alerta às instituições de ensino ao redor do mundo, após equipes de segurança nacional observarem um aumento preocupante de ataques de ransomware a universidades em agosto.

Em alguns desses casos, os hackers não só exigiram um resgate significativo das vítimas, que deveria ser pago em bitcoin, mas também ameaçaram vazar dados pessoais roubados de seus alunos se o pagamento não fosse realizado.

Alguns dos vetores de infecção de ataque mais comuns incluem Protocolos de Desktop Remoto (RDP), e-mails de phishing e software e hardware vulneráveis ​​devido à falta de patches de segurança.

Por isso, a mitigação contra ataques de ransomware que as universidades estão sendo instadas a adotar incluem um gerenciamento completo de vulnerabilidades e patching nos softwares utilizados para ensino, proteção de serviços RDP com autenticação multifator, instalação de softwares antivírus e garantia de que funcionários e alunos estejam cientes dos riscos inerentes aos e-mails de phishing.

Também é recomendado que as universidades tenham backups offline atualizados e testados, de modo que, se os sistemas forem criptografados por um ataque de ransomware, eles possam ser restaurados sem que seja necessário pagar resgate a criminosos cibernéticos.

Ainda na Educação, segurança de endpoints é principal fator de risco

A crescente lacuna nas estratégias de segurança cibernética da educação hoje é mais grave na segurança de endpoints.

Visibilidade limitada dos dispositivos, picos de gerenciamento remoto e uso de aplicativos colaborativos, bem como atrasos na correção de vulnerabilidades críticas, estão colocando alunos e funcionários em risco elevado.

Esses e muitos outros insights são do Absolute Software's Distance Learning's Impact on Education IT Report, publicado esta semana. O relatório é baseado em dados anônimos de milhões de dispositivos ativos em aproximadamente 10.000 escolas.

De acordo com o relatório, o uso de aplicativos de gerenciamento remoto e colaboração em escolas de ensino fundamental e médio aumentou 87% e 141%, respectivamente, entre janeiro e maio de 2020.

A pesquisa também revela que 41% das equipes de TI das escolas disseram que rastrear dispositivos perdidos é um desafio significativo e, desde janeiro, houve um aumento de 205% no número de novos dispositivos conectados pela primeira vez à Internet, à medida que as escolas aumentaram seu inventário para dar suporte ao ensino à distância em 2020.

Além disso, a lacuna cada vez maior na segurança de endpoint, impulsionada pela rápida transformação digital que está acontecendo na educação hoje, coloca os professores na posição de helpdesk com muita frequência.

90% dos professores relatam que passam mais tempo resolvendo problemas de tecnologia e 7 em cada 10 estão tendo que sacrificar o tempo de ensino para resolver problemas técnicos.

Todos esses pontos poderiam ser evitados, ou minimizados, com melhores estratégias de segurança para endpoint a nível de dispositivo.

O Google agora escaneia arquivos suspeitos para você

O Google adicionou um novo recurso hoje ao APP, seu programa de segurança destinado a usuários de alto risco, como jornalistas, organizações políticas e ativistas.

A partir de hoje, os usuários do APP que navegam na web com o Chrome podem enviar arquivos suspeitos recém-baixados para os servidores do Google e fazer a varredura em busca de malware.

O recurso é a adição mais recente ao Programa de Proteção Avançada do Google, que vem evoluindo conforme mais e mais nos tornamos dependentes de auxílios para identificação e controle de ameaças antes de que elas, de fato, ocorram.

Com isso em mente, a partir do ano passado, o Google começou a mostrar avisos aos usuários do APP quando eles baixavam arquivos que pareciam ser maliciosos usando o Chrome.

Já essa semana, o Google disse que atualizou este aviso para adicionar uma opção que permite que os usuários do APP façam o upload do arquivo baixado para os servidores do Google, a fim de que ele seja verificado pelo Google Safe Browsing, usando suas técnicas internas de análise estática e dinâmica.

O novo recurso é ideal para usuários que não têm dinheiro para comprar um programa antivírus, como ativistas com baixa renda ou que vivem em países sancionados nos EUA, onde alguns fornecedores de segurança podem não estar presentes.

E para que os usuários do APP aproveitem as vantagens desse novo recurso, basta usarem o Chrome como seu navegador e fazer login com sua conta do Google protegida pelo APP.

Primeira morte associada à ransomware é registrada na Alemanha

As autoridades alemãs estão investigando a morte de um paciente após um ataque de ransomware a um hospital em Duesseldorf.

Identificada apenas como uma mulher que precisava de atendimento médico urgente, a paciente morreu após ter sido redirecionada para um hospital na cidade de Wuppertal, a mais de 30km de seu destino inicial, o Hospital Universitário de Duesseldorf, onde seria recebida pelo pronto-socorro.

Porém, o hospital que originalmente a receberia estava lidando com um ataque de ransomware que atingiu sua rede e infectou mais de 30 servidores internos no dia 10 de setembro, impossibilitando-o de recebê-la.

O incidente marca a primeira morte humana relatada indiretamente causada por um ataque de ransomware.

O caso está sendo investigada pelas autoridades alemãs. Se o ataque de ransomware e o tempo de inatividade do hospital forem considerados culpados pela morte da mulher, a polícia alemã disse que planeja transformar sua investigação em um caso de assassinato.

De acordo com a agência de notícias alemã RTL, a gangue de ransomware responsável pelo ataque retirou seu pedido de resgate depois que a polícia alemã entrou em contato. O hospital já recebeu uma descriptografia e está restaurando seus sistemas.

Um dia antes, o BSI havia emitido um aviso inesperado, pedindo às empresas alemãs que atualizassem seus gateways de rede Citrix para a vulnerabilidade CVE-2019-19871, um conhecido ponto de entrada para cibercriminosos.

A Associated Press também informou hoje que todo o ataque de ransomware à rede do hospital parece ter sido um acidente, com a nota de resgate sendo dirigida à universidade local (Duesseldorf Heinrich Heine University), e não ao hospital, que era apenas parte da rede maior.

Ou seja, um efeito colateral, que acabou chegando longe demais.

Saiba como manter sua empresa protegida de ameaças. Consulte a assessoria de especialistas da Compugraf.

Read more
No Comments

Empresas acreditam estar mais protegidas do que de fato estão

Equipes de TI alegam implementar processos maduros de detecção e correção de vulnerabilidades; porém, tudo indica que a maioria está apenas no estágio inicial de proteção.

Empresas acreditam estar mais protegidas do que de fato estão

O nível de vulnerabilidade da sua empresa muito provavelmente é pior do que você imagina.

De acordo com um estudo divulgado recentemente pela empresa de remediação de cibersegurança Vulcan Cyber, 84% dos mais de 100 líderes de TI e segurança entrevistados acreditam que seu programa de remediação de vulnerabilidades é maduro, isto é, que suas soluções de cibersegurança protegem efetivamente todas as superfícies de ataque das empresas para as quais prestam serviços.

No entanto, ao responder à pesquisa, apenas alguns aspectos da malha de segurança das empresas se aproximavam da maturidade, com outras áreas da rede de remediação sendo muito menos completas do que deveriam.

De acordo com o CEO e cofundador da Vulcan Cyber, Yaniv Bar-Dayan, um processo maduro de remediação de vulnerabilidade inclui três etapas críticas:

O primeiro é ser capaz de detectar uma vulnerabilidade; o segundo é a capacidade de determinar a correção para a vulnerabilidade e o terceiro é ser capaz de realmente consertá-la.

Bar-Dayan, que conduziu o estudo junto a seu time de especialistas, disse que a maioria dos respondentes da pesquisa se concentrava na varredura das vulnerabilidades, que é uma parte importante de um processo de detecção e correção de vulnerabilidade maduro, mas está longe de ser o suficiente.

“Você pode, por exemplo, encontrar uma versão antiga de um banco de dados, as vulnerabilidades são públicas”, disse ele, e essa seria a primeira parte do processo.

Mas a vulnerabilidade pode não ser corrigida imediatamente. “O processo de correção (patch) é difícil.” Além disso, considerando que uma vulnerabilidade ignorada pode ser a abertura que cibercriminosos precisavam para invadir sua rede corporativa, a prevenção vai muito além de detectar falhas e remendá-las.

Em muitos casos, consertar uma vulnerabilidade de segurança está além da capacidade de grande parte da equipe de TI ou segurança das empresas, por isso não é corrigida.

Bar-Dayan também diz que, como a comunicação dentro da equipe de TI costuma ser ruim, o fato de uma vulnerabilidade precisar de patch pode não ser repassado para alguém que possa consertá-lo, e ela fica lá, esquecida, arriscando a integridade das redes corporativas.

2020: o pior ano de todos os tempos para a segurança cibernética

O motivo pelo qual mais e mais pesquisadores de segurança chamam a atenção ao gerenciamento de vulnerabilidades é 2020 estar se revelando o pior ano de todos os tempos para ataques cibernéticos de todos os tipos.

As razões para isso têm muito a ver com o fato de tantas empresas terem seus funcionários trabalhando de casa, onde a segurança é mais difícil de implementar, monitorar e, por conseguinte, e as vulnerabilidades são mais difíceis de encontrar e corrigir.

“99% das vulnerabilidades exploradas já terão sido conhecidas há mais de um ano quando forem violadas”, disse Bar-Dayan.

Isto é, quando um ataque ocorrer, explorando essas vulnerabilidades, não será exatamente uma surpresa para a sua equipe de TI.

O fato de que as violações estão acontecendo com vulnerabilidades conhecidas ressalta a necessidade de ir além de simplesmente encontrá-las. Elas também precisam ser analisadas e corrigidas.

“Existem mais de um milhão de vulnerabilidades em empresas de médio porte”, alerta Bar-Dayan.

Como são muitas, seu gerenciamento também deve incluir o gerenciamento de riscos para que você possa determinar quais vulnerabilidades corrigir primeiro e quais podem estar mais abaixo na lista de prioridades, e como se prevenir para que as vulnerabilidades no “backlog” não venham assombrá-los enquanto as demais são trabalhadas.

A equipe de remediação vai além da equipe de TI

A próxima etapa crítica no gerenciamento de vulnerabilidade é saber o que consertar e como consertar.

Normalmente, isso envolve a aplicação de um patch ao software que exibe o problema, mas essa remediação geralmente requer uma equipe especializada devido aos riscos associados à aplicação da correção.

Não é incomum que um patch exiba problemas próprios depois de aplicado, por exemplo. E mesmo que tudo funcione conforme planejado, ainda há o tempo de inatividade associado à aplicação de uma correção, que também pode ser cara.

“Você não pode apenas esperar que as coisas corram bem”, comenta Bar-Dayan. E, quando se trata de cibersegurança, todo cuidado é pouco.

Infelizmente, a pesquisa indicou que os últimos aspectos maduros da vulnerabilidade podem ser os mais importantes. Eles incluem remediação orquestrada ou colaborativa, um compromisso comercial com a higiene cibernética e a colaboração de todos os funcionários da empresa.

Para isso, além da necessidade de soluções completas, integradas e automatizadas, que vão facilitar o trabalho dos profissionais de TI, é fundamental que executivos e diretores se comprometam em oferecer treinamentos frequentes aos colaboradores a respeito dos riscos da cibersegurança.

Mantê-los bem informados, por dentro do atual cenário da segurança, também é uma forma de educá-los.

Já o desafio para as equipes de TI e segurança é superar a ideia de que a simples verificação de vulnerabilidades é suficiente.

Embora seja uma parte importante do processo de segurança, é apenas o primeiro passo de todo um processo preventivo. Também deve haver a capacidade de encontrar a correção certa para a empresa e, em seguida, aplicá-la, de fato.

“A digitalização e priorização de vulnerabilidades são funções essenciais, mas são o mínimo – não o que constitui um programa maduro”, disse Bar-Dayan. “Mudar isso requer que as organizações atualizem e automatizem seus processos de remediação.”

Nesse cenário, contar com a ajuda de especialistas, que auxiliem na estruturação de uma rede completa de segurança e apoiem as equipes de TI, muita vezes sem o braço ou o conhecimento necessário para remediação das vulnerabilidades, é imprescindível.

Entre em contato com a assessoria de especialistas da Compugraf e saiba como podemos ajudar sua empresa a estar, de fato, protegida no pior ano da história de ataques cibernéticos.

Read more
No Comments

Dispositivos de colaboradores em home office são a superfície de ataque mais vulnerável das empresas, atualmente

Alguns pontos que nos ajudam a concluir isso:

  • O crescimento vertiginoso do trabalho remoto está tornando a segurança de endpoints uma urgência para todas as organizações.
  • Estratégias de implantação que priorizam a nuvem (cloud-first solutions) dominam as inovações do Hype Cycle for Endpoint Security da Gartner este ano.
  • Soluções de Zero Trust Security (ZTNA) estão ganhando adesão em empresas que já perceberam que a identidade de seus colaboradores é o novo perímetro de segurança de seus negócios.
  • Em 2024, pelo menos 40% das empresas terão elaborado estratégias para adoção do Secure Access Service Edge (SASE), contrapondo a estatística de menos de 1% de adesão no final do ano de 2018.

Esses e muitos outros novos insights são do Gartner Hype Cycle for Endpoint Security de 2020, ecoado no recente anúncio, também da Gartner, de que desdobramento da modalidade BYOD (bring your own device) transformará a segurança das empresas nos próximos cinco anos.

A definição de Hype Cycles (ciclo de tendências) da Gartner é composta por cinco fases do ciclo de vida de uma tecnologia e determina para onde os holofotes da cibersegurança estarão voltados ao longo dos próximos meses e/ou anos.

Existem 20 tecnologias no Hype Cycle for Endpoint Security deste ano. A proliferação de ataques a endpoints, o crescimento acelerado do trabalho remoto, a “pandemia do ransomware” e os frequentes ataques de phishing estão, como contrapartida ao prejuízo provocado pelo cibercrime, criando novas oportunidades para pesquisadores e fornecedores do ramo de cibersegurança acelerarem, também, inovações para prevenção e combate a ameaças.

Nesse cenário, a nuvem se tornou a plataforma preferida das organizações que adotam medidas de segurança de endpoint, conforme evidenciado pelas muitas referências do Hype Cycle a estratégias de implantação cloud-first.

O gráfico abaixo ilustra essa tendência:

Fonte: https://www.gartner.com/en/newsroom/press-releases/2020-08-26-gartner-says-bring-your-own-pc-security-will-transfor

O que há de novo nas soluções de segurança para endpoint e o que esperar para os próximos anos

A seguir, compartilhamos os principais assuntos com os quais sua empresa deve se preocupar nos próximos meses:

Colaboradores trabalhando de seus dispositivos pessoais são a superfície de ataque mais vulnerável das empresas

Cinco tecnologias estão no Hype Cycle pela primeira vez, reflexo do aceleramento provocado pelo trabalho remoto e a severidade e sofisticação dos ataques a endpoints.

São elas:

  • Unified Endpoint Security
  • Extended Detection and Response
  • Business E-Mail Compromise Protection
  • BYOPC Security
  • Secure Access Service Edge (SASE)

Durante todo o isolamento social gerado pela pandemia do novo coronavírus, diversas organizações ao redor do mundo têm lutando para equipar suas forças de trabalho remotas com sistemas, dispositivos e smartphones corporativos. Por outro lado, muitas delas demandam que os colaboradores usem seus próprios dispositivos.

O modelo “traga o seu PC” (BYOPC, acrônimo de bring your own PC) se tornou tal via de regra que o termo vem substituindo o BYOD no Hype Cycle e pesquisas de cibersegurança afora.

O BYOPC é uma das superfícies de ameaça mais vulneráveis das empresas hoje. O número de colaboradores que acessam dados e aplicativos valiosos de seus próprios dispositivos, muitas vezes sem proteção nenhuma, será a grande preocupação dos próximos anos.

Investimento em soluções unificadas continua crescendo

Detecção e resposta estendidas (Extended detection and response, ou XDR) está no Hype Cycle pela primeira vez, refletindo uma tendência de consolidação dos gastos atuais com fornecedores no ramo de segurança cibernética.

A Gartner define o termo XDR como uma ferramenta de detecção e resposta de ameaças e resposta a incidentes específica de um fornecedor, que unifica vários produtos de segurança em um sistema único de operações de segurança.

A XDR e seu potencial para reduzir o custo total e a complexidade das infraestruturas de segurança cibernética na empresas é um tema constantemente debatido ao longo deste ano. Os fornecedores de XDR afirmam que seus portfólios integrados de aplicativos de detecção e resposta oferecem maior precisão e uma prevenção mais assertiva do que os sistemas autônomos.

É necessário reforçar a cerca em torno dos e-mails corporativos

A prevenção do comprometimento de e-mails corporativos (Business email compromise, ou BEC) também é figurinha inédita no Hype Cycle.

Os ataques de phishing custaram às empresas 1,8 bilhão de dólares em 2019, de acordo com o FBI, enfatizando a necessidade de melhor segurança nessa área, em específico.

E, visando justamente isso, a BEC pode ser definida como uma série de soluções que detectam e filtram e-mails maliciosos, onde criminosos se fazem passar por parceiros comerciais para desviar fundos ou dados das empresas-alvo.

Muitos desses ataques têm foco em executivos C-level, que veem suas identidades fraudadas por cibercriminosos na expectativa de desviar milhares de dólares para contas externas.

Faturas fraudulentas, aliás, foram responsáveis ​​por 39% dos ataques de phishing visando empresas em 2018, representando não só um risco interno para as organizações, mas também um risco para a reputação de seus executivos.

Dashboards unificados será o diferencial para equipes de TI

Unified Endpoint Security (UES) é outra tendência presente no Hype Cycle, e vem sendo impulsionada pela demanda das equipes de TI por um único dashboard para todos os eventos de segurança cibernética.

Sobre isso, a Gartner observa que os fornecedores de sucesso no setor de UES serão aqueles que demonstrarem ganhos de produtividade significativos na integração de segurança e operações, bem como aqueles que processarem rapidamente grandes quantidades de dados para detectar ameaças anteriormente desconhecidas.

CIOs e CISOs estão procurando uma maneira de integrar o UES e o Unified Endpoint Management (UEM), para que suas equipes possam ter um console único e abrangente em tempo real de todos os dispositivos que forneça alertas sobre quaisquer eventos de segurança.

O objetivo é ajustar as políticas de segurança em todos os dispositivos.

Integrar para conquistar: a nova ordem

Já o Unified Endpoint Management (UEM) está se expandindo rapidamente além do gerenciamento de PCs e dispositivos móveis para fornecer maiores insights de análises de endpoint e integração mais profunda no Gerenciamento de Identidade e Acesso (Identity and Access Management, ou IAM).

Os muitos benefícios do UEM, incluindo a simplificação de atualizações contínuas do sistema operacional em várias plataformas móveis, permitindo o gerenciamento de dispositivos independentemente da conexão e tendo uma arquitetura capaz de suportar uma ampla gama de dispositivos e sistemas operacionais, são o motivo pelo qual as empresas estão procurando expandir sua adoção de soluções com esse perfil.

Outro grande benefício mencionado pelas empresas é a automação de patches, políticas e gerenciamento de configurações baseados na Internet.

Além disso, os líderes da UEM se diferenciam por suas soluções de segurança adicionais integradas à plataforma UEM, incluindo autenticação multifator sem senha (Zero Sign-On) e defesa móvel contra ameaças (MTD).

O MTD, especialmente, é notório entre os clientes que precisam validar dispositivos em escala, estabelecer o contexto do usuário, verificar conexões de rede e, em seguida, detectar e corrigir ameaças. Ou seja, soluções completas, que simplifiquem a construção de uma rede de segurança com diversas camadas, serão prioridade das organizações em ascensão.

Soluções focais perdem espaço para proteções multifatoriais e unificadas

Por fim, dez tecnologias foram removidas ou substituídas no Hype Cycle porque, de acordo com a Gartner, evoluíram para recursos mais amplos ou se transformaram em ferramentas que vão além da segurança.

As dez tecnologias incluem navegadores protegidos, DLP para dispositivos móveis, detecção e resposta gerenciadas, análise de comportamento de usuários e entidades, segurança de IoT, plataformas de colaboração de conteúdo, identidade móvel, autenticação de usuário, ambientes confiáveis ​​e BYOD, que foi substituído por BYOPC.

De certo modo, o que dá para apreender dessas tendências e do novo ciclo que começamos a desbravar é uma consciência cada vez maior, por parte das empresas, a respeito das muitas camadas envolvidas na segurança de suas redes, dispositivos e colaboradores.

Por isso, é fundamental contar com parceiros que entendam dessa complexidade e assegurem que todas as superfícies de ataque estejam amparadas e protegidas.

Conte com os especialistas da Compugraf nessa missão. Entre em contato conosco e conheça nossas soluções!

Read more
No Comments

Cibercriminosos exploram vulnerabilidades de aplicativos e superfícies de ataque de Fintechs: as principais notícias da semana

Consumidores estão dispostos a ceder seus dados, desde que a sua empresa faça bom uso deles e seja transparente a respeito de sua utilização.

Fintech
f

É uma boa notícia, mas reforça a necessidade de se investir na proteção desses dados – especialmente diante de ataques crescentes que exploram vulnerabilidades básicas.

O que você vai ler hoje:

Facebook lança página para divulgar todas vulnerabilidades identificadas e corrigidas no WhatsApp

O Facebook lançou uma nova página, onde pretende listar todas as vulnerabilidades já identificadas e corrigidas no WhatsApp, seu serviço de mensagens instantâneas.

O fabricante do aplicativo publica regularmente notas de atualização nas páginas do iOS e da Google Play Store; no entanto, esses registros de alterações não fornecem descrições detalhadas dos bugs de segurança corrigidos, muitos dos quais são descritos apenas como "correções de segurança".

O Facebook alega que isso acontece "devido às políticas e práticas das lojas de aplicativos", e espera que a nova página funcione efetivamente como um changelog focado em segurança para usuários interessados.

Os detalhes que serão listados na nova página incluirão uma breve descrição do bug e um identificador de Common Vulnerabilities and Exposures (CVE), quando possível.

Os números CVE são destinados a pesquisadores de segurança que desejam rastrear bugs ou a empresas de segurança que desejam emitir alertas de segurança para seus próprios clientes.

O Facebook ainda disse que todas as vulnerabilidades listadas no site são bugs que foram corrigidos recentemente, e a nova página deve servir de exemplo e alertar porque os usuários precisam manter o aplicativo WhatsApp sempre atualizado para evitar ataques futuros.

Novo ataque direcionado a fintechs utiliza Trojan excepcionalmente desenvolvido

Uma operação de hacking direcionada a organizações de tecnologia financeira (fintechs) tem utilizado uma versão recentemente desenvolvida do malware Trojan para roubar endereços de e-mail, senhas e outras informações corporativas confidenciais.

Conhecido como Evilnum, o grupo de “ameaça persistente avançada” (Advanced Persistent Threat, ou APT) surgiu pela primeira vez em 2018. Uma das razões para seu sucesso é a frequência com que eles mudam de ferramentas e estratégia de ataque ao mirar em alvos relacionados a Fintechs, localizadas principalmente na Europa e no Reino Unido , mas com vítimas também nas Américas e na Austrália.

Nas últimas semanas, o grupo tem usado um Trojan de acesso remoto (RAT) com script Python, em uma nova onda de ataques direcionados.

Descoberto por pesquisadores de segurança cibernética, que o apelidaram de PyVil RAT, o malware permite que invasores roubem secretamente informações corporativas por meio de keylogging e capturas de tela, tendo também a capacidade de coletar informações sobre o sistema infectado – incluindo qual versão do Windows está em execução, quais produtos antivírus estão instalados e se dispositivos USB estão conectados.

Embora não esteja claro quem são os criminosos cibernéticos por trás do Evilnum, a natureza altamente direcionada dos ataques e a maneira como eles constantemente mudam suas táticas levam os pesquisadores a acreditar que se trata de uma campanha altamente profissional e com bons recursos, que representam alto risco para as fintechs ao redor do mundo.

Apple posterga a implementação das novas medidas de segurança do iOS 14 para 2021

A Apple anunciou, oficialmente, que vai postergar a implementação das novas medidas de privacidade do iOS 14 até o início de 2021, para dar aos anunciantes e editores de aplicativos móveis mais tempo para se preparar.

A mudança foi simples, mas com um enorme impacto: implementar um “opt-in” no IDFA.

O IDFA é o identificador da Apple para anunciantes. É mais comumente usado como um dashboard de resultados de marketing, mas também pode ser explorado de forma a violar a privacidade.

Portanto, no iOS 14, a Apple planeja exigir que os desenvolvedores peçam permissão para usar o IDFA toda vez que baixarem um aplicativo. Em outras palavras, é a transição do opt-out – com a maioria das pessoas nem mesmo sabendo que isso existia – para o opt-in, com todos sendo solicitados a ter permissão sempre que instalarem um aplicativo.

“No iOS 14, iPadOS 14 e tvOS 14, os aplicativos serão obrigados a receber permissão do usuário para rastrear dados em aplicativos ou sites de propriedade de outras empresas ou para acessar o identificador de publicidade do dispositivo”, anunciou a Apple em uma atualização de desenvolvedor.

“Estamos empenhados em garantir que os usuários possam escolher se permitem ou não que um aplicativo os rastreie. Para dar aos desenvolvedores tempo para fazer as mudanças necessárias, os aplicativos serão obrigados a obter permissão para rastrear usuários a partir do início do próximo ano. Mais informações, incluindo uma atualização das Diretrizes de Revisão da App Store, serão divulgadas neste outono.”

Bug de plugin do WordPress possibilita 10 mil ataques por hora a websites

Os desenvolvedores do plugin WordPress File Manager corrigiram, recentemente, um problema de segurança explorado ativamente, permitindo o sequestro total do site de seus usuários – mas não antes de que milhares de ataques fossem realizados explorando essa vulnerabilidade.

De acordo com a equipe de segurança “Sucuri WordPress”, a vulnerabilidade surgiu na versão 6.4 do software, que é usado como alternativa ao FTP para o gerenciamento de transferências, cópias, exclusões e uploads de arquivos.

Na versão 6.4, lançada em 5 de maio, um arquivo foi renomeado no plugin, que conta com mais de 700.000 instalações ativas, para fins de desenvolvimento e teste. No entanto, em vez de ser mantido como uma alteração local, o arquivo renomeado foi adicionado acidentalmente ao projeto, criando uma abertura para exploração de agentes mal-intencionados.

O script em questão concedia aos usuários privilégios como modificar, enviar e excluir arquivos. A solução para esta vulnerabilidade, incluída na versão 6.9, é bastante simples: simplesmente exclua o arquivo – que nunca fez parte da funcionalidade do plugin.

No entanto, uma semana antes de o arquivo ser removido, um código de Prova de Conceito (PoC) foi lançado no repositório de código GitHub, levando a uma onda de ataques contra sites antes da versão 6.9 ser disponibilizada.

O primeiro ataque foi detectado em 31 de agosto, um dia antes do lançamento de uma versão corrigida do gerenciador. Depois, cresceu para cerca de 1.500 ataques por hora e, um dia depois, para uma média de 2.5000 ataques a cada 60 minutos. Em 2 de setembro, a equipe viu cerca de 10.000 ataques por hora.

Embora a vulnerabilidade já tenha sido resolvida, apenas 6,8% dos sites WordPress foram atualizados para a nova versão corrigida do plugin, deixando muitos sites vulneráveis. Um erro básico, que pode custar muito caro.

Consumidores estão dispostos a disponibilizar seus dados – desde que eles sejam bem utilizados

Uma plataforma de personalização baseada em Inteligência Artificial, a Formation.ai, entrevistou mais de 2.000 clientes dos EUA no primeiro trimestre de 2020 a respeito de seus sentimentos em relação à concessão de dados por fidelidade à marca.

Em um relatório exclusivo, a empresa mostra que a personalização é fundamental para ganhar a lealdade do consumidor no mercado competitivo de hoje. Mas essa personalização só é possível com um bom aproveitamento de dados cedidos pelo consumidor.

Quase quatro entre cinco (79%) dos consumidores concordam que quanto mais táticas de personalização uma marca usa, mais eles são leais a ela. Mas, para 77% dos consumidores, as empresas não estão fazendo o suficiente para conquistar essa fidelidade.

O relatório descobriu que mais de quatro entre cinco (81%) dos consumidores estão dispostos a compartilhar informações pessoais básicas para personalização e que 83% dos consumidores estão mais dispostos a compartilhar dados se a marca for transparente sobre como eles serão usados.

Em contrapartida, apenas um em cada cinco (20%) consumidores ​​sente que recebe e-mails de marketing que de fato apresentam conteúdo relevante para seu estilo de vida, interesses ou compras anteriores específicas.

De modo geral, a pesquisa aponta que as pessoas estão cada vez mais receosas de colocar sua privacidade em risco, e exigem saber como seus dados são usados.

Por outro lado, as empresas precisam ser mais transparentes na forma como usam os dados de seus clientes – sejam eles quais forem – para evitar tanto mensagens ultra-direcionadas, que faz com que o consumidor sinta que está sendo observado, quanto mensagens superficiais demais, com as quais o consumidor não se identifica.

Saiba como atender às normas da Lei Geral de Proteção de Dados no Brasil e se assegure de que sua empresa utiliza os dados de seus clientes da melhor forma.

Conte com a assessoria de especialistas da Compugraf!

Read more
No Comments

Cuidado: nova ameaça cibernética DarkSide sequestra dados de grandes empresas e pede resgates de 1 milhão de dólares

Yoda disse uma vez que “o medo da perda é um caminho para o lado negro” e, embora ele não estivesse falando sobre a última ameaça à segurança cibernética, poderia facilmente estar.

darkside

O grupo de cibercriminosos DarkSide (ou Lado Negro,cujo nome é inspirado pelos membros maquiavélicos da franquia Star Wars) está ativo há menos de duas semanas, mas seus ataques altamente direcionados já estão rendendo muito dinheiro ao grupo.

Para se ter uma ideia, o medo da perda de dados de usuários e clientes é o caminho que aparentemente levou pelo menos uma vítima de ransomware – uma empresa emergente – a pagar o 1 milhão de dólares de resgate exigido.

E, seguindo o que se tornou uma espécie de norma para os cibercriminosos por trás das principais ameaças de ransomware ao redor do mundo, o DarkSide se revelou por meio de um comunicado à imprensa, conforme relatado pela Bleeping Computer.

O comunicado, adequadamente hospedado em um site da Dark Web e datado de 10 de agosto de 2020, afirma que “o DarkSide é um grupo novo no mercado, mas isso não significa que não temos experiência e viemos do nada”.

A ameaça de 1 milhão de dólares da DarkSide

Os cibercriminosos afirmam já ter obtido “milhões de dólares de lucro” por meio de parcerias com outros criminosos especializados em ransomware, mas criaram o DarkSide porque a busca por um “produto perfeito” de ataque cryptolocker não deu certo.

DarkSide é, eles afirmam, o produto perfeito.

De acordo com Lawrence Abrams, da Bleeping, pelo menos uma vítima desta ameaça recentemente desenvolvida parece ter pago um resgate de mais de 1 milhão de dólares.

Aliás, os resgates, de modo geral, variam de 200.000 dólares a 2 milhões de dólares, mas esses números dobram se a janela concedida para o pagamento inicial não for cumprida.

DarkSide afirma ter como alvo apenas aqueles que “podem pagar”

Com cruel ironia, a gangue DarkSide afirma que “não quer acabar com o seu negócio” e que vai “atacar apenas empresas que possam pagar a quantia solicitada”.

Supõe-se que isso explica as variações do resgate, pois os ataques aparentam ser altamente direcionados e levar em conta duas variáveis: quão alto pode ser o valor de um resgate e qual é a chance de pagamento. Geralmente, a DarkSide opera, nos dois casos, com o valor mais alto possível e boas chances de extorsão.

Na verdade, o que essa declaração quer dizer é que o grupo analisa os registros contábeis das empresas e determina quanto pode ser pago com base na receita líquida.

O DarkSide também disse, no comunicado à imprensa. que não teria como alvo hospitais, hospícios, escolas, universidades, organizações sem fins lucrativos ou o setor governamental.

As gangues de ransomware DoppelPaymer e Maze já fizeram promessas semelhantes, relacionadas ao setor de saúde, durante o início da pandemia do COVID-19.

Outros criminosos de ransomware não foram tão indulgentes, como o NetWalker, que atingiu o UCSF e extraiu com sucesso um resgate de 1,14 milhão de dólares.

Resta esperar para saber se a gangue DarkSide será fiel à sua palavra.

“Levamos nossa reputação muito a sério”, disseram os operadores do DarkSide, acrescentando que, se os resgates forem pagos, “todas as garantias serão cumpridas.”

Essas garantias parecem estar relacionadas à prática – agora padrão – de exfiltrar dados antes de criptografar as redes.

Como “voto de confiança”, o grupo DarkSide disse que garantiria a descriptografia de um arquivo de teste, forneceria suporte para descriptografia após o pagamento e excluiria todos os dados subidos às lojas na Dark Web.

Se os pagamentos não forem feitos, os criminosos ameaçam publicar todos os dados e mantê-los armazenados por pelo menos seis meses, notificando a mídia, clientes e parceiros sobre o incidente.

Quão nova é a equipe criminosa DarkSide?

Se tudo isso parece bastante familiar, é porque é. Embora o DarkSide afirme ser novo, e os ataques de ransomware específicos o sejam, a metodologia é experimentada e testada há bastante tempo.

Além disso, foi sugerido que existem semelhanças no próprio malware que ligam o grupo DarkSide ao REvil e ao GandCrab, anteriores a eles. Isso não quer dizer que os operadores REvil, de grande sucesso no cibercrime, estão evoluindo para algo novo, mas esses links são interessantes de serem observados.

E por falar em notas, até mesmo as notas de resgate personalizadas “Welcome to the Dark Side”, que a DarkSide, usa parecem ser baseadas em modelos do REvil.

Combatendo a ameaça do “Lado Negro da Força”

Trazendo o Yoda de volta à história, e sua citação clássica sobre o “medo da perda”, reduzir o risco da perda de dados é a chave para usar a força da segurança cibernética contra o “Lado Negro”.

Sejam quem sejam e de onde quer que eles tenham vindo, o grupo DarkSide certamente é mais um player no universo do ransomware que deve levado a sério e do qual as empresas devem se prevenir.

Isso significa voltar aos princípios de limpeza de sistemas e segurança de rede, garantindo que sua organização esteja fazendo mais do que apenas fazer backups de dados. Você tem que diminuir o risco de ataque, diminuir a superfície de ataque e tornar a segurança sua maior prioridade nos negócios.

Portanto, mantenha todos os softwares corrigidos e atualizados, certifique-se de que uma autenticação forte, preferencialmente de dois fatores, seja usada onde quer que esteja, eduque todos, desde o chão de fábrica até a diretoria, para estarem cientes e “acordar” para as ameaças que permitem que invasores ransomware entrem na rede.

Torne as coisas mais difíceis, e não mais fáceis, para os cibercriminosos.

Conte com a assessoria de especialistas da Compugraf para manter sua empresa segura.

Read more
No Comments

Bug no banco Santander e campanhas de phishing para todo lado: as principais notícias da semana

Phishing continua se destacando como um dos ataques favoritos de cibercriminosos. Banco Santander e Google são vítimas de suas próprias vulnerabilidades – mas apenas um deles contou com a ajuda de hackers white hats.

Bug no banco Santander

O Brasil está entre os países mais afetados por campanhas envolvendo a COVID-19, em grande parte por falta de atenção dos usuários.

O que você vai ler hoje:

Golpes de vishing (voice phishing) ameaçam empresas do setor privado

De forma conjunta, o FBI e a Agência de Cibersegurança e Segurança de Infraestrutura (CISA) emitiram, este mês, um comunicado de segurança alertando para uma onda de ataques de vishing visando corporações do setor privado.

Vishing, ou phishing de voz, é uma forma de engenharia social em que os criminosos ligam para as vítimas para obter as informações desejadas para efetivação de um ataque, geralmente se passando por pessoas conhecidas.

De acordo com os órgãos de segurança, em meados de julho de 2020, os cibercriminosos começaram uma campanha de vishing visando colaboradores que trabalham em casa. Eles coletaram credenciais de login de redes corporativas e então fizeram dinheiro com a venda desse acesso para outras gangues criminosas.

As páginas de phishing utilizadas para os ataques foram criadas para se parecerem com a página de login do VPN interno de uma empresa-alvo, e os sites também eram capazes de capturar autenticação de dois fatores (2FA) ou senhas de uso único (OTP), se necessário.

Os grupos criminosos, então, compilaram dossiês sobre os funcionários que trabalhavam para as empresas que queriam atingir, geralmente por coleta massiva de perfis públicos em plataformas de mídia social, ferramentas de recrutamento e marketing, serviços de verificação de histórico disponíveis ao público e pesquisa de código aberto.

As informações coletadas incluíam nome, endereço residencial, celular/telefone pessoal, cargo na empresa e tempo de permanência na empresa, de acordo com as duas agências.

Em seguida, os invasores ligaram para os funcionários usando números de telefone aleatórios de Voice-over-IP (VoIP) ou falsificando os números de telefone de outros funcionários da empresa.

"Os atores usaram técnicas de engenharia social e, em alguns casos, se fizeram passar por membros do help desk de TI da empresa vítima, usando seu conhecimento das informações de identificação pessoal do funcionário – incluindo nome, cargo, tempo de serviço na empresa e endereço residencial – para obter o confiança do funcionário visado ", diz o alerta conjunto.

"Os atores então convenciam os colaboradores de que um novo link VPN seria enviado e exigia seu login, incluindo qualquer 2FA ou OTP."

As duas agências de segurança cibernética estão agora alertando as empresas para que fiquem atentas aos agentes de ameaças e treinem seus colaboradores a respeito das melhores práticas de segurança para evitar os golpes de phishing.

Experian sofre violação de dados que afetou 24 milhões de clientes

A fornecedora de crédito Experian divulgou, recentemente, uma violação de dados sofrida este mês. A agência admitiu ter cedido os dados pessoais de seus clientes sul-africanos a um fraudador que se fazia passar por cliente.

Embora a Experian não tenha divulgado o número de usuários afetados, um relatório do South African Banking Risk Center (SABRIC), uma organização bancária antifraude e sem fins lucrativos, afirmou que a violação afetou 24 milhões de sul-africanos e 793.749 empresas locais.

A Experian disse que relatou o incidente às autoridades locais, que conseguiram rastrear o indivíduo por trás do golpe. Desde então, a Experian disse que obteve uma ordem judicial "que resultou na apreensão do hardware do indivíduo e na proteção e exclusão dos dados desviados".

Vulnerabilidade do Gmail permitiria que e-mails falsos fossem enviados por meio de contas legítimas

Um bug perigoso, descoberto no começo de 2020 por uma pesquisadora de segurança, pode ter permitido que invasores explorassem vulnerabilidades do Gmail, o serviço de e-mail do Google.

Basicamente, a vulnerabilidade, possibilita que e-mails falsos sejam enviados de endereços reais do Gmail.

Esses chamados “ataques de falsificação” permitem que os cibercriminosos entrem em contato com vítimas em potencial a partir de endereços de e-mail legítimos e ainda fornecem uma forma de encobrir seus rastros.

O bug, descoberto por Allison Hussain, ainda teria permitido que um invasor contornasse o SPF e o DMARC (as verificações principais de um provedor de e-mail) para enviar e-mails falsos.

A vulnerabilidade foi detectada uma vez que a pesquisadora conseguiu burlar as verificações de e-mail do Google usando recursos disponíveis para administradores do G Suite. Hussain criou regras de processamento de e-mail que pegavam mensagens de entrada falsas e as transformava em mensagens legítimas do Gmail, que poderiam ser enviadas às vítimas.

Hussain revelou o bug ao Google no início de abril. Mas, quando chegou primeiro de agosto e ela ainda não havia recebido nenhuma resposta sobre sua correção, a pesquisadora enviou um aviso de que pretendia publicar suas descobertas em seu blog pessoal.

Quando o Google respondeu que as mitigações não estariam em vigor até meados de setembro, Hussain esperou mais alguns dias e postou a descoberta em seu blog. Poucas horas após a publicação da postagem, o Google acelerou a correção.

Bug nos caixas eletrônicos do banco Santander permite saque de valores maiores do que os armazenados em cartões de débito

Gangues criminosas parecem ter encontrado um bug no software dos caixas eletrônicos do banco Santander.

O bug permitia que hackers usassem cartões de débito falsos ou cartões de débito pré-carregados válidos para retirar mais fundos de caixas eletrônicos do que os armazenados nos cartões.

Fontes da comunidade da inteligência de ameaças disseram que os detalhes sobre essa falha de software, em particular, foram inicialmente mantidos em sigilo e compartilhados ou vendidos entre membros de ATMs e grupos de fraude bancária por dias.

Os detalhes da falha, no entanto, não permaneceram secretos por muito tempo e, eventualmente, vazaram esta semana, sendo amplamente compartilhados nas salas de chat do Telegram, Instagram e outras redes sociais.

Como resultado do vazamento descontrolado de detalhes, vários grupos criminosos começaram a explorar o bug do software, resultando em um aumento repentino de saques em caixas eletrônicos do Santander e levando os funcionários do banco a investigarem.

Para evitar mais perdas, o Santander fechou todos os caixas eletrônicos na terça-feira (18/08).

Em comunicado oficial, o Santander diz que “os clientes devem saber que não houve impacto em suas contas, dados ou fundos, e continuamos a cooperar com as autoridades policiais enquanto investigam a situação”.

Brasil está entre os países mais afetados por phishing relacionado ao COVID-19

A disseminação de fake news relacionadas a iniciativas governamentais em torno do COVID-19 colocou o Brasil na lista dos países mais afetados por ataques de phishing, de acordo com uma nova pesquisa sobre spam e phishing publicada pela Kaspersky.

Segundo o relatório, cerca de 1 em cada 8 internautas no Brasil (12,9%) acessou, entre abril e junho de 2020, pelo menos um link que levava a sites com conteúdo malicioso. Isso está bem acima da média global, de 8,26% no mesmo período.

O grande aumento nas campanhas de desinformação em torno de supostas iniciativas do governo são o principal fator por trás do aumento. Um exemplo dos golpes enviados aos usuários nos últimos meses, mencionados no relatório, é um e-mail com a informação falsa de que o governo havia suspendido o pagamento das contas de energia durante a pandemia, que incluía um link convidando os usuários a se cadastrarem no benefício.

As tendências recentes colocam o Brasil como o quinto país mais afetado por phishing em uma lista compilada pela Kaspersky como parte do relatório. A Venezuela está no topo da lista, onde 17,56% dos usuários clicaram em um link que leva a conteúdo malicioso, seguida por Portugal (13,51%), Tunísia (13,51%) e França (13,08%).

Um estudo separado da mesma empresa, lançado em julho, sugere que os brasileiros estão mais cientes dos riscos à segurança da Internet, mas ainda precisam evoluir seu comportamento online.

Realizada em maio, a pesquisa, que considerou usuários com pelo menos dois dispositivos conectados, constatou que 48% não melhoraram seus hábitos de segurança na Internet.

Essa atitude relaxada em relação à segurança online tem três motivos principais: cerca de 45% dos brasileiros não priorizam sua segurança na Internet devido às pressões do dia a dia, apesar de reconhecerem que devem prestar mais atenção a isso; cerca de 36% dizem que se sentem mais seguros ao realizar transações financeiras e comerciais online, enquanto 33% dos brasileiros entrevistados relataram que não têm nada de valor a oferecer aos cibercriminosos.

Porém, essa é uma falsa crença que pode colocar seus bens em risco.

Mantenha sua empresa e seus colaboradores seguros. Consulte a assessoria de especialistas da Compugraf e conheça nossas soluções.

Read more
No Comments

Novo malware pode roubar dados do Telegram: as principais notícias da semana

A guerra cibernética continua. Grupos de hackers russos fazem vítimas ao redor do mundo; EUA identifica novas violações do TikTok e novos malwares se espalham entre usuários do MacBook e do Linux.

O que você vai ler hoje:

Novo malware do Mac pode roubar dados do Telegram e de outros aplicativos

Projetos de Xcode estão sendo explorados para espalhar um malware do Mac especializado em comprometer o Safari e outros navegadores.

Xcode é um ambiente de desenvolvimento integrado (IDE) gratuito usado no macOS para desenvolver softwares e aplicativos relacionados à Apple.

Embora ainda não esteja claro como o XCSSET penetra nos projetos Xcode, presume-se que, uma vez incorporado ao sistema, o malware é executado durante a construção de um projeto.

Isso se torna especialmente preocupante quando vários desenvolvedores afetados pela ameaça têm o hábito de compartilhar seus projetos no GitHub – o que, segundo os pesquisadores, pode resultar em supply chain attacks para usuários que dependem desses repositórios.

Após “pegar uma carona” nesses projetos, e adentrando um sistema vulnerável, o XCSSET se volta aos navegadores, usando potenciais vulnerabilidades para roubar dados do usuário, incluindo conteúdo do Evernote, informações de blocos de notas e dados de comunicação de aplicativos como Skype e Telegram.

Além disso, a equipe responsável pela identificação do malware acredita que o elemento UXSS da cadeia de ataque pode ser usado não só para roubar informações gerais do usuário, mas também como um meio de modificar as sessões do navegador para exibir sites maliciosos, alterar endereços de carteiras de criptomoedas, colher informações de cartão de crédito da Apple Store e roubar credenciais de fontes como Apple ID, Google, Paypal e Yandex.

Mais de 300.000 links maliciosos, anunciando esquemas de criptomoeda, foram bloqueados por agências de segurança internacionais

Mais de 300.000 links maliciosos que anunciam esquemas falsos de enriquecimento rápido, desenhados para enganar usuários e fazer com que entreguem seu dinheiro a criminosos cibernéticos, foram eliminados em uma repressão do National Cyber Security Center (NCSC) do Reino Unido.

Os golpes mostram fraudadores tentando atrair pessoas para fazer falsos investimentos, usando endossos, também falsos, de celebridades, sugerindo que eles ganharam milhões comprando e vendendo bitcoin ou outro tipo de criptomoeda.

Os links para tais golpes são promovidos em artigos de fake news, em páginas projetadas para parecer que estão sendo publicadas em sites legítimos.

Os artigos, que são distribuídos por e-mails de phishing e publicidade digital paga, visam induzir as vítimas a dar seu dinheiro ou dados bancários a criminosos cibernéticos.

Felizmente, muitos dos golpes foram retirados do ar após serem relatados ao Serviço de Denúncias de E-mail Suspeito do NCSC, que já recebeu mais de 1,8 milhão de relatórios de comportamento potencialmente criminoso desde seu lançamento em abril deste ano.

FBI e NSA publicam alerta de segurança a usuários do Linux

https://www.zdnet.com/article/fbi-and-nsa-expose-new-linux-malware-drovorub-used-by-russian-state-hackers/

O FBI e a NSA publicaram hoje um alerta de segurança conjunto, contendo detalhes sobre um novo tipo de malware do sistema operacional Linux que as duas agências dizem ter sido desenvolvido e implantado em ataques ao redor do mundo por hackers militares da Rússia.

As duas agências afirmam que os hackers usaram o malware chamado Drovorub para plantar backdoors nas redes hackeadas.

O Drovorub, segundo as agências, é um sistema multicomponente, que vem com um implantador, um rootkit de módulo de kernel, uma ferramenta de transferência de arquivos, um módulo de encaminhamento de backdoors e um servidor de comando e controle (C2).

Além disso, ele é projetado para ser furtivo, utilizando tecnologias avançadas de 'rootkit' que dificultam a detecção da ameaça. Esse elemento furtivo permite que os operadores implantem o malware em diversos tipos diferentes de alvos, permitindo que um ataque ocorra a qualquer momento.

Para evitar a ameaça, os agentes de cibersegurança recomendam que as organizações dos atualizem qualquer sistema Linux para a versão 3.7 do kernel, ou posterior, para aproveitar um recurso de segurança que evitaria que os hackers instalassem o rootkit do Drovorub.

O alerta oficial você pode conferir aqui.

Mais polêmicas em torno do TikTok denunciam outras violações de dados dos usuários

O TikTok foi flagrado violando sua própria política de privacidade e as regras de segurança do Google para rastrear usuários do Android secretamente.

Um novo relatório chocante do Wall Street Journal afirma que o aplicativo vinculou novas instalações de seu aplicativo ao endereço MAC imutável dos dispositivos de seus usuários por 15 meses.

Resumindo, isso contorna a política do Google, de permitir que os usuários redefinam os IDs usados para rastreamento de anúncios.

O WSJ diz que o TikTok interrompeu essa prática em novembro – antes que sua atual crise de segurança nos EUA aumentasse e antes de se falar em proibições e vendas. Mas isso não será suficiente para impedir o nocaute que a plataforma deve experimentar no país.

No momento, o TikTok não parece coletar mais dados do que os outros aplicativos de mídia social com os quais compete. Mas, se esse rastreamento tivesse surgido antes, provavelmente teria levado o Google a exigir uma mudança estrutural do app ou suspendê-lo completamente.

O problema sério dessas últimas descobertas é que elas contornam uma das proteções mais importantes da indústria de anúncios, que impede que um dispositivo seja vinculado a um usuário específico.

A indústria defende o fato de que os usuários são anônimos, e tanto a Apple quanto o Google estão aumentando as proteções no iOS e no Android para garantir isso. Mas quando um aplicativo importante quebra essas regras e tenta mascarar a prática, existe uma séria preocupação.

Pesquisadores identificam novo grupo de hackers russos em atividade há 3 anos

Pesquisadores de segurança descobriram um novo grupo de hackers russos que, alegadamente, se concentraram nos últimos três anos em espionagem corporativa, visando empresas em todo o mundo para roubar documentos que contenham segredos comerciais e dados pessoais de funcionários.

Batizado de RedCurl, as atividades desse novo grupo foram detalhadas em um relatório de 57 páginas divulgado pela empresa de segurança cibernética Group-IB.

A empresa tem rastreado o grupo desde o começo de 2019, quando foi chamada pela primeira vez para investigar uma violação de segurança em uma empresa hackeada pelo grupo.

Desde então, o Group-IB disse que identificou 26 outros ataques do RedCurl, realizados contra 14 organizações, que remontam a 2018.

As vítimas variaram entre países e setores da indústria, e incluem empresas de construção, varejistas, agências de viagens, seguradoras, bancos e escritórios de de advocacia e consultoria ao redor do mundo.

Mas, apesar da ação prolongada, o grupo não usou ferramentas complexas ou técnicas inovadores de hacking para seus ataques. Pelo contrário: o grupo dependeu muito do spear-phishing para o acesso inicial aos sistemas hackeados.

"A característica distintiva do RedCurl, no entanto, é que o conteúdo do e-mail é cuidadosamente elaborado", disseram os pesquisadores. "Por exemplo, os e-mails exibiam o endereço e o logotipo da empresa-alvo, enquanto o endereço do remetente apresentava o nome de domínio da empresa.

“Além disso, os invasores se passaram por membros da equipe de RH da organização-alvo e enviaram e-mails para vários funcionários ao mesmo tempo, o que os deixou menos vigilantes, especialmente considerando que muitos deles trabalhavam no mesmo departamento”, acrescentaram.

Os e-mails incluíam links para arquivos com malware que as vítimas tinham que baixar. Depois que as vítimas executaram o conteúdo dos arquivos bloqueados, elas foram infectadas com uma coleção de cavalos de Tróia baseados em PowerShell.

Treinamento dos colaboradores, bem como soluções de cibersegurança de ponta a ponta, são fundamentais para a prevenção da sua empresa.

Consulte a assessoria de especialistas da Compugraf e saiba como se proteger!

Read more
No Comments

Como funcionará o tratamento de dados com a LGPD?

O tratamento de dados irá mudar com a chegada da LGPD. Neste artigo, você irá entender como deve ser feito a partir de agora.

Tratamento de Dados LGPD

Ainda que esteja prestes a entrar em vigência, a LGPD ainda pode gerar muitas dúvidas sobre como as coisas serão daqui pra frente.

Pensando nisso, criamos um artigo com tudo o que você precisa saber sobre a Lei Geral de Proteção de Dados.

Mas existem pontos específicos que merecem a atenção de toda empresa realmente preocupada com a segurança dos dados e em estar em compliance com a lei, sendo uma delas a maneira como funcionará o tratamento de dados daqui pra frente.

Preparamos este artigo para esclarecer as principais dúvidas que podem surgir em relação a como esse processo ocorrerá a partir da chegada da LGPD.

Pré-vigência da LGPD

Este artigo faz parte de uma série especial que coletamos de nossos arquivos para trazer pra você as informações mais relevantes no pré-lançamento da Lei Geral de Proteção de Dados.

Você pode se interessar também:

Um guia de implementação da LGPD

Pensando na centralização de informações, preparamos um guia bem completo com o passo a passo para não perder mais tempo e começar a aplicar práticas saudáveis no cuidado com os dados que sua empresa opera.

Com o material será possível compreender toda a jornada da LGPD e com isso implementar as mudanças de maneira consciente. Faça o download agora mesmo.

guia completo da LGPD

A lei número 13.709/2018, também conhecida como Lei Geral de Proteção de Dados, ou LGPD, é a lei que dispõe sobre a proteção dos dados pessoais de todas as pessoas naturais em território brasileiro.

Foi decretada pelo Congresso Nacional em 14 de agosto de 2018 e entrará em vigor na próxima semana. Você pode conferir tudo sobre a lei geral de proteção de dados aqui.

A lei acompanha um movimento internacional em prol da proteção de dados pessoais dos cidadãos de todo o mundo.

Baseada diretamente na General Data Protection Regulation da União Europeia, a regulamentação visa inibir que sejam coletados “dados em excesso”, bem como limita seu uso para fins com os quais seus titulares não tenham explicitamente concordado.

Isso significa que é o interesse dos titulares dos dados é que vai ditar quais dados serão coletados e como eles serão operados.

Além disso, o titular é livre para solicitar qualquer informação a respeito do processo de tratamento, bem como solicitar a eliminação de seus dados da base de pessoas ou organizações que estejam em posse deles, se assim lhe convir.

Assim, a transparência e a garantia de privacidade se tornam os pilares de toda empresa que deseje se posicionar com credibilidade no mercado e de toda organização que preze por uma boa imagem junto ao público.

Neste artigo, detalhamos as nuances de um tratamento de dados em conformidade com os requisitos da lei, para que você possa orientar seus colaboradores de acordo. Confira:

Tratamento de Dados na LGPD: Como fazer a coleta de dados

A finalidade, a necessidade e o consentimento são os princípios que permeiam uma coleta de dados em compliance com a LGPD.

Sendo assim, será necessário que o titular esteja explicitamente de acordo em ceder os dados que a empresa determinar como imprescindíveis para que ela alcance determinado objetivo. Isso poderá ser feito por meio de formulários específicos, personalizados conforme a necessidade.

Por exemplo: você está para contratar um prestador de serviços e precisará coletar os seus dados a fim de elaborar o contrato. Na hora de criar uma ficha ou formulário para solicitar os dados, eles devem seguir a lógica:

  • Finalidade: identificação do indivíduo para contrato de prestação de serviços;
  • Necessidade: os dados sem os quais não é possível fazer a identificação contratual (nome, RG, CPF, endereço, telefone, etc.)
  • Consentimento: deve haver uma cláusula no contrato que esclareça que o indivíduo concordou em ceder os dados para o fim disposto no contrato.

Todos esses pontos devem estar claros para o titular dos dados e, se algum não estiver, ele deve ter condições de solicitar o esclarecimento junto à empresa.

O modelo se aplica a todo tipo de coleta, variando apenas os detalhes conforme a finalidade e a necessidade para cada caso.

Como fazer o mapeamento de dados

O mapeamento dos dados pessoais é a principal ação a ser tomada na sua gestão de riscos. Ele envolve tanto os dados de clientes quanto os de colaboradores e é o que vai garantir que a sua empresa está em conformidade com a lei.

Esse processo tem como objetivo identificar quais dados estão em posse da empresa e assegurar sua privacidade dos dados, salvaguardando empresas que porventura possam vir a enfrentar problemas como vazamentos, denúncias e afins.

A adequação pode ser um processo demorado, dependendo do estágio de aderência da empresa à Lei Geral de Proteção de Dados, mas é imprescindível.

Algumas etapas simples a serem seguidas:

Mapear e inventariar os dados que já são tratados pela empresa

Com que dados sua empresa lida? Onde estão armazenados? Como foram adquiridos? Qual a finalidade de cada dado?

Respondendo a essas perguntas, você já tem um bom norte. Depois, é importante identificar qual o fluxo dos dados, isto é, como eles entram, quem os coleta, onde são guardados, como serão eliminados, dentre outros processos comuns.

Lembrando que isso inclui tanto os dados online – oriundos de ERPs, CRMs e afins – quanto os dados offline. Sabe aquela ficha cadastral que o cliente preencheu e assinou pro Financeiro e tá guardado dentro de uma pasta dentro de um arquivo dentro de uma sala isolada? Então. Isso também deve ser mapeado.

Mapear os agentes envolvidos em todo o processo do controle de dados

Quem serão os operadores dos dados? Quem vai gerir o fluxo dos dados? Quem vai supervisionar a equipe? É importante poder identificar os agentes envolvidos na garantia de privacidade.

Também é fundamental, no caso de haver compartilhamento de dados com terceiros, detalhar como ele é feito e quem são os responsáveis pelo tratamento desses dados também do lado de lá, na empresa receptora.

Conheça o perfil de todos os usuários envolvidos e entenda os níveis hierárquicos de acesso, para garantir que ele seja feito somente por pessoal autorizado em todas as etapas do tratamento.

Mapear as ferramentas e processos envolvidos no tratamento dos dados

Outro aspecto fundamental do mapeamento é entender quais são os sistemas que a sua empresa utiliza para armazenar os dados pessoais.

É preciso incluir desde aplicativos, serviços e programas do dia a dia que de alguma forma armazenem dados – como Whatsapp, Google Drive, Gmail, etc. – a sistemas de suporte ao marketing, vendas, recursos humanos e todos os setores cabíveis – como Salesforce, RD Station, ERPs, dentre outros.

Finalmente, após mapeá-los, é válido incluir que tipos de dados cada sistema identificado armazena.

Definir processos de coleta e eliminação de dados

É importante entender como a empresa funciona em todas as suas esferas e identificar as áreas com maior acesso a dados pessoais em suas operações. Departamentos de Marketing, Vendas, Recursos Humanos e Comercial são alguns exemplos.

Busque compreender como o compliance à lei vai afetar o trabalho de seus colaboradores e o que pode ser feito para facilitar o tratamento dos dados em conformidade à LGPD.

Para isso, vale realizar um trabalho em conjunto com as áreas de gerenciamento de riscos, visando a identificação de algum controle interno que possa dificultar o cumprimento de alguns princípios estabelecidos na LGPD.

A partir de seus resultados, compreenda quais são os objetivos e finalidades da empresa, a fim de analisar os dados que efetivamente são necessários para atingir esses objetivos.

O próximo passo é definir, junto de todas as áreas envolvidas, o fluxo de operação desses dados, especialmente no que se refere à sua eliminação. Aqui, é preciso estar atento a alguns pontos:

  • Em quais situações os dados serão descartados?
  • Como os dados serão descartados?
  • Quem é o responsável pelo descarte?
  • Qual o processo de formalização do descarte?

Vale ter sempre em mente que se o titular solicitar a eliminação dos dados ou quaisquer informações concernentes ao seu tratamento, bem como na eventualidade de uma visita da fiscalização, a equipe responsável deverá estar preparada para fornecê-las de forma clara.

Logo, todo o processo de mapeamento deve considerar, também, o pressuposto de que ambas as hipóteses podem acontecer a qualquer momento.

Tratamento de Dados na LGPD: Como fazer a transferência de dados

A lei de proteção de dados irá impactar basicamente em dois tipos de transferências: a transferência de dados a terceiros e a transferência internacional de dados.

Transferência de dados a terceiros

A transferência de dados a terceiros ocorre quando enviamos ou compartilhamos os dados pessoais com qualquer outra empresa ou entidade parceira. Pode ser o caso de um fornecedor, um consultor ou prestador de serviços.

Nesse caso, é importante entender que as prerrogativas da proteção de dados devem continuar sendo seguidas à risca, fazendo-se necessário o consentimento do titular e a transparência em relação à finalidade também na hora de fazer a transferência.

Outro ponto importante é quando falamos sobre a flexibilização em relação ao tratamento de dados pessoais sensíveis, como ocorre no setor de saúde, por exemplo.

A MP 869/2018 acrescentou à LGPD a proibição da comunicação ou uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde, com o objetivo de obter qualquer vantagem econômica.

Em outras palavras, ela inibe que os dados pessoais sejam utilizados para a obtenção de lucros, na área da saúde. A exceção aparece apenas quando existe a necessidade de comunicação para a adequada prestação de serviços.

Já as práticas de estudos em saúde pública terão o tratamento de dados limitados exclusivamente dentro do órgão (sem possibilidade de transferência) e estritamente para o objetivo do estudo.

O poder público que tiver acesso a dados pessoais sensíveis, que não deveriam ser compartilhados, pode ser impedido de tratá-los, conforme regulamentação da autoridade nacional.

Transferências internacional de dados

A LGPD não vale apenas para empresas brasileiras. Empresas estrangeiras que atuem em território nacional também deverão respeitar as diretrizes da LGPD.

Isso significa que, mesmo que a matriz de uma multinacional, por exemplo, esteja situada em outro país, se atuar no Brasil, a empresa deve seguir os procedimentos impostos pela legislação.

Porém, em caso de necessidade, existe a possibilidade de realizar transferência de dados para uma filial ou sede estrangeira, contanto que exista uma única condição: leis abrangentes de proteção de dados no país de destino.

Em outras palavras, a transferência só será permitida para países que garantam um tratamento de dados equivalente aos exigidos no Brasil pela Lei Geral de Proteção de Dados.

Quando ocorrer o término da necessidade efetiva, os dados devem ser excluídos como dita a LGPD.

Exceções ocorrem apenas por força de lei.

A Compugraf te ajuda a colocar a empresa em compliance

Quer saber como a Compugraf pode auxiliar a sua empresa na jornada para o compliance da LGPD? Consulte agora mesmo nossos profissionais e descubra como sua empresa pode melhorar a maneira de armazenar e lidar com dados pessoais.

Read more
No Comments

Como criar uma cultura de privacidade de dados corporativos

Uma cultura de privacidade de dados corporativos é essencial para organizar e assegurar os dados de uma empresa, mas você sabe como implementar uma?

cultura de privacidade de dados

Faltam poucos dias para que a LGPD entre em vigor, mas muitas pessoas ainda podem ter dúvidas sobre como tudo irá funcionar daqui pra frente.

Em um artigo anterior, a gente já te falou tudo sobre a Lei Geral de Proteção de Dados, então vale a pena conferir caso ainda restem dúvidas sobre o que é e por que a lei existe.

Falar sobre cultura de privacidade de dados sempre foi importante, pois somente quando existe uma que as empresas estão realmente seguras e atentas ao tipo de dados que circulam em suas redes.

Mas com a chegada da LGPD, isso tornou-se essencial, e para ajudar você a implementar a cultura em sua empresa, preparamos este artigo.

Pré-vigência da LGPD

Este artigo faz parte de uma série especial que coletamos de nossos arquivos para trazer pra você as informações mais relevantes no pré-lançamento da Lei Geral de Proteção de Dados.

Você pode se interessar também:

Um guia de implementação da LGPD

Pensando na centralização de informações, preparamos um guia bem completo com o passo a passo para não perder mais tempo e começar a aplicar práticas saudáveis no cuidado com os dados que sua empresa opera.

Com o material será possível compreender toda a jornada da LGPD e com isso implementar as mudanças de maneira consciente. Faça o download agora mesmo.

Cultura de Privacidade de Dados

O time de TI, o time Comercial, o time de RH, o time de Marketing, o time de Vendas, o time Financeiro, enfim, qualquer um que lide com dados, seja online ou offline, será afetado pela Lei Geral de Proteção de Dados, a LGPD.

De forma geral, isso significa que os fluxos de operação de dados deverão ser mais cuidadosos e transparentes. Mas como garantir a proliferação de um comportamento que priorize a segurança e a privacidade por todos na empresa?

Especialistas defendem o desenvolvimento de um “ecossistema da privacidade”, onde todos os setores que atuam com dados estão plenamente conscientes das orientações da lei.

Para isso, é fundamental a criação de um comitê multidisciplinar de compliance, composto por membros de diferentes setores, bem como treinamentos constantes das equipes para que todos ajam em conformidade.

Encabeçando o projeto de compliance, está o Encarregado, cuja missão é garantir que os fluxos de operação de dados sejam mais cuidadosos e transparentes, de acordo com a lei.

Mas quem é, exatamente, esse profissional?

É uma das respostas que você encontrará por aqui.

O nascimento do DPO na Cultura de Privacidade de Dados

Com a implantação da Lei Geral de Proteção de Dados, entra em cena um novo profissional: o Data Protection Officer (DPO).

Pela lei, ele é o encarregado – o intermediador entre os titulares dos dados, as empresas e a fiscalização. “Importado” da General Data Protection Regulation (GDPR), a ocupação é novidade para a grande maioria das empresas e pode gerar alguma confusão na hora de criar um projeto de compliance.

Acontece que, de acordo com a LGPD, é obrigatório ter um encarregado, mas não é obrigatório que ele seja um DPO (qualificado).

Porém, o profissional que melhor se enquadra no que se exige de um encarregado, considerando os exemplos lá de fora, é o DPO.

Complicado? Pois é. Mas vamos simplificar.

Basicamente, é preciso contar com um profissional designado para administrar todo o fluxo de informações, da coleta e tratamento à exclusão dos dados ao fim da operação ou quando solicitado pelo titular.

Assim, podemos resumir suas funções nos seguintes itens:

  • Administrar o fluxo de dados;
  • Orientar funcionários;
  • Fazer a conexão entre a organização e a ANPD;
  • Fiscalizar as práticas da organização.

Esse profissional deve possuir autonomia o suficiente, pois irá exercer diversas funções que muitas vezes não são desenvolvidas com uma única área de conhecimento. Portanto, o ideal é que ele seja alguém que possua uma boa formação interdisciplinar.

Ele deverá ter ao menos as seguintes características.

  • Conhecimento das novas legislações;
  • Conhecimento de governança e base de dados pessoais;
  • Conhecimento sobre segurança da informação;
  • Habilidade de posicionamento perante a ANPD e os titulares da base de dados;
  • Habilidade de fiscalização;
  • Habilidade em tomar decisões diante de situações de risco;
  • Habilidade no treinamento de funcionários.

A LGPD determina que o controlador – neste caso, a organização – deve indicar um encarregado. Empresas maiores, que seguem modelos internacionais, geralmente encontram em um membro do seu corpo jurídico o profissional mais adequado e já contam com o profissional em plena atuação, sob o título de DPO mesmo. É altamente provável que esse modelo seja replicado para a maioria dos casos.

Mas, para quem tudo é novidade, a complicação é um pouco maior. O DPO, ou o encarregado, não possui uma formação específica elucidada pela lei e, no país, o perfil ainda está em formação. Além disso, é uma função de extrema responsabilidade e nem sempre os profissionais mais indicados vão se sentir confortáveis para assumir esse compromisso.

Alguns perfis têm se destacado no mercado como os mais preparados para assumir a função. Geralmente, eles têm:

  • Formação em riscos
  • Formação em compliance
  • Formação em tecnologia e segurança

Na eventualidade de não haver, na empresa, alguém adequado ao cargo de DPO, mas sendo o encarregado uma função obrigatória para a conformidade com a lei, o serviço pode ser terceirizado para uma consultoria.

Os formatos e modelos ainda serão definidos pelo mercado, porém já existem escritórios de advocacia especializados em direito digital, por exemplo, prestando esse tipo de serviço.

Qual o envolvimento da TI no projeto de cultura de privacidade de dados?

A equipe de Tecnologia da Informação terá um papel fundamental no projeto de compliance, sendo a responsável pela implementação prática da LGPD. Ela vai cuidar da implantação e adequação de sistemas em compliance com a lei, do desenvolvimento dos fluxos de operação e, sobretudo, da segurança dos dados nos ambientes digitais.

Sendo assim, o ideal é que seja fornecido um treinamento em LGPD à equipe de TI, facilitando o alinhamento do setor com a visão do compliance.

Mas qual é o setor da empresa responsável por gerir a LGPD? A TI, o jurídico ou outros?

Tanto o jurídico quanto a TI tem forte tendência a assumir grandes responsabilidades, mas o ideal é que o compliance não se limite a nenhum dos dois. É preciso criar uma Cultura da Privacidade, unindo gestores de variados setores da empresa em um comitê multidisciplinar de conformidade.

O comitê não é obrigatório, no texto da lei, mas pode ser muito mais benéfico para as organizações, uma vez que facilita o alinhamento das equipes em prol de um bem comum.

Jurídico, Governança, TI, Financeiro, Marketing, RH – é importantes que os principais afetados pela lei participem das reuniões de compliance, a fim de que todos sigam sempre pelo mesmo caminho quando o tema for proteção de dados.

Desse modo, evita-se que o time de Marketing e RH, por exemplo, tome decisões que não sigam as orientações do Jurídico – como a utilização de um sistema que não esteja em compliance com a LGPD – o que poderia, futuramente, dificultar o trabalho da TI e do Financeiro, dentre outros cenários prejudiciais à empresa como um todo.

Contudo, para todos os casos teremos o encarregado encabeçando o comitê, seja ele um DPO ou não (verificar tópico anterior), que vai representar a empresa se e quando houver a necessidade de prestar contas para a fiscalização.

A Compugraf te ajuda a colocar a empresa em compliance

Quer saber como a Compugraf pode auxiliar a sua empresa na jornada para o compliance da LGPD? Consulte agora mesmo nossos profissionais e descubra como sua empresa pode melhorar a maneira de armazenar e lidar com dados pessoais.

Read more
No Comments

LGPD e os primeiros passos para estar em conformidade

Se você ainda está pesquisando sobre a LGPD e os primeiros passos, este artigo deve fornecer todas as informações que você precisa.

LGPD Primeiros Passos

Estar em compliance com a LGPD é de extrema importância para uma organização, e pensando nisso criamos um artigo com tudo o que você precisa saber sobre a lei.

Em um outro artigo, a gente já te falou tudo sobre a Lei Geral de Proteção de Dados.

Mas ainda sim, a LGPD e os primeiros passos para sua compliance, podem ser confusos a primeiro momento, mas através deste artigo buscaremos instruí-lo/a no trajeto.

Pré-vigência da LGPD

Este artigo faz parte de uma série especial que coletamos de nossos arquivos para trazer pra você as informações mais relevantes no pré-lançamento da Lei Geral de Proteção de Dados.

Você pode se interessar também:

Um guia de implementação da LGPD

Pensando na centralização de informações, preparamos um guia bem completo com o passo a passo para não perder mais tempo e começar a aplicar práticas saudáveis no cuidado com os dados que sua empresa opera.

Com o material será possível compreender toda a jornada da LGPD e com isso implementar as mudanças de maneira consciente. Faça o download agora mesmo.

lgpd primeiros passos guia

A elaboração de um projeto de compliance é uma urgência para negócios que desejam operar em conformidade com a lei quando ela entrar em vigor, o que deve acontecer já na próxima semana.

É uma necessidade para que as empresas se mantenham idôneas no mercado.

Não é tarefa fácil, porém, reestruturar os processos da empresa para assegurar que todos operem seguindo os requisitos da LGPD. As nuances são muitas e os desafios, diversos.

Conhecendo os percalços, o time de compliance da Compugraf, formado por especialistas em proteção de dados, estruturou um passo a passo comentado, que tem como objetivo auxiliar empresas na construção de um programa de conformidade que cumpra tanto com as necessidades da empresa quanto com os requisitos da lei.

Você também pode conferir mais sobre a LGPD e os primeiros passos em nosso guia de implementação de LGPD. É só clicar neste link para fazer o download do Guia.

A LGPD e os primeiros passos para estar em compliance

Para funcionar legalmente com a LGPD, uma empresa pode começar ao aplicar algumas das seguintes ações:

Passo 1: Montar um comitê de compliance

O time Jurídico, o time de TI, o time Comercial, o time de RH, o time de Marketing, o time de Vendas, o time Financeiro, enfim, qualquer um que lide com dados, seja online ou offline, será afetado pela LGPD.

De forma geral, a lei determina que os fluxos de operação de dados deverão ser mais cuidadosos e transparentes. Mas como garantir a proliferação de um comportamento que priorize a segurança e a privacidade por todos na empresa?

O primeiro passo é montar um comitê de compliance com profissionais especializados tanto nos aspectos jurídicos quanto nos diversos setores da empresa que serão afetados pela lei. Ele será responsável pelas avaliações de risco e definição de códigos de conduta conforme as diretrizes da LGPD.

Seu trabalho, basicamente, é garantir que a empresa esteja operando dentro dos requisitos legais e de modo a atender os princípios impostos pela lei. Logo, a formação do comitê é imprescindível para que os próximos passos sejam permeados em conformidade com a LGPD.

Passo 2: Definir o Encarregado (DPO)

Com a implantação da Lei Geral de Proteção de Dados, entra em cena um novo profissional: o Data Protection Officer (DPO).

Pela lei, ele é a pessoa física que representa o Encarregado – o intermediador entre os titulares dos dados, as empresas e a fiscalização. “Importado” da General Data Protection Regulation (GDPR), a ocupação é novidade para a grande maioria das empresas brasileiras.

De acordo com o comitê de compliance da Compugraf:

“A partir do momento que a empresa está com o comitê formado, pode-se, desde já, nomear o Encarregado: o DPO (Data Protection Officer).”

Esse profissional vai exercer diversas funções que muitas vezes não são desenvolvidas com uma única área de conhecimento. Portanto, o ideal é que ele seja alguém que possua uma boa formação interdisciplinar.

Conforme a previsão legal, as atividades do DPO são:

I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II – receber comunicações da autoridade nacional e adotar providências;

III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV – executar as demais atribuições determinadas pelo Controlador ou estabelecidas em normas complementares.

Ou seja: o DPO é a pessoa responsável por comandar as atividades de proteção de dados dentro da empresa e estar ciente e totalmente integrado com todas e quaisquer informações que tratem os dados pessoais.

Contudo, na prática, é cedo para definir totalmente suas atividades, uma vez que a ANPD ainda não foi formada.

“É importante ressaltar que a autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do Encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados”, atenta o comitê de compliance da Compugraf.

Mas, em empresas maiores, muito provavelmente ele será indispensável.

No caso de pessoa jurídica, é possível terceirizar a missão do para um escritório especializado em Direito Digital, por exemplo, que será nomeado como Encarregado.

Mas atenção.

De acordo com a Lei, a identidade e as informações de contato do Encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no website do Controlador.

Passo 3: Avaliar os gaps da empresa em relação à privacidade de dados

Com o comitê formado e o Encarregado nomeado, é hora de olhar criticamente para a empresa e dar o primeiro passo em sua Jornada da LGPD.

“A primeira atividade do comitê deve ser elencar e rever todos os processos da empresa, para que possam ser detectados os dados pessoais que estão sendo tratados e onde sua ocorrência está prevista”, sugere o comitê de compliance da Compugraf.

Com uma ferramenta de data mapping, é possível elaborar os questionários necessários para as áreas da empresa, a fim de se conseguir uma “fotografia” de sua operação.

De acordo com Aparecido Anastácio, Product Engineer da Compugraf, algumas perguntas fundamentais para o questionário são:

  • Qual o volume de dados tratados?
  • Que tipos de dados estão sendo tratados?
  • Quem é o responsável pelos dados?
  • Por que os dados foram coletados?
  • Qual a razão legal para continuidade do tratamento dos dados?
  • Até quando os dados ficarão na base da empresa?

É importante usar o bom senso para fazer perguntas criteriosas e objetivas, a fim de se obter um apanhado preciso do atual estado da empresa em relação à LGPD.

Assim, já se inicia o processo de averiguação dos dados e a empresa começa a rever o que deve manter, por qual finalidade e base legal e por quanto tempo.

Passo 4: Adequar os processos para que estejam em compliance com a LGPD

O tratamento dos dados pessoais somente poderá ser realizado nas hipóteses previstas pelo artigo 7º da Lei:

  1. Mediante fornecimento de consentimento do titular
  2. Para cumprimento de obrigação legal ou regulatória pelo Controlador
  3. Pela administração pública, para tratamento e uso compartilhado de dados necessários à execução de políticas públicas
  4. Para estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais
  5. Quando necessário para execução de contrato ou procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados
  6. Para exercício regular de direitos em processo judicial, administrativo ou arbitral
  7. Para proteção da vida ou da incolumidade física do titular ou terceiro
  8. Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária
  9. Quando necessário atender interesses legítimos do Controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam proteção dos dados pessoais
  10. Para proteção do crédito

Ao rever os processos de cada área na empresa, é importante embasar corretamente os dados, uma vez que o tratamento deve estar fundamentado nos itens acima.

“A partir do momento que a empresa for utilizar a coleta de algum dado pessoal, deve se ter em mente o ‘privacy by design’ – ou seja – a privacidade deve ser um pilar exercido desde a concepção de cada produto/serviço”, alerta o comitê da Compugraf.

Além da finalidade bem definida e a justificativa pela base legal correta, o ciclo de vida do dado também precisa estar claramente definido.

E o tratamento de dados não estruturados? Como fazer?

Os dados não estruturados representam um grande desafio na jornada da LGPD, pois

são gerados a partir fontes diversas – como sites, mídias sociais, imagens digitais, vídeos, PDFs, wearables (tecnologias vestíveis), dentre outras tantas – e estão, muitas vezes, fragmentados em mais de um arquivo e/ou em mais de um local.

“Em geral há grande risco associado a tratamento de dados com base em informações não estruturadas, pois dependem de ações manuais e este tipo de processo tende a incorrer em erros de forma recorrente”, comenta o comitê de compliance da Compugraf.

O mapeamento destes dados se dará por meio de entrevistas e checklists, por exemplo. Existem ferramentas que são capazes de apoiar a descoberta destes dados, mas o resultado muitas vezes é mais demorado e mais complexo do que se espera.

É muito importante a empresa derivar o risco associado a cada atividade tratada desta forma, pois são processos vulneráveis que podem ser foco de vazamento de dados.

Pode-se fazer uso de ferramentas de DLP para assegurar que esse tipo de informação não seja vazado, mas a implantação desse processo também não é trivial. A recomendação, portanto, é repensar os procedimentos, para que a empresa passe a tratar esses dados de forma estruturada.

Dados não estruturados podem ser considerados dados anonimizados?

Um dado não estruturado não é um dado anonimizado.

Na verdade, anonimização é um processo pelo qual se transforma um dado pessoal em um conjunto de informações que não permite a identificação de uma pessoa. Logo, a anonimização de dados não estruturados é muito desafiadora, pois o dado pode estar disposto de forma que a ferramenta não o identifique, acarretando em uma anonimização parcial – ou seja, a informação vai continuar sendo pessoal.

“Também é importante ressaltar que dado criptografado não é um dado anonimizado”, alerta o comitê da Compugraf.

Estes casos devem ser tratados com excepcional cautela, uma vez que representam focos de vulnerabilidade.

Como operar os sistemas da empresa em compliance com a LGPD?

Recursos em nuvem, ERPs, CRMs, aplicativos – são muitas as soluções que os colaboradores utilizam diariamente e que, em maior ou menor escala, armazenam dados. Também eles devem ser esquadrinhados.

“Em todos os sistema que uma empresa utiliza, será necessário identificar quais atividades de tratamento de dados tais ferramentas apoiam e depois verificar, normalmente, por meio de assessments, qual a base legal pertinente, tempo de retenção dos dados, medidas de segurança, dados pessoais envolvidos, dentre outros”, elucida o comitê de compliance da Compugraf.

Vale contar com o apoio de um sistema de gerenciamento de privacidade de dados para facilitar o trabalho, uma vez que será preciso realizar um inventário da empresa para que se possa identificar como cada atividade de tratamento de dados é realizada.

Além disso, é importante entender quais sistemas apoiam tais atividades, quais parceiros e fornecedores participam delas, elencar os riscos associados e, finalmente, definir um ou mais planos de ação para adequar a atividade de tratamento.

Passo 5: Fazer a manutenção da proteção dos dados

“O compliance não é obrigação de uma área da empresa. É uma obrigação da empresa inteira.” – José Aparecido Anastácio, Product Engineer da Compugraf

Para o pleno andamento do projeto de conformidade, será necessário avaliar do ponto de vista de segurança, do ponto de vista de infra-estrutura e do ponto de vista de sistemas quais medidas deverão ser tomadas para atender às recomendações legais.

Permeando as ações, estarão sempre as recomendações do jurídico, cujo principal papel é avaliar se as atividades de tratamento de dados estão respeitando os princípios da LGPD.

“A participação de uma equipe multidisciplinar no projeto é fundamental para que seja possível observar de vários pontos de vista cada item requerido pela lei. Assim, as soluções tendem a serem mais eficazes”, orienta o comitê de compliance da Compugraf.

É um esforço coletivo. Mais do que um compromisso, a proteção dos dados deve ser um novo valor para as empresas, respeitado e promovido por todos.

A Compugraf te ajuda a colocar a empresa em compliance

Quer saber como a Compugraf pode auxiliar a sua empresa na jornada para o compliance da LGPD? Consulte agora mesmo nossos profissionais e descubra como sua empresa pode melhorar a maneira de armazenar e lidar com dados pessoais.

Read more
No Comments