10 dicas essenciais para Segurança da Informação em sua empresa
Já ouviu algo parecido com isto: “Não basta trancar a porta se você esquecer ou não se preocupar com a janela aberta ?
Esse alerta também serve para segurança da informação, que deve ser feita em camadas. Infelizmente, muitos aspectos são deixados de lado por falta de conhecimento ou negligência.
Ações para manter seu ambiente mais seguro vão muito além de apenas implementar ferramentas para segurança de perímetro.
Uma vez que você começa a pensar em cultura da segurança da informação, entenda que todas as ações deverão considerar o aspecto de segurança – desde o desenvolvimento de uma nova aplicação até a migração para nuvem.
Neste artigo, vou exemplificar situações que exigem desde uma simples mudança de processo até a compra de ferramentas especificas. Não serão citados os fabricantes, mas apenas os tipos de ferramentas que irão lhe ajudar a aperfeiçoar a segurança da informação em sua organização.
1- Usuários e senhas locais iguais em todos desktops e/ou servidores
Suponhamos que um indivíduo malicioso (seja ele um funcionário ou não) consiga acesso à senha do usuário administrador de um dos seus desktops ou servidores.
Uma coisa é o indivíduo ser administrador apenas de um dispositivo, mas imagine que após conseguir apenas uma senha ele passe a ter poderes administrativos em todos seus desktops ou servidores. Sim, toda a segurança da informação estaria comprometida.
A solução para esse problema? Procure por ferramentas do tipo PAM (Privileged Access Management).
2- Processo de desligamento ou remanejamento de pessoas entre áreas
Já enfrentou casos onde, mesmo após o desligamento, um ex-funcionário continuou com acesso ao e-mail corporativo ou VPN? Você tem mapeado todos os aplicativos dentro e fora de seu ambiente em que este usuário tem acesso?
Quando um usuário é remanejado ele normalmente recebe novos acessos. Mantê-lo associado aos antigos grupos que ele pertencia é desnecessário e compromete a segurança da informação em todo seu ambiente.
Tente unificar seu método de autenticação (Single Sign On por ex.), caso suas ferramentas exijam que um usuário tenha vários logins e senhas, seu processo de mapeamento será muito mais difícil – e vale lembrar que muitas ferramentas possuem integração com o Active Directory ou ADFS.
Confira um exemplo de checklist para o processo de desligamento de pessoas:
- Desativar a conta do usuário;
- Redefinir a senha do usuário;
- Remover o usuário dos grupos em que ele está associado.
Quanto ao processo de transferência entre áreas, é muito comum que você não consiga remover o usuário imediatamente dos antigos grupos que ele pertencia, pois pode existir um período que ele coexistirá entre as áreas, sendo necessário deixá-lo.
Caso isso aconteça, determine um prazo para que a remoção aconteça e, após esse período determinado, confirme com o responsável e/ou desative os acessos.
Lembre:se: os usuários não devem ter mais acessos do que o necessário para o bom desenvolvimento de seu trabalho!
Aqui, soluções de IAM (Identity and Access Management) podem lhe ajudar.
3 – Política de segurança da informação
Esse item é um dos mais importantes, pois a política de segurança da informação pode abranger quase todos os pontos citados neste artigo.
Qual a política para os dispositivos BYOD (Bring Your Own Device)? Como você determina que uma pasta do servidor de arquivos ou uma categoria na web deve ser liberada? Qual a periodicidade de atualização de seus sistemas?
Não deixe que o processo de liberação de acesso seja feito informalmente. Muitas vezes a liberação ocorre porque um “chegado” pediu ou, então, só é liberado porque o dono da informação está de bom humor ou devendo um favor.
Esse não é o melhor caminho, por isso confira as dicas a seguir. Elas irão ajudar!
- Nomeie os donos dos recursos;
- Crie um comitê em que uma ação deve ser aprovada por duas pessoas de áreas diferentes;
- Estabeleça um processo para tratar as exceções.
A criação de uma política de segurança da informação pode ser um trabalho árduo e, muitas vezes, é necessário que pessoas de diferentes áreas sejam envolvidas.
Comece aos poucos, crie algo que realmente atenda suas necessidades, considere que a intenção é ter controle e padrão sobre as ações.
Gostou do assunto? Procure saber mais sobre a ISO 27001.
4- Testes de restauração de backup
Tente fazer com que o usuário seja um aliado para manter seus backups íntegros – ação essencial para manter a segurança da informação.
Digamos que Maria (Analista de RH) peça ao João (Analista de TI) a restauração de um determinado arquivo. Após verificar, João percebe que o backup já não está sendo realizado corretamente a meses. Como consequência, João foi demitido.
O problema foi resolvido? E quanto ao arquivo que Maria precisa? Como dona da informação, é de grande interesse que a informação seja restaurada.
Para garantir a segurança da informação, crie um processo com uma determinada periodicidade em que você (administrador das rotinas de backup) solicite ao usuário (dono da informação) a restauração de um arquivo aleatório.
Isto comprovará que o processo de backup está integro e que o usuário terá sua informação quando necessário – veja a qual realidade isso se aplica, como por exemplo a restauração de um documento no servidor de arquivos.
5- Controle de acesso a rede
Qualquer dispositivo mesmo que não seja corporativo, tem acesso a sua infraestrutura sem que nenhuma validação seja feita? Seu método de controle ao acesso no ambiente wireless é apenas baseado em whitelist de endereços MAC?
Qual tipo de visibilidade você tem sobre seu ambiente? Sua ferramenta de inventário trabalha em tempo real?
Essas respostas são essenciais para garantir a segurança da informação em seu ambiente, afinal, você não consegue se proteger daquilo que desconhece!
Procure por ferramentas de NAC (Network Access Control), mas não procure por NACs tradicionais. Sua busca deve ser por ferramentas que realmente lhe entreguem visibilidade e controle do seu ambiente.
6- Ferramentas contra ameaças desconhecidas
Grande parte das ameaças atuais não são mais combatidas somente com assinaturas. Seu Firewall ou suas ferramentas de endpoint lhe protegem analisando o comportamento da ameaça?
O ideal é procurar por:
- NGFW (Next Generation Firewall)
- ATP (Advanced Threat Prevention)
- NGAVR (Next generation Anti-virus)
- MTD (Mobile Threat Defense)
- EDR (Endpoint Detection & Response)
7- Ferramenta de inventário
Seus usuários possuem ferramentas de Keyloger instaladas?
Em uma situação de auditoria, como você comprova que todos seus agentes (DLP, Antivírus) estão instalados e atualizados em todas suas máquinas?
Quais os riscos de manter versões de softwares antigos em seu ambiente?
Nessas situações, vale a pena buscar por:
- CMDB (Configuration Management Database)
- CMT (Client Management Tools)
- UEM (Endpoint Enterprise Management)
8- Visualização em tempo real de ameaças
Seu sistema de monitoramento se limita a dizer apenas se o servidor está com alta utilização de CPU, MEM ou com baixo espaço em disco?
É claro que essas informações são importantes, mas qual é a causa raiz? Você está sendo atacado?
Caso você opte por analisar os logs manualmente, pode ser que esse tempo custe caro e você já esteja sofrendo uma contaminação lateral, colocando em xeque a segurança da informação.
Ferramentas de SIEM (Security information and event management) podem lhe ajudar.
9- Proteção contra vazamento de dados corporativos
Conhecido como o novo petróleo, os dados muitas vezes são o bem mais valioso de uma empresa, necessitando de proteção à altura de sua importância.
Deixar que os usuários copiem os dados corporativos sem nenhum tipo de controle não parece uma boa ideia.
A segurança da informação aqui podem ser ferramentas de DLP (Data Lost Prevention).
10- Treinamento aos usuários
Muito negligenciado, o treinamento pode ser uma das mais eficazes medidas de segurança da informação a serem implementadas. Se o usuário estiver treinado e não clicar no link malicioso, não será necessário que sua ferramenta de milhões entre em ação.
Crie campanhas focadas de phishing e teste seus usuários – já existem várias empresas no mercado que oferecem o serviço. Treinamentos não devem ser vistos como custo, mas sim como investimento.
Já ouviu falar no ditado “Deus protege as criancinhas, os bêbados e os analistas de TI”? Até quando é possível contar com a sorte?
Jogar toda culpa na falta de investimento não irá lhe ajudar após uma invasão ou vazamento de dados.
Adotando novos processos, mantendo-se atualizado e tendo consciência das novas ameaças permitirá aperfeiçoar de forma significativa a segurança da informação em sua empresa.
É papel dos responsáveis por TI mostrar os riscos que o negócio está exposto, caso identifique que um processo está sendo executado de maneira incorreta ou se alguma parte da infraestrutura corre risco por não possuir ferramentas adequadas para protegê-la.
Existem basicamente duas formas para que um investimento aconteça: pelo amor ou pela dor – e isso não está limitado a gastos com segurança,
Uma forte característica do mercado brasileiro, em geral, é agir de forma reativa – como se somente um evento negativo justificasse o investimento em segurança da informação.
No final, o que determinará quais medidas ou ferramentas serão implantadas, são as necessidades do negócio. Costumo dizer que não existe certo ou errado, desde que suas escolhas não deixem seu ambiente desprotegido ou com a continuidade ameaçada.
E, então, gostou das dicas para proteção do ambiente de sua organização? Se você seja saber mais sobre segurança da informação, fale com os especialistas da Compugraf e leia outros conteúdos sobre o assunto em nosso Blog.
Artigo escrito por Ricardo Martins, Product Analyst da Compugraf.
- Published in Segurança da Informação
7 dicas para adequar sua empresa à LGPD
A LGPD vem sendo tema de grande discussão atualmente. Muito se fala sobre o que está envolvido, porém os assuntos são dispersos e o resultado desse conjunto de informações é que as pessoas acabam ficando confusas sobre o que realmente deve ser feito.
Se você tem dúvidas sobre esse tema, segue um conjunto de 7 dicas que vão te fazer enxergar uma luz no fim do túnel.
Entendendo um pouco a lei
Obviamente que o assunto é extenso e requer análise profunda, mas de forma geral a lei prevê os itens a seguir:
- Toda empresa precisa ter uma base legal para manter dados pessoais e a lei prevê 10 bases legais possíveis;
- Os dados que sua empresa possui devem se resumir ao mínimo necessário para que estejam adequados às bases definidas;
- Sua empresa terá de disponibilizar meios de comunicação para que os titulares dos dados (as pessoas físicas) possam consultar seus dados. Em alguns casos (conforme a base legal), sua empresa terá de fornecer mecanismos para que o titular possa solicitar a revogação do uso dos dados, da portabilidade e até a sua exclusão;
- Devem ser definidas medidas de segurança para que os dados sejam protegidos contra o uso indevido;
- Sua empresa deve ser capaz de demonstrar que está atendendo aos princípios estabelecidos.
Acompanhe no próximo tópico como adequar sua empresa à Lei Geral de Proteção de Dados e manter a privacidade de dados corporativos.
Trilhando a jornada
Dado esse conjunto de requisitos que a lei demanda, percebe-se que o processo de implementação permeia toda a empresa e provavelmente deve endereçar mudanças em vários aspectos: você terá de trilhar uma verdadeira jornada para se tornar e depois se manter aderente.
Mas com tantas mudanças, por onde começar?
Aqui vão 7 dicas para você implementar a LGPD na sua empresa e ter bons resultados em pouco tempo.
Dica 1: Processo incremental
Você não tem experiência nisso, então não pense que sua primeira ideia será a melhor. Faça o trabalho de forma incremental e interativa, passando por todas as fases necessárias. Isso vai fazer você aprender com o processo, trazer resultados rápidos e indicar para a empresa que está no caminho certo.
Dica 2: Crie um inventário dos seus sistemas e processos
É preciso descobrir onde, de fato, estão os dados pessoais na sua empresa. Em geral estão espalhados em sistemas e documentos diversos – você vai ter muitas surpresas ao fazer isso, mas vai encontrar inúmeras oportunidades de “jogar lixo fora”, aproveite!
Dica 3: Monte um time
Para que você possa seguir com o trabalho de levantamento de dados, será muito importante contar com as pessoas que mais entendem do assunto e estas estão espalhadas pela sua empresa. Você terá de escolher as pessoas fundamentais (de cada processo/sistema) para que elas te ajudem a montar esse inventário.
Dica 4: Recorra a parceiros quando necessário
Se você não conta com especialistas em LGPD, então vale a pena abreviar sua jornada contando com ajuda de pessoas que fazem isso com maestria. Faça uma aliança com um parceiro que possa lhe ajudar nesse assunto, isso mantém o seu foco no que você mais conhece: o seu negócio.
Dica 5: Monte planos de ação
Com ajuda dos parceiros e do time, monte planos de implementação indicando o que será alterado, como, até quando e quem será o responsável. Ao final de cada plano, é preciso deixar claro qual item passará a estar em compliance com a lei.
ALERTA: se você está montando um plano e o resultado dele não ajuda no compliance, então é possível que o esforço seja para outro fim, que não a adequação à LGPD.
Dica 6: Monitore sua operação
Após a implementação dos planos, continue monitorando sua organização para garantir que o resultado possa ser mantido ao longo do tempo. No trabalho de monitoração, você vai gerar novas adequações.
Dica 7: Escolha uma ferramenta
Como gerenciar tudo isso ao mesmo tempo? Essa tarefa pode ser feita com várias ferramentas caseiras (que podem lhe gerar mais dor de cabeça!) ou você pode usar uma plataforma que foi feita exclusivamente para isso: a OneTrust!
Se você quer acertar de primeira, então experimente a ferramenta, faça um piloto e veja como um sistema de privacidade vai definitivamente ser peça central em todo o processo. Veja mais sobre a jornada de implementação e sobre o OneTrust no artigo “A Jornada LGPD”.
É possível implementar a LGPD e o caminho mais ou menos longo para isso está ligado a como sua empresa vai escolher trilhar essa jornada. Siga as 7 dicas para implementação e entre em contato com a Compugraf. Vai ser um grande prazer lhe ajudar nessa transformação.
LGPD é com a Compugraf
Tel: (11) 3323.3200
Email: lgpd@compugraf.com.br
- Published in Segurança da Informação
O desafio de manter a segurança da informação diante de ataques em nuvem
Ataques digitais ocorrem diariamente, afetando empresas em todo o mundo – inclusive no Brasil, um dos países mais visados pelo cibercrime.
Com o uso da computação em nuvem esse cenário se tornou ainda mais ameaçador, porque ela passou a ser essencial para a rotina organizacional. Por outro lado, aumentou a necessidade de maior controle da segurança da informação em função do aumento de ataques em nuvem.
Dessa forma, lidar com as ameaças virtuais, especialmente quando a computação em nuvem passou a ser tão usada e essencial, é fundamental para evitar prejuízos financeiros, vazamentos de informações e manter a empresa em compliance com normas de segurança.
Neste artigo vamos mostrar que é possível ter a segurança da informação ideal, protegendo as empresas dos terríveis ataques em nuvem. Acompanhe a leitura!
A nuvem e a segurança da informação
A computação em nuvem proporcionou uma forma mais fácil das empresas armazenarem e compartilharem dados na rede. Contudo, tal flexibilidade e facilidade limitou os olhares de parte dos gestores para as ameaças virtuais e a necessária segurança da informação voltada a proteger a organização de ataques em nuvem.
Não só na migração para a computação em nuvem, como na manutenção e gestão dos dados, riscos de vazamento e ataques cibernéticos ainda existem.
A multiconexão da nuvem, através de diferentes dispositivos, também pode ser um facilitador para a ação de hackers e cibercriminosos. Acessar a nuvem a partir de dispositivos móveis, por exemplo, pode ser um facilitador na ocorrência de ataques digitais.
No entanto, ao mesmo tempo que existem riscos, a nuvem pode ser um ambiente seguro para os ativos. Para isso, é fundamental ter alguns cuidados para proteger o ambiente de ataques em nuvem, evitando invasões ou vazamentos.
A seguir relacionamos algumas providências para ter maior segurança da informação no ambiente em cloud.
1. Cuidado com acessos
Como já falamos acima, a flexibilidade e multiconexão inerente à computação em nuvem é um grande benefício. Mas atenção ao realizar acessos em diferentes dispositivos. Certifique-se que as informações de acesso não foram salvas nem registradas em dispositivos que não são pessoais.
Crie senhas fortes e não se esqueça de mudar os acessos sempre que um turnover de funcionários na equipe coloque em risco o vazamento de algum dado.
2. Crie uma cultura da segurança
Cuidar da segurança da informação é também questão de mindset. Investir em informação e conscientização dos colaboradores em torno da segurança da informação é a melhor medida para evitar problemas e brechas internas.
Cursos sobre segurança e a criação de acervos de conteúdo sobre boas práticas de navegação, por exemplo, podem ser medidas para inibir práticas prejudiciais à segurança da informação dentro da empresa.
3. Rotina de Backup
Para prever qualquer incidente, sempre tenha um, dois ou até mais backups de seus arquivos. Atualizados constantemente evita que informações se percam e, caso algum problema aconteça, o pronto restabelecimento dos dados e sistemas pode salvar a produção da empresa até segunda ordem.
4. Ter uma solução específica contra ataques em nuvem
Não podemos nos iludir: os cibercriminosos são engenhosos e estão sempre se reinventando, exigindo das organizações cuidados específicos em segurança da informação.
Quando o assunto é computação em nuvem, é essencial que a solução adotada seja adaptável às maiores e mais importantes nuvens públicas (AWS, Microsoft Azure e Google Cloud Platform).
E esse é um dos benefícios oferecido pelo Dome9, da Check Point, uma solução inovadora que pode operar no modo read only e manage. No primeiro, o contratante só tem direito de monitorar o ambiente e receber alertas. Já no segundo, é possível gerenciar os ambientes em nuvem a partir de uma única interface.
Solução comercializada pela Compugraf, o Dome9 oferece a possibilidade da empresa decidir suas regras de conformidade, protegendo aplicações e serviços em nuvem. Funciona em um sistema de continuos compliance, executando a checagem e monitoramento de segurança de hora em hora, e é 100% baseado em API’s, apresentando facilidade para se conectar às API’s nativas dos provedores.
Com Dome9 ficou fácil e seguro integrar sua cloud de forma simples e rápida. Consulte um dos especialistas para saber mais detalhes sobre essa solução que pode ajudar você a garantir a segurança da informação e proteger seu ambiente de ataques em nuvem!
- Published in Segurança da Informação
Saiba porque os dados dos pacientes precisam ser protegidos
O sigilo entre médico e paciente, atualmente, encontra-se bem mais ameaçado. Se antes as informações ficavam restritas a uma relação pessoal de confiança, hoje em dia, diante da onipresença da tecnologia no cotidiano, dados e informações pessoais são compartilhadas em diversos canais, a qualquer tempo.
Não só o compartilhamento como o armazenamento dos dados pode ser feito de forma muito mais ágil com o auxílio de plataformas e interfaces digitais. A rapidez no processamento, traduzida pela agilidade no compartilhamento dos dados e arquivos, inclusive por dispositivos móveis, contribui para a disseminação de informações. O grande risco é isso cair nas mãos erradas.
Não apenas por conta de vírus e programas maliciosos que afetam os sistemas, o tráfego de informações sensíveis a respeito da saúde dos pacientes está sujeito às trapaças do próprio fluxo de dados através das mídias sociais e falha humana – que acontece com grande intensidade atualmente.
Ha tempos que dados roubados são comercializados na DeepWeb e na DarkWeb – porções obscuras da Internet que não são acessadas por meio convencionais, havendo uma espécie de tabela de preços para cada tipo de informação. Nesse ranking de valores, dados médicos valem, em média, dez vezes mais do que os provenientes do setor financeiro, justificando o interesse dos cibercriminosos pela área de saúde – e a necessidade de proteção à altura dos ataques!
A TI na área da saúde
Conforme a transformação digital atinge as empresas, organizações de diversos segmentos, entre eles a saúde, apostam em incorporar ferramentas vinculadas à tecnologia da informação para acelerar processos e reduzir custos.
Desde as máquinas utilizadas em tratamentos, até os sistemas robustos de processamento de dados, o segmento da saúde incentiva, cada vez mais, a tecnologia e a conectividade. Mas é preciso cuidado: o descontrole sobre dados e informações na saúde pode colocar em risco não só a integridade de sistemas, como também o bem-estar de pacientes.
Existem uma série de dados sigilosos a respeito dos pacientes, como informações de endereço, frequência do tratamento, diagnóstico, especificações de medicação, entre outras informações que não podem ser manipuladas por qualquer pessoa. A eventual incidência de vírus, como os ransomwares, podem colocar em risco até mesmo o domínio dessas informações.
O contato multicanal que é feito atualmente (e-mail, ligação, WhatsApp, mensagem) também torna o fluxo de dados ainda mais dinâmico, aumentando o risco de gaps ao longo do processo. Esse amplo compartilhamento de dados, em diferentes canais e plataformas, cria desafios para a integridade e proteção das informações, uma vez que os aplicativos também podem ser alvo de ameaças.
Via de regra, as falhas em um sistema – muitas vezes iniciada por conta do descuido inocente de um colaborador, que precisa ser devidamente treinado para a transformação digital – podem ser a porta de entrada para o aparecimento de vírus ou outros programas mal intencionados. Mas como antecipar os ciberataques? Como conter as ameaças virtuais? Essas perguntas rondam os pensamentos e investimentos das grandes empresas do setor de saúde.
O que dizem os dados em território nacional
A nova lei de proteção de dados, sancionada pelo Governo Federal em agosto passado, deve ter impacto direto sobre o setor de saúde no Brasil. Existe um prazo de 18 meses para a adaptação de todas as instituições, pois as regras passarão a valer de forma definitiva em fevereiro de 2020 – mas não é prudente deixar as adequações para a última hora!
A lei versa sobre diversos pontos relativos à proteção e privacidade dos dados. É dever de todos os estabelecimentos e empresas que manipulam dados prestarem contas, de forma transparente, sobre o uso e armazenamento de tais informações.
Não só as entidades regulamentadoras como também os pacientes precisam estar cientes de todos os processos relacionados aos dados. Caso algum dos passos não seja cumprido, a empresa está sujeita a responder legalmente por seus atos, inclusive mediante pagamento de multa.
Como adverte o jargão: é melhor prevenir do que remediar! Tenha total clareza das implicações e consequências do compartilhamento de suas informações, e certifique-se a respeito dos programas e plataformas aos quais você submete seus dados. Assim, uma surpresa desagradável pode ser evitada.
É missão do segmento de saúde, seja público ou privado, buscar adaptação rápida para evitar ataques, cada vez mais sofisticados e frequentes. Para isso, torna-se fundamental o suporte e apoio de especialistas na avaliação e definição das melhores estratégias relacionadas à proteção dos dados.
Se quiser conversar mais sobre o impacto gerado pela violação de dados confidenciais em seus negócios, fale conosco!
- Published in Segurança da Informação
Dispositivos móveis e os riscos para a segurança da informação no varejo
Segundo os especialistas, até 2025, cerca de 60% dos consumidores usará o seu smartphone – e não a sua carteira – para pagar suas compras nos pontos de venda do varejo. São números que mostram a profunda necessidade de se preparar para garantir a segurança da informação no varejo.
Os dispositivos móveis estão rapidamente se tornando a principal maneira pela qual as pessoas acessam produtos e serviços online. Toda essa movimentação atrai a atenção de hackers – obrigando as organizações a se anteciparem à uma eminente enxurrada de ataques cibernéticos.
Se você quer entender melhor o cenário atual da segurança da informação no varejo, este artigo é o lugar certo para isso. Siga na leitura e descubra como o setor do varejo deve agir no cenário atual.
Desafios da segurança da informação no varejo
Não importa em qual setor de varejo sua organização opere, você certamente está incorporando iniciativas em torno do uso de dispositivos móveis.
Os varejistas de alimentos e bebidas usam dispositivos de ponto de serviço conectados a smartphones e tablets – ou apps como o iFood. As lojas de roupas e artigos para casa monitoram seus estoques usando aplicativos móveis.
Pesquisas mostram que os varejistas vão investir cada vez mais no uso da nuvem, big data, Internet das Coisas (IoT) e containers nos próximos anos.
O uso desses recursos amplia as oportunidades de estabelecer relações no atendimento ao cliente, mas também traz riscos inerentes, como:
- 50% dos varejistas já sofreram uma violação de dados;
- 84% planejaram aumentar os gastos em segurança de TI;
- 85% dos profissionais de segurança de TI de varejo afirmaram que sua organização usava armazenamento em nuvem para dados confidenciais.
Em resumo, os varejistas estão adicionando proteções de segurança cibernética e enfrentando menos violações de dados.
Em outras palavras, as tendências de segurança cibernética no varejo comprovam que o setor está trabalhando para encontrar as soluções de proteção digital que promovem a confiança do cliente.
Mas é importante ressaltar que os funcionários representam um dos maiores riscos de segurança em um ambiente de varejo. Ainda que os usuários finais também representem uma grande ameaça à segurança da informação no varejo, más condutas dos colaboradores são algumas das mais letais portas de entrada para ataques cibernéticos.
Por isso é importante investir não só em uma rede segura, criada por especialistas em segurança da informação, mas também estabelecer uma rotina de treinamentos dos funcionários e políticas que promovam boas práticas no ambiente digital.
Como garantir a segurança da informação no varejo
O Wi-Fi se tornou uma ferramenta importante de varejo nos últimos anos. Muitas organizações usam o Wi-Fi para conectar dispositivos de Ponto de Venda (PDV) e funcionários na loja, enquanto outras oferecem Wi-Fi gratuito para aumentar o tempo de permanência dos clientes no local.
Infelizmente, o Wi-Fi também é um alvo muito atraente para criminosos cibernéticos. Sem o nível de segurança adequado, um hacker pode acessar uma rede e monitorar o tráfego de dados, interromper transações e até mesmo lançar um ataque que afete os sistemas PDV, impedindo as transações de um dia de normal.
Um hacker também pode configurar um hotspot Wi-Fi falso no local, enganando a equipe e os clientes para que registrem e coletem dados pessoais, incluindo identidades e senhas.
Proteja a rede Wi-Fi – e o conforto dos clientes
Para seguir mantendo o serviço – que tem se tornado cada vez mais essencial para as empresas de varejo, as empresas precisam tomar alguns cuidados:
- Vá além de senhas simples: a autenticação multifator, como tokens e notificações push enviadas para telefones celulares, é significativamente mais segura do que o acesso tradicional por senha a redes Wi-Fi;
- Divida e proteja sua rede: dificulte a movimentação de hackers se eles violarem sua rede Wi-Fi;
- Use o monitoramento automático: busque fornecedores com expertise em segurança da informação no varejo e implemente softwares que possam monitorar automaticamente uma rede e procurar por atividades suspeitas ou fluxos de dados estranhos.
O que os varejistas podem fazer para ajudar a se preparar para um ataque?
Adotar um programa de defesa cibernética ativa, envolvendo especialistas de segurança da informação no varejo e implementando medidas de proteção para fortalecer seus sistemas contra ataques é um primeiro passo fundamental.
Promover um treinamento direcionado aos funcionários, reduzir a complexidade dos sistemas de TI e investir em análises regulares e contínuas de segurança também são medidas preventivas fundamentais.
Se o pior acontecer e ocorrer um ataque, alguns passos simples podem ajudar a limitar seu impacto:
- Envolva especialistas em segurança o mais rápido possível;
- Altere as senhas para contas que tenham direitos de administração ou acesso a informações confidenciais;
- Puxe o plug-in dos PCs afetados, quando o ataque assumir a forma de ransomware – isso ajuda a controlar a disseminação da violação de dados;
- Obtenha amparo legal sobre os requisitos de notificação e envolva o suporte de Relações Públicas para gerenciar qualquer problema de mídia;
- Por fim, em caso de violação de dados, seja transparente e tome as medidas necessárias para preservar a confiança do cliente.
Se você deseja se aprofundar e obter mais informações sobre segurança da informação no varejo, baixe nosso material exclusivo sobre o tema – clique aqui.
- Published in Segurança da Informação
Tecnologia na Educação: conciliando a troca de ideias e a segurança da informação
A tecnologia já está transformando a maneira como ensinamos e aprendemos. Salas de aula digitais, colaborações online globais e aprendizado personalizado são apenas o começo. Aliado a isso, é preciso pensar também na segurança da informação em estabelecimentos de ensino.
Pois da mesma forma que a transformação digital está expandindo os horizontes das salas de aulas e ampliando o apoio pedagógico para os educadores, ela também abre espaço para ataques cibernéticos que ameaçam a segurança de dados essenciais às instituições educacionais.
Mas isso não deve ser impeditivo para a implantação dos recursos tecnológicos de ensino, já que o mercado possui soluções e softwares que ajudam a garantir uma infraestrutura de TI eficaz e a segurança da informação em estabelecimentos de ensino.
Continue a leitura e saiba mais sobre o tema!
Vantagens de aplicar a tecnologia no ensino
Os avanços tecnológicos no setor da educação têm causado bastante impacto na sala de aula e na experiência de aprendizado como um todo.
Listamos abaixo algumas das mudanças positivas na forma como os alunos estão aprendendo graças à chegada da tecnologia.
Experiência de aprendizagem mais interativa e dinâmica
Os livros impressos agora dividem espaço com computadores e tablets – mais dinâmicos, dialogam melhor com as novas gerações.
Além disso, um dispositivo digital conectado ao wi-fi não limita mais o aprendizado do aluno à determinada localização. A tecnologia permite que os alunos se conectem, colaborem e criem globalmente, permitindo vivenciar o que estão aprendendo.
Alunos em igualdade de condições
As plataformas virtuais de aprendizado ampliam o acesso à educação – especialmente quando consideramos os cursos de ensino à distância (EAD).
Um dispositivo digital nas mãos de um aluno, conectado à internet, eleva as suas oportunidades de aprendizado e aprimoramento pessoal, nivelando melhor as chances de sucesso entre todos.
Abordagem individualizada
As escolas que adotam as plataformas de ensino e recursos tecnológicos pedagógicos também estão mudando a maneira como alunos e professores interagem durante a jornada de aprendizado.
Isso está quebrando o padrão antigo, onde todas as crianças da mesma idade aprendiam da mesma maneira com o mesmo professor. É possível pensar em abordagens personalizadas, que ajudem cada aluno a explorar suas potencialidades.
Melhora as taxas de retenção e graduação
Incorporar a tecnologia ao ensino permite que os professores personalizem a aprendizagem para seus alunos, gerando taxas de aproveitamento mais altas do que aqueles que não usam, segundo especialistas da educação.
Conexão mais efetiva entre educadores e alunos
As plataformas de ensino permitem aos professores acompanharem o que os alunos estão fazendo em tempo real e interagirem com eles de maneira mais eficaz.
Isso os tornará mais receptivos às necessidades dos alunos e lhes dará mais recursos na sala de aula.
Maior participação dos pais no processo de aprendizado
A tecnologia permite que os pais possam se envolver mais efetivamente, através da verificação das notas dos alunos, grade curricular e atividades diárias em aplicativos e plataformas da instituição de ensino.
Também permite aos responsáveis participarem mais e ajudar nos estudos de maneira mais interativa.
Tecnologia X segurança da informação em estabelecimentos de ensino
Devido à idade e os interesses da maioria dos usuários de redes educacionais, essas redes tendem a incorporar tecnologias e estratégias de ponta.
Ao mesmo tempo, esses alunos também tendem a forçar as restrições da rede, procurando soluções alternativas para acessar dados e aplicativos que os administradores de TI podem ter restringido.
Esse tipo de comportamento aumenta os riscos de ciberataques à estrutura de TI das instituições de ensino – expondo dados de segurança.
Um exemplo deste tipo de ação aqui no Brasil foi o ataque de ransomware sofrido pelo Centro Universitário Uninovafapi, de Teresina (PI), que expôs cerca de 30 mil dados pessoais de alunos e professores.
Isso pode ocorrer devido a uma série de fatores, como:
- Ataques maliciosos externos e internos de segurança cibernética;
- Engenharia social e ataques de phishing;
- Acessos desprotegidos através de dispositivos móveis;
- Entre outros.
Para evitar qualquer impacto negativo à segurança da informação em estabelecimentos de ensino é preciso ter alguns cuidados – veja os principais no próximo tópico.
Como garantir a segurança da informação em estabelecimentos de ensino
Como foi possível ver, a tecnologia traz diversos benefícios para a qualidade do aprendizado dos alunos. Mas é preciso preparar-se com soluções de segurança para prevenir e combater efetivamente a exposição aos riscos.
Um bom primeiro passo para garantir a segurança da informação em estabelecimentos de ensino é adicionar um plano de contenção a ataques cibernéticos, permitindo definir adequadamente os riscos.
É preciso também comunicar e instalar soluções de segurança cibernética em todos os departamentos.
Mas uma das etapas mais importantes neste processo é realizar treinamentos eficazes e constantes entre os funcionários. Eles precisam ter conhecimento sobre as ameaças e saber identificar, relatar e agir de acordo com elas.
É preciso dividir essas lições com os alunos e demais usuários das redes educacionais, criando apresentações educacionais e compartilhando-as com os educandos durante a orientação para ensinar sobre importantes riscos de segurança. Uma base sólida de procedimentos de segurança cibernética e um corpo docente e discente bem informado são as melhores ferramentas para mitigar as violações nos sistemas escolares.
Para conhecer as melhores ferramentas e práticas na hora de garantir a segurança da informação em estabelecimentos de ensino, fale com os especialistas Compugraf.
- Published in Segurança da Informação
Redes acadêmicas podem ser mais vulneráveis do que as corporativas
A transformação digital abriu um novo leque de possibilidades para as instituições de ensino – mas também aumentou sua vulnerabilidade aos cibercriminosos. Só no primeiro semestre do último ano, o setor de educação foi alvo de 13% das violações de dados, gerando o comprometimento de cerca de 32 milhões de registros e exigindo grande empenho do pessoal que cuida da segurança da informação na gestão escolar.
Além do conteúdo intelectual, escolas e universidades armazenam diversos dados sobre seus alunos, pais e da própria equipe, incluindo informações de identificação pessoal e dados financeiros. Esses registros são bastante atraentes para hackers, que podem comercializar ou utilizar estas informações para roubo de identidade e fraude.
A grande questão é que, mesmo com todos estes riscos à segurança da informação na gestão escolar, estas instituições também estão enfrentando demandas por maior capacidade digital de alunos e professores.
Por sorte, o mercado oferece uma série de soluções tecnológicas preparadas para garantir a segurança do ambiente digital para alunos, pais e educadores e ainda ampliar o potencial pedagógico de cada instituição.
Entenda melhor o cenário atual e como combater o problema, com a leitura deste artigo.
Principais ameaças à segurança da informação na gestão escolar
As instituições de ensino – como as escolas de educação infantil, ensino fundamental e médio, bem como as universidades – contam com uma arquitetura de TI bastante complexa e distribuída.
Por conta da natureza de suas atividades, e a diversidade de público que atendem, disponibilizam ambientes virtuais diversos – e todos precisam estar permanentemente disponíveis e seguros, independentemente do nível de criticidade de cada um.
Um bom exemplo está na área administrativa, cujo acesso deve ser vetado para alunos, educadores e visitantes.
Em contrapartida, outros ambientes – como bibliotecas e laboratórios – foram feitos para estimular a troca de informações e ideias, contando com um grande fluxo de visitantes acessando o sistema.
Esses ambientes oferecem uma margem maior de risco justamente por conta do comportamento (intencional ou não) dos usuários. O uso de dispositivos USB, notebooks, smartphones e tablets podem trazer riscos severos – como contaminação por malwares, danos em equipamentos e ferramentas.
Outro problema está nas brechas de sistema, que podem facilitar o roubo ou alteração de informações confidenciais, entre elas:
- Dados administrativos;
- Dados financeiros;
- Histórico de alunos;
- Resultados de pesquisas e trabalhos acadêmicos, entre outras informações acadêmicas importantes.
Em ambientes com grande fluxo e pouco controle dos hábitos dos usuários é preciso contar com o suporte de dispositivos tecnológicos que permitam fornecer o acesso sem deixar de lado a segurança.
É preciso, ainda, contar com a conscientização dos usuários quanto à forma segura e ética de utilizar todas as informações disponíveis, responsabilizando-os individualmente pelo acesso efetuado.
Assim, a instituição de ensino fica protegida contra malwares e outros riscos, bem como o uso inadequado das ferramentas – com plena segurança da informação na gestão escolar.
Segurança da informação na gestão escolar é uma preocupação global
Ataques cibernéticos que visam instituições de ensino infelizmente podem ser observados em todo o mundo. As universidades chinesas
De acordo com um estudo, as universidades chinesas foram responsáveis por 40% dos casos mais graves de ameaça cibernética.
Um dos casos de maior gravidade foram os ataques de ransomware global envolvendo o malware Wannacry em 2017. O ataque, que bloqueou arquivos de usuários e exigiu um resgate, aconteceu na véspera da apresentação das teses finais do ano acadêmico nas universidades chinesas.
Mas existem outros riscos dentro do ambiente educacional que podem ocasionar sérios danos. É o caso, por exemplo, do uso da rede para compartilhar conteúdos preconceituosos ou para a prática de cyberbullying – não podendo comprovar o autor, o estabelecimento de ensino pode ser responsabilizado, sofrendo prejuízos financeiros e de imagem.
Por motivos óbvios, acredita-se que as instituições mais visadas são aquelas que não possuem boas práticas de segurança – postura que precisa ser revista porque estabelecimentos de ensino, da mesma forma que qualquer organização que use recursos tecnológicos, precisam manter sistemas, dados e pessoas protegidos.
Como proteger a segurança da informação na gestão escolar
Não há segredo aqui: a segurança da informação nas instituições de ensino está totalmente ligada a um investimento em treinamento de pessoal, uma política eficaz de processos de segurança e ferramentas tecnológicas específicas para o setor.
Ao unir a tecnologia com processos eficazes e definidos, estudos constantes de vulnerabilidades e o envolvimento completo de toda a equipe, sua instituição de ensino terá a proteção necessária para promover a troca de ideias, sem comprometer a segurança de dados ou pessoas.
Como você pode ver, temos muito a falar sobre segurança da informação na gestão escolar. Por isso acompanhe as publicações no blog da Compugraf para saber cada vez mais.
- Published in Segurança da Informação
Por que os e-commerces terão que alterar suas políticas de privacidade no próximo ano?
A Lei Geral de Proteção de Dados Pessoais (LPGD) foi publicada em agosto de 2018 e entrará em vigor após decorridos 18 (dezoito) meses da sua publicação. Por parecer um considerável intervalo para início efetivo dos efeitos da lei, que poderá incluir fiscalização e punição de infratores, o prazo de 18 (dezoito) meses, ao invés de motivar as empresas interessadas e envolvidas na proteção de dados a se alinharem às mudanças de rotina que a Lei irá exigir, trouxe um certo “conforto” à essas empresas, que estão deixando tudo para 2020, o ano em que a Lei estará em vigor.
Contudo, vale a pena o alerta: as empresas não devem cometer o erro de deixar tudo para a última hora! São muitas mudanças que afetam a rotina da empresa, sua cultura e comportamento, bem como ferramentas necessárias para se adequar à LGPD. As novas regras abrangem desde os dados mais sensíveis até os dados de uso diário como questionários, idade, dados cadastrais, tanto para coletar, transmitir ou processar esses dados.
Além disso, os titulares dos dados, protegidos pela Lei, com certeza não vão abrir mão de invocar seus direitos normatizados pela LGPD, tais como: pedir explicações sobre seus dados, solicitar, inclusive, alterações e correções em caso de divergência.
Além de todas as adequações que as empresas deverão buscar durante esse período, bem como ferramentas necessárias para regular proteção dos dados, será necessário informar ao cliente o motivo pelo qual os seus dados serão tratados, não somente fazendo uso do que chamamos de opt-in no e-commerce, ou seja, não será suficiente colher apenas o “OK” do cliente para o efetivo consentimento. Os e-commerces deverão, de maneira clara e detalhada, esclarecer o motivo pelo tratamento dos dados.
E onde os e-commerces poderão detalhar isso, fazendo com que o cliente não apenas dê o consentimento, mas leia e tenha ciência sobre o tratamento de seus dados? Na “Política de Privacidade” ou, como em outros sites, “Termos de Condições de Segurança”.
Além do consentimento mencionado acima, não custa lembrar que muitos lojistas já tratam dados pessoais antes mesmo do cliente ler ou aceitar a Política de Privacidade do site, por meio de cookies ou outras ferramentas tecnológicas, na mera navegação.
A Política de Privacidade da loja é o meio ideal usado para tornar transparente sua relação com o usuário. Lá você informa todos os direitos, garantias, formas de uso, dados recolhidos, processamento e descarte dessas informações pessoais. Atualmente, os e-commerces pedem ao usuário, após preenchimento do seu cadastro, que demonstre expresso consentimento e concordância com esses termos. Isso tudo surgiu, de forma mais expressiva, após a regulação específica do mundo virtual, através do Marco Civil da Internet. Essa lei estabeleceu direitos e garantias aos usuários, além de regulamentar as responsabilidades aos setores públicos e privados.
Contudo, a mera alteração das Políticas de Privacidade não é o suficiente para garantir sua eficácia e adequação à LGPD. É importante se atentar para os aspectos práticos, pois, caso não implementado de forma correta, pode invalidar a sua Política de Privacidade. Sendo assim, destacamos alguns pontos importantes para uma Política de Privacidade adequada:
Consentimento
A Política de Privacidade do e-commerce nada mais é do que os termos de um negócio jurídico estabelecido entre o próprio comerciante com seus usuários. Para que tenha validade e eficácia, deve ser levada ao conhecimento do usuário que, por sua vez, deve manifestar sua aceitação. É nessa linha que se aperfeiçoa o vínculo contratual.
Consentimento Válido
A LGPD apresenta definição em seu artigo 5º, XII: “Para os fins dessa lei, considera-se consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”.
Essas são as características definidas pela LGPD para consentimento do usuário, que deve ser livre, ou seja, confere ao usuário pleno controle sobre o tratamento de seus dados pessoais. Deve, ainda, poder escolher quais dados fornecer ou não, podendo, inclusive, retirar seu consentimento a qualquer momento. O lojista não pode compelir o usuário a consentir com tratamento de seus dados pessoais para ter acesso a determinada aplicação na internet. Dessa forma, esse consentimento não é considerado livre e pode ser invalidado por ineficácia da aceitação.
Vale incluir uma exceção ao esclarecimento acima, uma vez que existem hipóteses em que o tratamento de dados é essencial ao regular funcionamento da aplicação na internet, sendo justificável que se condicione o acesso à aceitação do tratamento de dados essenciais.
Informações Necessárias
O usuário deve ter informações suficientes sobre o e-commerce e os serviços prestados, bem como sobre o tratamento de seus dados. Isso porque ele deve ter ciência do que está sendo contratado e consentir de forma consciente. Assim, o usuário deve saber a identidade do e-commerce, os responsáveis pelo tratamento de seus dados e as finalidades de destino desse tratamento. É fundamental que os e-commerces sejam transparentes com seus usuários, fornecendo o máximo de informação possível sobre seu modelo de negócio e a finalidade da coleta de dados. Tal finalidade, pela LGPD, deve ser específica e informada na Política de Privacidade, sendo proibido o uso de dados para fins não previstos, sem o consentimento do usuário.
Aceitação do Usuário
Deve haver uma ação do usuário indicando sua aceitação, seja por um clique ou por assinatura eletrônica. O silêncio nunca poderá ser considerado consentimento. Atualmente, muitos e-commerces incluem links para suas Políticas de Privacidade no rodapé do site, não exigindo aceitação do usuário. Além disso, possuem cláusulas de que o mero acesso já é aceitação pelo usuário de tais Políticas. Isso não será mais permitido pela LGPD.
O usuário, de alguma forma, deverá aceitar e consentir de forma expressa com a Política de Privacidade do e-commerce. Não somente isso, em qualquer alteração ou atualização quanto ao modelo de negócio do e-commerce ou ao tratamento de dados dos usuários, o consentimento deve ser renovado, uma vez que o consentimento originalmente fornecido, não será mais válido.
Conclui-se que o ano de 2019 será de muito trabalho para os e-commerces. Desse período até fevereiro de 2020, será o intervalo que permitirá adequação dos e-commerces para receber a LGPD e sua futura Autoridade de Proteção de Dados. Além das muitas mudanças necessárias, podemos observar que nada é tão simples quanto parece. O que as empresas pensam ser apenas mais uma alteração na redação de suas Políticas de Privacidade é o que dá validade ao negócio jurídico do comerciante com o usuário e, se não implementado corretamente, pode tornar qualquer Política inválida, deixando o lojista desprotegido em caso de eventual disputa.
Essa questão é uma dentre muitas questões fundamentais para proteção do e-commerce às altas multas cominadas pela LGPD. Esperar até o Carnaval de 2020 para tomar providências de adequação pode fazer com que o comerciante não tenha tempo hábil não somente para modificar a Política de Privacidade do seu site, mas também de mudar a cultura das áreas de sua empresa, que deverão também obedecer o que será determinado na nova política, após sua remodelagem.
Este artigo foi escrito por:
Ricardo Oliveira
Sócio do COTS Advogados, escritório especializado em Cyberlaw e Direito dos Negócios Digitais com sede em São Paulo. Atua há quase 10 anos na área jurídica, focando na multidisciplinaridade e interação dos mais diferentes ramos do Direito, sempre com foco em empresas do comércio eletrônico e tecnologia da informação.
Amanda Almeida
Advogada associada do COTS Advogados, escritório especializado em Cyberlaw e Direito dos Negócios Digitais com sede em São Paulo. Possui experiência em contencioso de massa, gestão e controle de contratos, atuando principalmente com empresas do seguimento ecommerce
- Published in Segurança da Informação
Saiba como a lei do e-commerce afeta seus resultados
Pesquisas recentes – de autoria da Ebit, empresa que realiza estudos relacionados à evolução do varejo digital brasileiro – mostraram que o volume de clientes ativos (aqueles que realizaram ao menos uma compra digital no ano) no Brasil chegou a 55 milhões em 2017. Isso torna a adequação à lei do e-commerce ainda mais urgente por parte das empresas do setor.
Promulgada no fim de 2017, a nova lei traz novidades sobre a oferta e a exibição de preços de produtos e serviços para os consumidores.
Saiba mais sobre a lei do e-commerce e tudo o que sua empresa precisa fazer para se preparar na leitura a seguir.
Saiba mais sobre a lei do e-commerce
Desde que surgiu, o e-commerce precisou conquistar a confiança dos consumidores até estar consolidado, traçando desafios entre lojista e consumidor, entre eles a necessidade de estabelecer um diálogo transparente entre ambos os lados.
Nesse contexto, a criação de regras claras foi uma providência necessária. O Código de Defesa do Consumidor ofereceu algumas seguranças como a obrigatoriedade de divulgar o preço total do produto – já incluindo frete, encargos e impostos já na página inicial do item a ser comercializado.
Outras regras importantes são:
- Determinação da responsabilidade, por parte da empresa vendedora, sobre os custos relativos à troca do produto;
- Oferecer ao menos um canal de comunicação direto para que os clientes possam tirar dúvidas ou fazer reclamações;
- Todo questionamento do cliente deve ser confirmado assim que for recebido pela empresa e sanado em até 5 dias;
- Possibilidade de devolução do item comprado no prazo de sete dias úteis, bem como do valor da compra em dinheiro – e não apenas em vale-compras.
Somado a isso, a lei do e-commerce, que passou a valer na quinzena de dezembro de 2017, acrescenta um inciso sobre comércio eletrônico ao artigo 2º da Lei 10.962/2004.
Ela determina que, “no comércio eletrônico, mediante divulgação ostensiva do preço à vista, junto à imagem do produto ou descrição do serviço, em caracteres facilmente legíveis com tamanho de fonte não inferior a doze.”
Impactos da lei do e-commerce
Na prática, os e-commerces sofrerão os seguintes impactos:
- Informações claras e legíveis: Empresas que usam uma fonte menor do que 12 na afixação dos preços dos produtos precisarão reformular o layout para entrar em conformidade com a nova lei. A fonte utilizada no preço deve obrigatoriamente ser legível, assim como o preço à vista, que deve ficar totalmente visível – evitando qualquer distração que desvie a atenção do consumidor para o valor das parcelas;
- Direito de arrependimento: consumidores que se arrependerem da compra podem devolver o produto no prazo de sete dias úteis, com o direito de receberem seu dinheiro de volta;
- Atendimento eficaz e de acordo com as regras: o suporte ao cliente deve ser rápido e eficaz, oferecendo suporte 24/7. Para isso, as empresas devem disponibilizar uma Central de Relacionamento com o Cliente (ou um SAC), utilizar chatbots ou ter uma página de FAQ, em local visível, para que o cliente possa contar com um autoatendimento sempre que necessário.
O objetivo maior da lei é a proteção aos direitos do consumidor e a ampliação da conformidade e da usabilidade das lojas virtuais no Brasil.
Penalidades para empresas que não cumprirem a lei do e-commerce
Empresas que não seguirem a lei do e-commerce podem sofrer as seguintes penalidades:
- Multa;
- Apreensão do produto;
- Inutilização do produto;
- Cassação do registro do produto junto ao órgão competente;
- Proibição de fabricação do produto;
- Suspensão de fornecimento de produtos ou serviço;
- Suspensão temporária de atividade;
- Revogação de concessão ou permissão de uso;
- Cassação de licença do estabelecimento ou de atividade;
- Interdição, total ou parcial, de estabelecimento, de obra ou de atividade;
- Intervenção administrativa;
- Imposição de contrapropaganda.
O Código de Defesa do Consumidor – CDC também contempla uma listagem de possíveis infrações penais e punições, como:
- Multas;
- Detenções;
- Interdição temporária de direitos;
- Publicação de notícias sobre fatos e condenações em veículos de comunicação de grande audiência;
- Prestação de serviços à comunidade.
Como preparar sua empresa para a lei do e-commerce
Para garantir que seu e-commerce esteja em total conformidade com as novas regras, o primeiro passo é fazer uma checagem completa com relação ao layout do site. Preços, informações de preço e formas de pagamento, políticas de troca e devolução, prazos de entrega e valores do frete devem estar perfeitamente visíveis e legíveis para os clientes.
Caso algo esteja em desacordo, faça as devidas reformulações, protegendo seu negócio de possíveis penalidades.
Outra questão importante é garantir a segurança da informação de seus consumidores. Os e-commerces deverão ajustar alguns procedimentos internos, com relação às políticas de segurança e proteção à privacidade.
O continente europeu foi o primeiro a criar uma legislação específica, e mais rigorosa, em relação aos cuidados com dados das empresas e seus consumidores. A chamada GDPR (Regulamento Geral de Proteção de Dados, em inglês) exige, entre outras providências, que empresas que tenham dados vazados informem o governo e o público em geral sobre o vazamento.
Organizações que tenham (ou pretendem ter) negócios nos países da Comunidade Europeia precisam se adequar às regras da GDPR. Além disso, a possibilidade de leis semelhantes se espalharem mundo afora é grande. Por isso e, principalmente, pela segurança da informação da própria empresa, é essencial que toda organização busque a melhor forma de se proteger de ataques virtuais.
Para isso, é importante contar com fornecedores como a Compugraf, que possuem um conjunto de soluções e serviços que podem ser personalizados de acordo com as necessidades de sua empresa.
Para saber mais sobre a lei do e-commerce e seus impactos na sua empresa, acompanhe nossos artigos no blog da Compugraf!
- Published in Segurança da Informação
Ameaça à segurança: ataques cibernéticos via dispositivos móveis
A adoção de novas tecnologias e o conceito de uma comunicação mais flexível a partir dos dispositivos móveis é uma das apostas das empresas para aumentar a produtividade e a lucratividade, mantendo-se competitivas em um mercado cada vez mais dinâmico.
De acordo com a Check Point Research, mais de 90% dos entrevistados acredita que os ataques cibernéticos tendem a aumentar em um cenário de expansão atômica dos dispositivos móveis.
Uma pesquisa realizada pela Euromonitor International revela que, até 2020, cerca de 4,5 bilhões de pessoas no mundo inteiro terão acesso a dispositivos móveis. No Brasil, há alguns anos o internauta usa mais o aparelho celular do que o computador para acessar a internet – pessoas que fazem compras e efetuam o pagamento através de seus aparelhos móveis.
Diante de um cenário tão propício à expansão dos smartphones e dispositivos móveis, é fundamental dedicar atenção a um aspecto essencial a toda organização: a proteção e a privacidade dos dados corporativos, uma vez que o volume compartilhado e armazenado é muito grande.
O que é GDPR – Regulamento Geral de Proteção de Dados?
A GDPR é a lei que passou a determinar, no continente europeu, a necessidade de investir em mecanismos de segurança como forma de prevenir eventuais ataques cibernéticos que causem prejuízo aos sistemas de informação das empresas. Trata-se de uma mudança que começou na comunidade europeia, mas agora já é tendência mundial.
Segundo levantamento feito pela empresa SAS, especialista em analytics, há pouco tempo da implantação do GDPR, apenas 7% estão aptas a atuar com a lei em vigor. Ainda assim, a ideia é vencer as barreiras para harmonizar as leis de dados privados por toda a Europa, protegendo e empoderando a todos os cidadãos.
Uma das questões discutidas na nova lei, por exemplo, é a política de armazenamento e o eventual vazamento de dados de clientes. Agora, todas as empresas que se enquadrarem na GDPR serão obrigadas a informar, tanto o governo quanto a população, sobre o vazamento de dados. Ter uma posição clara sobre o acontecido só pode beneficiar a empresa a evitar futuras ocorrências.
Já no Brasil, em agosto de 2018 foi sancionado o Projeto de Lei da Câmera 53/2018 – alterando a lei 12.965 (Marco Civil da Internet) -, que estabelece a lei brasileira de proteção e tratamento de dados pessoais, declaradamente inspirada na GDPR. A nova lei nacional deverá entrar em vigor em março de 2020, dando tempo às empresas para se adaptarem.
A pesquisa da Check Point, que levou em conta a opinião de 850 organizações sobre a utilização de dispositivos móveis entre 2016 e 2017, contabilizou que as empresas sofreram, em média, 54 ataques de malware móvel. Cerca de 89% das empresas ficaram sujeitas ao risco na conexão wi-fi.
Uma das justificativas para isso é o roteamento e o desbloqueio dos aparelhos. De acordo com os estudos, esses processos eliminam toda a segurança integrada que é oferecida por sistemas operacionais como iOS e Android.
Quando o levantamento passou a considerar outros setores, ficou evidente que o segmento da tecnologia ostenta o maior número de dispositivos protegidos na amostra, com 32%. Os serviços financeiros, como corretoras, bancos e fintechs aparecem em segundo lugar, com 21% de proteção dos dispositivos.
Os fabricantes, empresas de telecomunicação, agências públicas e o varejo completam o levantamento. Os setores financeiro e público, no entanto, foram os que sofreram mais ataques cibernéticos entre 2016 e 2017. Os serviços financeiros, no caso, responderam a 40% dos ataques – o que denota a importância da privacidade e proteção dos dados bancários por parte dos usuários.
As atividades da maioria das indústrias, independente do segmento, podem sofrer uma ampla variedade de ataques. Enquanto alguns malwares representam ataques direcionados que são voltados para uma organização específica, outros tentam infectar o maior número possível de dispositivos, comprometendo a segurança de redes inteiras ao longo do processo.
É importante reparar que, ao passo que expande as possibilidades de negócio dentro da empresa e amplia o acesso à informação, o livre uso de dispositivos móveis como uma ferramenta pode também atrair ameaças, tornando o sistema vulnerável. Por essa razão, é fundamental contar com suporte de empresas especializadas para a blindagem e proteção dos dados.
- Published in Segurança da Informação
- 1
- 2