Menu

As empresas devem estar atentas à violação de dados

As empresas devem estar atentas à violação de dados

É o que alerta especialista da OTRS Brasil ao citar o caso da British Airways, que foi multada no ano passado

A companhia aérea British Airways poderá ser multada em £ 183 milhões – um recorde – por violação de dados no ano passado.

Segundo o Gabinete do Comissário de Informação (ICO), órgão de fiscalização de dados do Reino Unido, “acordos de segurança deficientes” na empresa levaram à violação de informações de cartão de crédito, nomes, endereços, detalhes de reservas de viagens e logins de cerca de 500 mil clientes.

A multa seria a maior que a ICO já emitiu, muito mais do que a de 500 mil libras contra o Facebook pelo escândalo Cambridge Analytica, que afetou milhões de pessoas. A British Airways terá agora 26 dias para recorrer da decisão antes de ser finalizada.

Em um comunicado, a comissária de informação Elizabeth Denham disse que a perda de dados pessoais é “mais do que uma inconveniência”.

Ressaltou também que as empresas devem tomar as medidas apropriadas “para proteger os direitos fundamentais de privacidade. Os dados pessoais das pessoas são apenas isso - pessoais. Quando uma organização falha na proteção contra perda, dano ou roubo, é mais do que uma inconveniência. É por isso que a lei é clara - quando você recebe dados pessoais, precisa cuidar deles”.

Sua empresa está preparada para a LGPD?

O Brasil também deu um passo importante em direção a proteção de dados. Em julho de 2018, foi aprovada a lei geral de proteção de dados pessoais, incluindo o país no rol das nações com legislação sobre o tema.

O texto garante maior controle dos cidadãos sobre suas informações pessoais: exige consentimento explícito para coleta e uso dos dados, tanto pelo poder público quanto pela iniciativa privada, e obriga a oferta de opções para o usuário visualizar, corrigir e excluir esses dados.

Segundo Matheus Baeta, diretor da OTRS Brasil, fornecedora líder de soluções para gerenciamento de processos e comunicação, o marco legal é o ponto de partida para a implementação de uma estratégia social que coloque o indivíduo no controle efetivo dos seus dados pessoais.

“Sem a LGPD, o Brasil perderia oportunidades de investimentos financeiros internacionais em razão do isolamento jurídico”, esclarece o executivo.

A lei brasileira prevê advertências e multas de até R$ 50 milhões por infração, além de proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados.

Mas a maioria das empresas brasileiras não está preparada para tais níveis de conformidade. “É preciso que as corporações busquem tecnologia e know-how de processos que estejam de acordo com a nova lei, de forma a evitarem transtornos operacionais e econômicos. Será essencial que as empresas registrem incidentes de segurança de TI e as documentem legalmente”, explica Baeta.

Como especialista em ambientes de segurança, a OTRS faz as seguintes recomendações às empresas:

Elabore uma estratégia - Pequenas, médias e grandes empresas, além das instituições governamentais, precisam elaborar suas estratégias. É útil criar Relatórios para Incidentes de Segurança e dedicar uma pessoa responsável por eventos relacionados à segurança. Isso pode criar uma documentação centralizada que mantém todos conscientes do que está acontecendo.

Busque especialistas experientes - Além da lei de proteção de dados pessoais, outras regulamentações legais para proteção de dados e processos de segurança de TI aplicam-se a setores críticos, como provedores de serviços financeiros e seguradoras. As empresas nem sempre têm tempo para verificar todos os regulamentos e determinar se são relevantes para seus negócios. Portanto, não hesite em consultar especialistas experientes externos com perguntas sobre as diretrizes e conformidades.

Defina processos de segurança claros - É importante que todas as empresas estabeleçam processos e responsabilidades claras para lidar com eventos relacionados à segurança.

As seguintes questões devem estar entre as consideradas:

1- Como você define um incidente de segurança?

2- Quando exatamente um incidente precisa ser relatado?

3- Quais dados ou processos devem ser protegidos?

4- Qual é o impacto potencial do incidente?

5- Quem deve ou pode ser informado de um incidente?

6- Em que ordem e em que período deve ocorrer a comunicação?

Centralize os processos digitais- Para documentar os eventos de segurança e as medidas correspondentes tomadas para mitigar a situação de maneira segura, sistemas como o STORM da OTRS estão disponíveis. Eles atuam como o backbone técnico dos processos de segurança de TI, suportam a comunicação relacionada a incidentes e armazenam a documentação no caso de auditorias posteriores. Eles tornam possível definir processos específicos para cenários de ameaças, conceder acesso baseado em função aos usuários e permitir a comunicação criptografada entre usuários claramente autenticados, de modo que os ataques sejam tratados rapidamente e a documentação apropriada seja capturada.

Segurança é um processo contínuo- Uma vez estabelecidos, os processos de segurança de TI se tornam uma parte cotidiana de suas atividades comerciais. No entanto, deve-se considerar que os regulamentos, processos e requisitos podem mudar de novo e de novo. É por isso que as empresas devem se manter atualizadas. Para desenvolver know-how de segurança e desenvolver uma equipe de segurança de TI, o profissional deve se conectar com outros agentes de segurança e ficar por dentro das mudanças no setor.

Deixe um comentário

Certifique-se de preencher os campos indicados com (*). Não é permitido código HTML.

voltar ao topo

Finanças

TI

Canais

Executivos Financeiros

EF nas Redes