Fortinet destaca passo a passo de como responder um vazamento de dados sob os olhos da lei e lista 7 pontos que uma empresa deve considerar para garantir maior segurança e conformidade

Por: Leia Machado

Há pelo menos um ano os CISOs brasileiros estão mergulhados em novos desafios. Se não bastasse um cenário cada vez mais complexo com uma avalanche de vulnerabilidades e ataques cibernéticos, os gestores de segurança também foram inseridos no contexto da Lei Geral de Proteção de Dados.

Para uns, pertencer ao comitê que vai tratar das questões da LGPD é uma questão de oportunidade de carreira, para outros, é um grande pesadelo que significa ainda mais trabalho, um verdadeiro abacaxi para descascar. O fato é que, gostem ou não, os CISOs terão que lidar com regulamentação e diversas questões envolvidas à conformidade, é um trabalho para hoje.

O lado bom dessa história é que eles não estão sozinhos. A LGPD movimenta discussões em toda organização e, pelo menos nas grandes empresas, vem fomentando um ambiente muito colaborativo entre as equipes de TI/SI, governança, compliance, jurídico, marketing e RH.

Afinal, lidar com regulamentações que exigem investimentos, processos, pessoas e tecnologia não é um assunto para apenas uma cabeça pensante, é preciso dar as mãos para encarar o desafio de frente.

Outro ponto importante que a LGPD trouxe para o Brasil é a oportunidade de amadurecer pontos cruciais dessa jornada. Independente de como as empresas brasileiras irão atender aos requisitos, seja com recursos tecnológicos e humanos próprios ou com apoio de parceiros, a maioria está preocupada em desenvolver melhores práticas nos pontos regulatórios.

“Ninguém está 100% preparado para lidar com a LGPD, é um processo de amadurecimento contínuo cuja expertise virá com o tempo, com a mão na massa”, destaca Alexandre Bonatti, diretor de Engenharia de Sistemas da Fortinet, durante um encontro com a imprensa, realizado hoje, 12, em São Paulo.

Para o executivo, a cultura é o principal desafio para o Brasil, é desbravar uma conscientização coletiva quando o assunto é proteção de dados. “Ninguém precisa estar com o projeto 100% pronto até agosto de 2020. O importante é as organizações brasileiras darem o pontapé inicial rumo à conformidade da LGPD”, acrescenta Bonatti.

Cenário de Crise

Pautada nesse cenário, a Fortinet vem realizando alguns experimentos com empresas de várias verticais de negócio – especialmente Finanças, Varejo, Saúde e Educação – com objetivo de simular um vazamento de dados. A ideia é mostrar como os comitês corporativos estão lidando com o cenário de crise e desenvolvendo as melhores práticas para agir diante de um vazamento de dados sob os olhos da LGPD.

1º passo: Entender o impacto do vazamento de dados para o negócio;

2º passo: comunicar as vítimas que tiveram seus dados vazados, além de informar o time de colaboradores sobre o incidente;

3º passo: comunicar as autoridades em até 72 horas;

4º passo: olhar pra dentro e entender a causa raiz do problema, se foi tecnológico, negligência, intencional ou exploração de vulnerabilidade;

5º passo: mitigar o risco, aplicar as devidas correções em curto, médio e longo prazo;

6º passo: aprender com o processo, as lições aprendidas são pontos fundamentais para que a empresa não cometa os mesmos erros e fomente um trabalho colaborativo, planejado e estratégico diante de um cenário de crise.

“A prevenção ainda é o ponto mais importante da Segurança, é um tema que precisa ser amplamente divulgado dentro das empresas com campanhas de conscientização e cultura organizacional. Além disso, comunique! Para combater os ataques cibernéticos a melhor forma é comunicar o incidente, tornar público, só assim conseguiremos aprender com os erros e evitar que eles se repitam”, finaliza Bonatti.

A Fortinet também destacou os 7 pontos que uma empresa deve considerar para garantir maior segurança e conformidade com a LGPD:

1.Primeira linha de defesa com firewall de última geração;

2.Proteger o edpoint;

3.Proteger o e-mail;

4.Proteger os aplicativos da Web;

5.Fazer gerenciamento e relatórios abrangentes;

6.Estabelecer camadas de Acesso Seguro;

7.Previnir e detectar ameaças avançadas.

Fonte: Security Report