LGPD: a hora de medir a eficácia da segurança digital da empresa é agora
Arthur Capella*
O início da fiscalização da LGPD demanda que o CISO tenha clareza sobre a eficácia dos programas de segurança digital adotados na empresa. A conformidade com a LGPD é obtida por meio de um ciclo contínuo de ajustes na segurança digital e nos processos da empresa. A meta é evitar vazamentos de dados privados de clientes, colaboradores e parceiros de negócios.
Essa profunda transformação está apenas se iniciando no Brasil. Pesquisa realizada em maio de 2021 pela consultoria em governança corporativa ICTS Protiviti com 500 grandes empresas de todas as verticais e regiões do Brasil revelou que 84% desse universo não se considerava preparado para o início da fiscalização da LGPD. No segmento de pequenas e médias empresas o quadro é ainda mais dramático. Levantamento realizado pela consultoria em cyber segurança Bluepex em setembro de 2020 com 389 empresas PME mostrou que apenas 2% dos entrevistados consideravam que tinham feito as transformações necessárias para evitar as multas da LGPD.
Enquanto a jornada das empresas em direção à conformidade à LGPD acontece com lentidão, o número de vulnerabilidades só aumenta. Segundo o Relatório de Vulnerabilidades Tenable, somente em 2020 18.358 novas brechas foram descobertas.
Neste cenário, é fundamental que as organizações ganhem visibilidade sobre os riscos dos seus ambientes digitais. Os cinco pontos abaixo podem ajudar a medir a maturidade da cultura da segurança cibernética. Isto não garantirá que uma organização entre em conformidade com a LGPD, mas facilita a aferição da real eficácia dos programas de segurança.
1. Qual o nível de segurança do endpoint num momento em que o modelo híbrido de trabalho se torna permanente?
Pesquisa realizada pela consultoria KPMG com 722 empresários brasileiros e divulgada em maio de 2021 revela que 50% desse universo afirmam que o retorno ao escritório será em novas bases, com somente 30% da equipe trabalhando ao mesmo tempo na sede da empresa. Ou seja: o modelo híbrido de trabalho veio para ficar, e o home office continuará sendo estratégico para as empresas. Nesse contexto, é essencial que o CISO tenha certeza de que os endpoints – qualquer que seja o local de operação do dispositivo – têm instalados os programas de segurança necessários. É importante, também, que a empresa esteja ciente sobre qualquer software não autorizado ou potencialmente instalado nesses ativos. Um estudo realizado pela Forrester em 2020 em nome da Tenable, que incluiu mais de 800 entrevistados de todo o mundo, incluindo brasileiros, mostrou que somente 44% dos líderes de segurança afirmam que sua organização tem boa visibilidade da segurança sobre seus ativos mais críticos.
2.Com que frequência é feita a monitoração dos ativos da empresa?
A partir de agosto, fica no passado a possibilidade de as empresas realizarem ciclos de verificação de segurança em longos intervalos. A luz que a LGPD lança sobre toda a empresa está levando profissionais de segurança e de negócios a entender que não é aceitável permitir que as vulnerabilidades de seu ambiente digital permaneçam sem identificação e sem patches. Rapidez é essencial para identificar e quantificar o risco. Segundo a Tenable Research, em média as organizações escaneiam seus ativos a cada quatro dias.
3.Que visão a empresa tem sobre as vulnerabilidades abertas de seu ambiente?
Não existe empresa alinhada à LGPD sem um grande foco no processo de autenticação de acesso a ativos. O CISO que conhecer a abrangência, a criticidade, o impacto e as necessidades do ambiente conseguirá gerenciar o risco com eficácia e construir um programa de segurança mais maduro. Estudos da Tenable Research mostram que as verificações baseadas em credenciais detectam, em média, 45 vezes mais vulnerabilidades por ativo do que as verificações não baseadas em credenciais. O scan de credenciais é um scan mais preciso, capaz de melhor identificar configurações fracas, patches em falta e outras vulnerabilidades semelhantes. É importante destacar que quase 60% dos ativos corporativos são verificados sem a checagem de credenciais locais. Isso produz falsos negativos, alertas que diminuem de forma considerável a produtividade do time de cyber segurança.
4.Qual a velocidade de correção de vulnerabilidades de alto risco?
O fato de que cada empresa possui milhares ou centenas de milhares de vulnerabilidades em seus diversos ambientes digitais – esse número depende do tamanho da empresa e de quão digitalizada é – exige uma nova visão sobre esse desafio. A correção da brecha deve ser feita a partir de uma análise sofisticada e instantânea sobre qual vulnerabilidade, ao ser atacada, prejudicará ativos essenciais para os processos de negócios. Essa análise examina as características de cada vulnerabilidade (o quão fácil é usar essa brecha como vetor de ataque), processando esse dado juntamente com informações atualizadas sobre o cenário de ameaças. A meta é usar todas essas estratégias para identificar e corrigir a vulnerabilidade que realmente representa uma ameaça aos negócios e, com isso, aumentar o alinhamento da empresa à LGPD.
5. A empresa está reduzindo o risco cibernético nas principais funções de negócios?
Há três níveis de respostas a essa pergunta. Para os membros do C-Level e outros líderes de negócios, o foco é entender se a gestão de risco está alinhada com os objetivos do negócio e, também, mensurar o retorno do investimento do orçamento destinado ao programa de segurança. Para os profissionais da camada estratégica, a resposta a essa pergunta colabora na tomada de decisões que irão, 24×7, garantir o grau de eficácia dos programas de segurança. Os líderes das áreas tática ou operacional – pessoas responsáveis por remediação e aplicação de patches – precisam de dados que indiquem o quanto seus esforços estão sendo bem-sucedidos. Isso é essencial para que esses profissionais consigam comunicar suas conquistas ao longo de toda a cadeia hierárquica da empresa.
As respostas a essas questões ajudam a empresa como um todo a identificar e reduzir os riscos reais de seus ambientes digitais.
A implementação da LGPD é um importante passo para a proteção da privacidade dos brasileiros. O início da fiscalização é uma oportunidade para mudar a forma como as organizações abordam a segurança cibernética. A hora de fazer mudanças nesse quadro é agora.
*Arthur Capella é Country Manager da Tenable no Brasil.