Uma falha no antivírus corporativo da CrowdStrike, empresa renomada no campo da segurança cibernética, causou uma pane global em seus sistemas. A empresa, que atende grandes corporações e clientes governamentais, incluindo a Microsoft, teve seus sistemas indisponíveis por um período significativo, afetando diversos serviços essenciais.

• Siga o tecflow no Google News!
• Participe dos nossos canais no Twitter, Telegram ou Whatsapp!
• Confira nossos stories no Instagram e veja notícias como essa!
• Siga o tecflow no Google Podcast e Spotify Podcast para ouvir nosso conteúdo!
• Anuncie conosco aqui ou apoie o tecflow clicando neste link.

Em entrevista exclusiva ao tecflow, Dra. Márcia Ferreira, gerente do Núcleo de Privacidade e Proteção de Dados do Nelson Wilians Advogados, maior escritório full service do país, nos explica como a LGPD exige que empresas lidem com dados pessoais e respondam a incidentes de segurança, e o que a CrowdStrike deveria ter feito para estar em conformidade com a legislação brasileira. Confira a entrevista completa abaixo:

tecflow: De que maneira a LGPD exige que empresas que lidam com dados pessoais ajam em resposta a incidentes de segurança?

Dra. Márcia Ferreira: A LGPD exige que as empresas que lidam com dados pessoais tomem medidas adequadas para proteger esses dados e responder a incidentes de segurança de forma eficaz. De acordo com a LGPD, as empresas devem:

1. Notificação: Em caso de incidentes de segurança que possam causar risco ou dano relevante aos titulares, a empresa deve comunicar a Autoridade Nacional de Proteção de Dados (ANPD) e os próprios titulares dos dados pessoais. Esta comunicação deve ser feita em até 3 (três) dias úteis, conforme recomendação da ANPD, detalhando a natureza dos dados afetados, as medidas tomadas para mitigar os efeitos do incidente e as medidas de segurança implementadas.
2. Medidas Técnicas e Administrativas: Implementar medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. Isso pode incluir isolar os sistemas afetados, restaurar backups e implementar medidas de segurança adicionais.

tecflow: O que a CrowdStrike deveria ter feito para estar em conformidade com a LGPD após a falha?

Dra. Márcia Ferreira: Para estar em conformidade com a LGPD após este incidente, a CrowdStrike deveria:

1. Notificação: Notificar a ANPD e os clientes afetados sobre o incidente, descrevendo a natureza do ocorrido, os dados afetados e as medidas tomadas para mitigar os danos.
2. Comunicação: Manter uma comunicação clara e transparente com os clientes e outras partes interessadas, explicando as causas do incidente, os riscos envolvidos e as ações corretivas.
3. Investigação: Realizar uma investigação completa do incidente de segurança para identificar as causas e os fatores que contribuíram para o incidente. A empresa deve documentar os resultados da investigação e implementar as medidas necessárias para evitar que incidentes semelhantes ocorram no futuro.
4. Prevenção: Implementar medidas para prevenir futuros incidentes de segurança. Isso pode incluir atualizar o software de segurança, realizar testes de vulnerabilidade regulares e treinar os funcionários sobre segurança da informação.

tecflow: Quais são as melhores práticas para empresas garantirem que suas medidas de segurança da informação estejam sempre atualizadas e adequadas? Como realizar testes de vulnerabilidade e manter um plano de resposta a incidentes robusto?

Dra. Márcia Ferreira: Para garantir que as medidas de segurança da informação estejam sempre atualizadas e adequadas, as empresas devem adotar as seguintes melhores práticas:

1. Defesa em Profundidade: Adotar uma abordagem de defesa em profundidade, que envolva a implementação de várias camadas de segurança para proteger os dados contra ataques. Isso pode incluir firewalls, software antivírus, sistemas de detecção de intrusão e criptografia.
2. Atualizações Regulares: Implementar um processo de atualização regular para todos os softwares e sistemas, garantindo que todas as correções de segurança sejam aplicadas imediatamente.
3. Testes de Vulnerabilidade: Realizar testes de vulnerabilidade e penetração periodicamente para identificar e corrigir pontos fracos nos sistemas. Esses testes devem ser realizados tanto internamente quanto por especialistas externos independentes.
4. Monitoramento Contínuo: Implementar sistemas de monitoramento contínuo para detectar atividades suspeitas e responder rapidamente a qualquer incidente.
5. Plano de Resposta a Incidentes: Desenvolver e manter um plano de resposta a incidentes robusto, que inclua procedimentos claros para detectar, responder e mitigar incidentes de segurança. Este plano deve ser testado regularmente por meio de simulações e exercícios de resposta a incidentes.
6. Treinamento: Fornecer treinamento regular aos seus funcionários sobre segurança da informação para que eles possam identificar e relatar ameaças de segurança.

Clique e saiba mais.

tecflow: Como você avalia o papel das auditorias e certificações de segurança na proteção contra falhas como a da CrowdStrike? Qual a importância dessas práticas para garantir a conformidade com regulamentos como a LGPD?

Dra. Márcia Ferreira: As auditorias e certificações de segurança desempenham um papel crucial na proteção contra falhas de segurança e na garantia de conformidade com a LGPD e outros regulamentos. Aqui estão alguns pontos-chave sobre a importância dessas práticas:

1. Auditorias Independentes: Auditorias realizadas por terceiros oferecem uma verificação independente das medidas de segurança de uma empresa, identificando possíveis falhas e áreas de melhoria.
2. Certificações: Certificações como ISO/IEC 27001 ajudam as empresas a garantir que suas práticas de segurança estão alinhadas com as normas internacionais e regulamentos como a LGPD. Essas certificações demonstram um compromisso com a segurança da informação e a proteção de dados pessoais.
3. Confiança: Empresas certificadas transmitem maior confiança para clientes e parceiros, demonstrando que adotam as melhores práticas de segurança e estão comprometidas com a proteção dos dados.
4. Melhoria Contínua: O processo de auditoria e certificação incentiva a melhoria contínua das práticas de segurança, uma vez que as empresas devem revisar e atualizar regularmente suas políticas e procedimentos para manter a certificação.
5. Redução de Riscos: Ao identificar e corrigir vulnerabilidades por meio de auditorias, as empresas podem reduzir significativamente o risco de incidentes de segurança e as consequências associadas a esses incidentes.

Ainda segundo a especialista, a falha levanta questões importantes sobre segurança da informação e conformidade com a Lei Geral de Proteção de Dados (LGPD). A CrowdStrike precisa demonstrar que tomou medidas adequadas para mitigar os danos causados e garantir a proteção dos dados dos seus clientes.

O incidente serve como um lembrete da importância de manter as medidas de segurança da informação atualizadas e adequadas, em linha com os princípios da LGPD. As empresas precisam investir em soluções confiáveis, realizar testes regulares de vulnerabilidade e ter planos de resposta a incidentes robustos para garantir a proteção dos dados pessoais sob sua responsabilidade.

Clique e saiba mais.

Dra. Márcia Ferreira ainda reforça que a falha da CrowdStrike demonstra que mesmo empresas de grande porte não estão imunes a falhas de segurança, e que a LGPD deve ser levada a sério por todas as organizações que lidam com dados pessoais.

Faça como os mais de 10.000 leitores do tecflow, clique no sino azul e tenha nossas notícias em primeira mão! Confira as melhores ofertas de celulares na loja parceira do tecflow.

Marciel

Formado em jornalismo, o editor atua há mais de 10 anos cobrindo notícias referente ao mercado B2B. Porém, apesar de toda a Transformação Digital, ainda prefere ouvir música em disco de vinil.