Lições de um Incidente de Segurança e a Importância de um adequado Programa de Governança
Recentemente, foi divulgado um grave incidente envolvendo a exposição de dados sigilosos de milhões de beneficiários do INSS (Instituto Nacional do Seguro Social). O episódio destaca a importância crucial de implementar e seguir rigorosas políticas de privacidade e segurança da informação para mitigar riscos de acessos indevidos e exposição de dados pessoais.
O caso ocorreu devido à concessão indiscriminada de senhas a usuários externos, sem a subsequente revogação dos acessos quando esses indivíduos deixavam seus cargos. Essa falha de governança expôs informações sensíveis, como dados cadastrais e detalhes de benefícios, a um número indeterminado de usuários não autorizados ao longo de décadas.
Para entender a magnitude do problema, é essencial destacar que o Sistema Único de Informações de Benefícios – SUIBE, onde são armazenados esses dados, não possuía medidas de segurança adequadas, tais como como autenticação em dois fatores ou uso de VPN (Rede Privada Virtual). Ou seja, sem tais tipos de mecanismos, qualquer pessoa com uma senha válida poderia acessar as informações de 39,5 milhões de beneficiários.
Formas para evitar Incidentes de Segurança
Incidentes de Segurança como aquele havido no INSS podem ser evitados ou mitigados com certas medidas adotadas no âmbito de um projeto de governança de dados pessoais:
1. Revisão e Gestão de Acessos: A primeira linha de defesa contra acessos indevidos é a revisão periódica e a gestão eficiente de acessos, com um processo rigoroso de controle de acesso, garantindo que as permissões sejam revogadas imediatamente após a saída de um funcionário ou colaborador.
2. Autenticação em Dois Fatores: O uso de autenticação em dois fatores (2FA) é uma prática padrão que adiciona uma camada extra de segurança. Mesmo que alguém obtenha uma senha, a falta do segundo fator impediria o acesso não autorizado.
3. Utilização de VPN e Certificados Digitais: A exigência de VPN e certificados digitais emitidos por autoridades confiáveis, como o Serpro, limita o acesso apenas a usuários devidamente autenticados e dentro de uma rede segura. Essa prática reduz significativamente o risco de acesso externo não autorizado.
4. Monitoramento Contínuo e Alertas: Sistemas de monitoramento contínuo e alertas para volumes anormais de extração de dados podem detectar atividades suspeitas mais cedo. Isso permite ações imediatas, como o bloqueio de IPs e revisão de acessos suspeitos.
5. Educação e Conscientização: Programas contínuos de treinamento e conscientização sobre a importância da segurança da informação são fundamentais. Todos os funcionários e colaboradores devem entender as políticas de privacidade e suas responsabilidades na proteção dos dados.
Um incidente de segurança, seja ele de qualquer proporção, ilustra de maneira clara como a ausência de políticas robustas de privacidade e segurança da informação pode levar a graves consequências. Dados pessoais são ativos valiosos e sua proteção deve ser uma prioridade para todas as organizações, especialmente aquelas que lidam com informações sensíveis em grande escala.
Ao implementar políticas de privacidade e de segurança rigorosas, as empresas podem minimizar os riscos de acessos não autorizados, que possam resultar na exposição e/ou vazamento de dados pessoais, sujeitos a penalidades aplicáveis pela Autoridade Nacional de Proteção de Dados e indenizações em favor dos titulares afetados.
Portanto, a divulgação de incidentes de segurança deve servir como um alerta sobre a importância das empresas implementarem e gerenciarem programas de governança de dados eficazes, bem como medidas proativas para proteger a privacidade e a segurança da informação. Em um mundo cada vez mais digital, negligenciar essas práticas pode resultar em consequências severas, tanto para as instituições quanto para os indivíduos cujos dados são comprometidos.
O escritório EMERENCIANO, BAGGIO & ASSOCIADOS – ADVOGADOS, por sua área especializada em privacidade, proteção de dados, inovação e tecnologia, vem assessorando seus clientes na adequação de seus processos e atividades à legislação de proteção de dados e demais normas vigentes.
Este conteúdo possui caráter meramente informativo, não consistindo em qualquer tipo de consultoria, recomendação ou orientação técnica e/ou legal para casos concretos a respeito dos temas aqui abordados.
