Saltar para o conteudo
Avanet
RGPD: como a Sophos o pode ajudar

RGPD: como a Sophos o pode ajudar

29. MARÇO 2018

Já passou algum tempo desde que o Parlamento Europeu aprovou, a 14 de abril de 2016, o novo Regulamento Geral sobre a Proteção de Dados, mais conhecido por RGPD. O regulamento entra em vigor a 25 de maio de 2018, o que significa que as empresas tiveram quase dois anos para se prepararem. Entretanto, muito se tem escrito sobre o tema, nomeadamente porque as empresas norte‑americanas também são obrigadas a cumprir o General Data Protection Regulation.

Neste artigo, queremos mostrar de que forma a Sophos o pode ajudar a cumprir os requisitos do novo regulamento. Não iremos analisar em detalhe os 11 capítulos e 99 artigos. Muitas formulações continuam bastante vagas e deixam margem para interpretação. Os grupos de pressão fizeram um bom trabalho: as grandes empresas podem suportar processos judiciais durante anos para discutir nuances de redação. Para as PME, teria sido preferível ter regras mais claras. Os primeiros processos irão clarificar como determinados artigos devem ser interpretados.

Para clarificar desde já: a Avanet está sediada na Suíça e, sim, as empresas suíças com clientes na UE também são abrangidas pelo RGPD.

Muitas empresas não estão, por isso, a fazer nada neste momento e aceitam o risco de serem processadas. Alguns Estados‑Membros já anunciaram que não dispõem de recursos suficientes para investigar todas as queixas.

Afinal, do que trata este novo regulamento?

Alguns exemplos para perceber melhor o âmbito do RGPD e o papel que a segurança de TI pode desempenhar:

  • Os cidadãos da UE têm o direito de solicitar às empresas uma cópia dos seus dados pessoais.Para algumas empresas, isto já representa um problema. No pior cenário, um colaborador terá de passar horas a reunir toda a informação relevante.
  • Os cidadãos da UE podem solicitar a eliminação dos seus dados.Mais uma vez, é um desafio para o departamento de TI – os backups também estão incluídos. Nem todas as soluções permitem eliminar registos individuais das cópias de segurança e este requisito pode entrar em conflito com obrigações legais de conservação.
  • Se uma empresa sofrer uma violação de dados, existe uma obrigação de notificação, salvo se os dados estiverem cifrados.Este exemplo leva‑nos diretamente ao tema central, uma vez que é aqui que a segurança de TI ganha uma importância repentina.

A segurança de TI tem de ser levada a sério

Do nosso ponto de vista, é positivo que o RGPD forneça argumentos adicionais para levar, finalmente, a sério o tema da segurança de TI. Quem o ignora e continua a achar que não precisa de uma solução robusta para a sua empresa arrisca‑se, mais cedo ou mais tarde, a ser sancionado por negligência grave. Ainda vemos demasiados PCs, servidores e outros sistemas ligados diretamente à Internet sem qualquer proteção, e onde se ignoram atualizações e patches críticos.

O facto de o Windows XP já não receber patches não significa que o sistema seja seguro. Pode parecer estranho, mas há realmente utilizadores que acreditam nisso.

Também é frequente vermos pessoas a navegar na Internet com browsers que não são atualizados há muito tempo. Utilize sempre um browser moderno e atualizado do ponto de vista da segurança.

A indústria do ransomware adapta‑se

Vivemos numa época em que o ransomware e os exploits estão entre os métodos de ataque mais bem‑sucedidos. Esta “indústria” também se está a preparar para o dia 25 de maio. Já foram detetadas novas variantes de ransomware que já não cifram os dados para exigir Bitcoins em troca da chave, mas sim extraem discretamente dados da empresa ao longo de semanas e, em seguida, apresentam uma mensagem do género:

Temos os seus dados! Transfira XXX Bitcoins ou iremos publicá‑los.

Neste cenário, as cópias de segurança – que muitos viam como a solução perfeita contra o ransomware clássico – deixam de ser suficientes. Se os dados roubados forem divulgados, as consequências são duas: danos de reputação e uma multa da UE que pode atingir 20 milhões de euros ou 4% do volume de negócios anual.

Proteção: simples e relativamente económica

Existem algumas regras básicas que devem ser sempre seguidas:

  • Utilizar um sistema operativo atual (PC, servidor, smartphone, dispositivos IoT).
  • Aplicar regularmente atualizações de software.
  • Instalar uma solução antivírus profissional. → Na nossa opinião, soluções como Avira, Avast, Windows Defender e afins não são suficientes se analisarmos a tecnologia subjacente. Falamos de tecnologia porque o marketing e os textos destas soluções são muitas vezes muito convincentes. Se acreditarmos nas descrições, estes produtos gratuitos também protegem contra tudo. Adicionalmente, recomendamos sempre Sophos Intercept X. Para servidores, existe Sophos Server Protection.
  • Cifrar os suportes de dados (discos rígidos, pen drives USB, etc.). → Isto ajuda em caso de perda ou roubo de um dispositivo. BitLocker para Windows e FileVault para macOS são boas opções. Podem ser ativados manualmente em alguns equipamentos ou geridos centralmente em muitos endpoints através do Sophos Device Encryption.
  • Cifrar os ficheiros. → Existem ferramentas como o VeraCrypt (sucessor gratuito do TrueCrypt) ou o Cryptomator. O VeraCrypt guarda todos os dados num único contentor, o que é pouco prático e não ideal do ponto de vista da segurança (por exemplo, uma única palavra‑passe para todos os dados). O Cryptomator (também gratuito) resolve isto de forma mais elegante: cada ficheiro é cifrado com a sua própria chave (incluindo o nome do ficheiro) e permanece individual, o que também é vantajoso para as cópias de segurança. E a Sophos? Para empresas mais pequenas, na nossa opinião, ainda não existe uma solução verdadeiramente adequada, a menos que estejam dispostas a operar um servidor Windows com base de dados e integração AD – cenário em que o Sophos SafeGuard é uma boa opção. Qualquer que seja o produto escolhido, um bom esquema de cifragem depende de uma palavra‑passe forte e que não seja reutilizada em todo o lado.

O RGPD menciona explicitamente a cifragem como método adequado para proteger dados em caso de violação (artigo 34).

  • Formar os utilizadores. → Idealmente, os mecanismos de proteção estão presentes, mas nunca precisam de ser utilizados, tal como acontece com as cópias de segurança. Infelizmente, alguns utilizadores não têm essa noção e clicam em todos os links ou reagem a e‑mails de phishing de forma que compromete seriamente a segurança de TI. É aqui que entram em cena soluções como o Sophos Phish Threat, que permite criar campanhas de phishing, testar os utilizadores e formá‑los posteriormente. O objetivo é aumentar a consciencialização de que um e‑mail nem sempre é genuíno, mesmo que pareça perfeito.
  • Proteger os dispositivos móveis. → Os e‑mails, contactos e calendários da empresa residem frequentemente em dispositivos móveis. Além disso, é cada vez mais comum transportar consigo dados empresariais. Por isso, portáteis, smartphones e tablets devem ser protegidos, sujeitos a políticas consistentes e, se necessário, passíveis de ser apagados remotamente. O Sophos Central Mobile ajuda precisamente nisso.
  • Proteger as redes. → Quando tiver pelo menos 50% dos pontos anteriores cobertos, pode concentrar‑se na segurança de rede. Um firewall corretamente configurado pode fazer uma grande diferença e também proteger as redes sem fios. Veja a Sophos XG Firewall.
  • Cifrar o e‑mail. → Há anos que se fala em cifrar o e‑mail, mas, fora de alguns sectores, esta prática ainda não está generalizada, sobretudo porque não é particularmente cómoda. A Sophos tem várias soluções nesta área, mas, para sermos honestos, ainda não as consideramos totalmente maduras nem especialmente adequadas para PME.

Estes são, em resumo, os pontos que recomendamos abordar para não ser uma das primeiras empresas a violar inadvertidamente o RGPD. 😉

Patrizio

Patrizio

Patrizio e um especialista de redes experiente, focado em firewalls Sophos, switches e pontos de acesso. Apoia clientes e equipas de TI na configuracao, na migracao e numa segmentacao de rede limpa.