Em entrevista ao Blog da Segurança, o especialista em Tecnologia da Informação, Abian Laginestra dá um panorama completo sobre segurança da informação na era digital.
Abian é formado pela FGV EBAPE e com MBA em Gestão de Segurança da Informação pelo Infnet. Possui 15 anos de experiência em segurança nos mercados Financeiro, Jurídico Empresarial, Farmacêutico e Siderúrgico e 20 anos em TI.
Confira agora o bate-papo completo sobre Cibersegurança e LGPD sob o ângulo do especialista:
Proteção de equipamentos com IoT
Blog da Segurança: Estamos vivendo a era digital e acompanhando essas tendências onde as tecnologias IoT e AI (que carregam informações dos usuários) estão convergindo com equipamentos tradicionais, qual futuro você prevê para a segurança da informação?
Abian Laginestra: “A primeira coisa que temos que pensar é que hoje tudo o que temos em tecnologia é construído em camadas de abstração, tudo é derivado de algum tipo de sistema pré-existente, Unix por exemplo. Um outro exemplo interessante são os carros que foram construídos para terem um sistema (barreamento) autônomo e sem conexão exterior (ECU) . Este tipo de produto não foi concebido com a premissa de ter uma conexão com a internet, embora atualmente tenham e isso naturalmente vai culminar em falhas de segurança”.
Para o especialista, a defesa dos equipamentos está relacionada à privacidade de dados como direito universal das pessoas e a discussão sobre segurança da informação vai além da tecnologia.
“Imagine que as administradoras de planos de saúde podem querer os dados – armazenados em um smartwatch, por exemplo. A hora em que o indivíduo dorme, quando acorda, quantidade de calorias, de água ingerida, se anda muito, etc. Os fabricantes desses relógios podem vender esses dados para obter mais lucros e isso é nefasto para o consumidor.”, comenta.
A realidade é que estamos sendo monitorados o tempo todo pelos IoT. As empresas já comercializam dados entre si, e com base nesses dados, são oferecidos produtos aos usuários.
Esse bombardeio de anúncios pode acabar influenciando seu comportamento, direcionando o consumo. Além disso, dados de pessoas físicas podem ser roubados visando atingir um terceiro. “Às vezes você está sendo atacado, mas o alvo é atingir sua empresa, por exemplo”, revela Abian.
Como medida protetiva as empresas precisam ter mais transparência sobre os dados que ela tem sobre as pessoas.
“As empresas precisam, de forma individual, proteger os dados dos usuários. Os dispositivos estão nos monitorando e eles continuarão fazendo isso. Não tem como ter um controle absoluto, até mesmo porque isso prejudicaria a usabilidade dos usuários. E quanto mais somos rastreados, mais inteligente o algoritmo fica”, completa.
Medidas da LGPD lei geral de proteção de dados – o que está feito em relação aos sistemas de informação
Blog da Segurança: A nova legislação vem para tentar calibrar esse uso de dados dos usuários pelas empresas, principalmente na internet. Como você acha que a LGPD vai impactar esses negócios?
Abian Laginestra: “As empresas precisam fazer o dever de casa delas para evitar que os dados sejam migrados para outras empresas, infringindo o direito de privacidade dos usuários. E se fizerem isso, que os usuários estejam cientes. Os dados são do cliente e não da empresa.”.
Para o especialista, as empresas têm que criar métodos e mecanismos para proteger os dados dos usuários.
“Por exemplo, um serviço de streaming compra uma empresa que possua importantes dados dos usuários, como um smartwatch. Ela pode começar a sugerir filmes e documentários baseados no comportamento do usuário do relógio. O problema é que o algoritmo não tem como saber a realidade – se a pessoa dormiu durante a série por exemplo. Ele interpreta dados brutos, isso corresponde apenas à uma parte da realidade. A inteligência artificial nunca vai entender a realidade humana como um todo”, completa Abian.
As instituições devem se conscientizar que os dados não são delas, são do usuário. E mesmo se uma empresa comprar a outra não podem compartilhar essas informações entre si.
LGPD: Quais as medidas que as pessoas podem tomar para se proteger?
Blog da Segurança: Em meio a esta grande circulação de dados na internet, ainda existe confidencialidade? Como os usuários podem se proteger e usar a LGPD a seu favor?
Abian Laginestra: “Não existe mais confidencialidade, mas seus dados precisam ser privados. Em uma gestão de risco a gente simplesmente corta o risco, pega o fragmento da realidade e toma decisões a respeito. A partir dessa nova lei, nasce de uma necessidade da sociedade de definir o que é certo”.
Os dados não são da plataforma, são das pessoas. A maioria das plataformas sociais usam essas informações em benefício próprio, como o Facebook, que oferece o serviço gratuitamente e sua monetização é feita através da venda de dados dos inscritos.
O especialista indica como proteção para os usuários a multi-autenticação (MFA) como ferramentas úteis para pessoa física se proteger.
“As pessoas não entram nas configurações das contas que criam na internet para saber o que essas controladoras estão coletando (acesso ao microfone, localização, câmera)”.
Deletar as redes de wifi que não está usando de seus dispositivos e acessar as configurações dos aplicativos para verificar o que está com permissão ou não são algumas dicas passadas pelo especialista. “Se você não está usando no momento, desative”, indica Abian.
LGPD para empresas: como aderir às novas regras sem prejudicar o negócio?
Blog da Segurança: As empresas que trabalham com internet vão sentir mais o impacto da LGPD em seus negócios. Agora sob uma ótica B2B, quais orientações você daria para elas neste momento?
Abian Laginestra: “Deve haver clareza sobre isso. As plataformas precisam começar a ter mecanismos para os usuários saberem quais dados estão sendo coletados deles. Inserir nas configurações a informação que diga se o usuário permite que determinado dado seja usado ou não, já é um bom começo”.
Na Europa isso já funciona de forma mais segura. As leis de proteção já estão funcionando, as empresas estão sendo multadas e o controle está cada vez mais rígido.
O especialista também aponta que os dados são o novo petróleo e lista medidas protetivas que as empresas devem seguir para se adequar à LGPD sem prejudicar os negócios.
Acordos de confiabilidade
Entre empregador e empresa e entre parceiros corporativos devem existir acordos de confiabilidade para evitar a comercialização de dados indevida. Mesmo que uma companhia detenha o poder sobre a outra, o repasse de dados precisa ser permitido pelo usuário.
Auditar as empresas
O Brasil é composto majoritariamente de pequenas e médias empresas e esses negócios podem ter problemas também com Ministério do Trabalho caso os dados dos funcionários vazem.
Como já falamos aqui no Blog, sobre as profissões do futuro no setor de segurança, o mercado precisa contratar auditores para evitar este tipo de problema.
Cibersegurança e LGPD
A LGPD traz a necessidade de todas as empresas terem antivírus, senha e outros mecanismos de segurança da informação implantados.
Erros bobos, como deixar o computador aberto ou algum documento em cima da mesa com informações sobre salário, por exemplo, também pode acarretar sérios prejuízos.
As empresas precisarão se atentar melhor a isso pois as informações pessoais dos funcionários não podem ser expostas.
“A LGPD vai fazer a segurança da informação acontecer pois vai mexer no bolso das empresas”, completa Abian.
Controlador X Operador
É necessária a definição dos papeis de operador e controlador pelas empresas na proteção de dados, onde os operadores são as empresas que usam os dados que os controladores coletam.
Empresas sérias estão trabalhando para que as pessoas tenham acesso a essas informações e possam escolher se querem ou não terem dados rastreados.
O controlador coleta os dados e pode manipulá-los, como o Google, por exemplo. Essas precisam colocar as opções aos usuários se eles permitem ou não o uso de suas informações.
Este artigo foi escrito com base nas informações fornecidas durante a entrevista pelo especialista Abian Laginestra.
Abian ganhou premiações como TOP 100 CIOs Brasil 2015 e 2017, Top 150 Brasil IT Leaders 2018, 3º Lugar Security Leaders 2018 na categoria Banco Digital, Top 150 Brasil IT Leaders 2019.
Tem ampla vivência em redes de automação em infraestrutura crítica e foi integrante do Grupo Técnico de Segurança da Informação da ANBIMA 2017/2018.