Sem categoria

A TI e a LGPD

Muito tem se falado sobre a LGPD (Lei Geral de Proteção de Dados) que começou a vigorar efetivamente em Setembro de 2020.

Muitas das dúvidas são em relação aos processos em que há tratamento de dados pessoais mas as pessoas se surpreendem mesmo quando o mapeamento dos processos tendem à ir para o lado da tecnologia:

“Não tratamos dados pessoais, por aqui so trafegam dados encriptados e não temos acesso à eles”

Pois é justamente onde mora o perigo: Para que os dados possam ou não ser tratados, eles percorrem milhares e milhares de caminhos e para que, no meio deste caminho ele não seja intercepctado e coletado, a TI precisa ter suas premissas de segurança embasadas de forma que essa interconecção não autorizada possa de alguma forma, ter acesso ao dado.

A TI precisa primeiramente ter suas políticas de seguranças embasadas, principalmente se tratando de contas de usuários individuais para que haja rastreabilidade e que contas do tipo: Admin e Administrator sejam desabilitadas e nunca compartilhadas. O Hacker não é a única ameaça. Um ex funcionário insatisfeito com uma conta ativa é um grande perigo.

Se formos detalhar todos os caminhos em que a TI precisa se preparar, teríamos que criar um processo completo de segurança e que faria esta matéria ficar bem extensa, mas situações básicas podemo detalhar:

Sistemas operacionais sem atualizaçãoUm sistema operacional desatualizado por não ter correções de vulnerabilidades e estar exposto à ataques externos
Contas rootUtilizar conta root em sistemas operacionais Linux é um grande perigo. Seu compartilhamento não trás rastreabilidade do uso e um ex funcionário pode levar consigo um acesso à um sistema.Há um termo conhecido como “SUDOERS”, que são contas Linux com poder de administração root. É como dar acesso de administrador à uma conta Windows. Desta forma, a conta Linux fica tendo rastreabilidade e pode ser desabilitada, barrando o seu acesso.
Bancos de Dados
FirewallUtilizar uma conta de administrador e compartilhá-la estamos expondo ao perigo. Utilize protocolos seguros de mercado para integração de contas centralizadas.Os protocolos RADIUS e TACACS são os mais indicados para fazer integração com contas Windows do AD.

Comentários