Guia inicial de implantação da LGPD para MEI, pequena e media empresa

Olá amigos, como vão? Espero que todos bem.

A lei 13.709/2018 mais conhecida como LGPD já está valendo e veio para modificar muito em termos de cultura organizacional em muitas empresas. Segurança da informação agora precisa ser levada (e sempre precisou) muito mais a sério, o tripé da Segurança da Informação, Confidencialidade, Integridade e Disponibilidade, deverá fazer parte da cultura organizacional de cada empresa e seu funcionário.

Abaixo listarei algumas dicas que poderão servir tanto para um MEI, uma pequena ou média empresa como uma escola ou um pequeno lojista. Não será uma receita de bolo, ler e entender sobre a lei e sobre os ativos da empresa se faz essencial para a sua adequação.

Idenficação de ativos

Cada negócio conta com sua particularidade, o que pode tornar o trabalho de adequação à lei complexo e você só consegue proteger aquilo que você conhece. Diante disso é importante conhecer o que tem em mãos, tanto em infraestrutura como na parte lógica (softwares). Realize inventários sobre a situação de cada um e após isso o plano de abordagem para cada um deles.

Política de treinamento, Engenheraria social, Phishing e segurança de contas

Na redação da lei é citado no Art. 5º, X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Em face disso, toda e qualquer operação de dados, seja um email com dados de fornecedores ou clientes, estará sendo feito algum tipo de tratamento de dados.

Acredito que todo mundo já deve ter ouvido que “o ser humano é e sempre será o elo mais fraco da corrente” e sim, tem-se lá um bom fundo de verdade nisso. Truques de engenharia social aumentam a cada ano e aumentam também a sua complexidade. Você como MEI ou você colega de T.I de uma pequena/média empresa, invista em treinamento, treine seu funcionário sobre engenharia social e táticas de phishing, somente com treinamento e educação é que poderemos ter um cenário mais favorável.

Aqui nesse ponto não tem muita dica e vale a velha máxima: Desconfie de tudo. Habilite no seu webmail (Gmail ou Hotmail/365), para que somente emails de contatos cheguem até sua Caixa de entrada, caso caiam na sua caixa de spam, observe atentamente ao corpo do email e o campo de remetente. Se ainda assim seja um remetente conhecido ou for um email que caiu na Caixa de entrada e desconfiar do assunto, argumente diretamente com a pessoa sobre o envio.

Tenha sempre configurado em todos os serviços se disponível, verificação em duas etapas.

Utilize a política da criação de uma senha forte e única para cada serviço utilizado.

Mesa limpa e proteção de estações

Esse é um ponto bem trivial, quem nunca conheceu um funcionário com uma senha de algum serviço da empresa ou pessoal anotada em um post-it na mesa ou monitor? Aqui faz parte um pouco da cultura do funcionário/empresa e hoje não cabe mais esse tipo de comportamento. Novamente vale o treinamento de seu funcionário para que se evite esse tipo de atitude.

A política de criação de senhas fortes e únicas para cada serviço pode ser um problema para algumas pessoas que tenham alguma dificuldade de memorização, diante disso incentive a adoção de softwares de password manager como Bitwarden (open source e recomendado) ou Lastpass, que criptografam as senhas salvas e as centralizam em um único local.

Configure os Sistemas Operacionais para bloquear após um tempo mínimo de inatividade e instrua o funcionário a bloquear o PC ao se ausentar mesmo que por um curto período. Eu inclusive já fui uma vez arguido por funcionário sobre o tempo de inatividade e bloqueio do sistema que segundo a pessoa era “trabalhoso” ter que digitar a senha toda a vez que atingia o tempo limite, porém felizmente e de pronto, acatou a informação de que isso é por questões de segurança (isso muito antes da LGPD).

Você MEI ou um funcionário que utilize o notebook fora da empresa, vale o mesmo padrão de comportamento, bloqueio sempre que precisar deixar o notebook fora de sua presença.

Sabemos que uma quebra de senha é um procedimento relativamente simples de ser feito, neste ponto não haveria muito o que ser feito exceto a criptografia do disco, na qual falamos mais um pouco abaixo.

Proteção em sistemas Android

Com o passar dos anos a produtividade saiu da mesa de trabalho e foi parar na palma das nossas mãos, a quantidade de informação que os smartphones guardam hoje possui igual valor à aquela salva em um servidor da empresa, ou seja, ele também precisa ser resguardado caso você como funcionário o utilize para lidar com informações e/ou informações sensíveis.

• Antivírus não é mais exclusividade de sistemas Windows, hoje um smartphone com Android necessita de um. Existem várias alternativas no mercado, recomendo as soluções da ESET ou Kaspersky.

• Evite a instalação de apps de terceiros, exceto se homologado pelo setor de T.I da sua empresa. Por padrão o Android não permite a instalação de apps de fontes desconhecidas, contudo é uma restrição fácil de ser desligada. E sob nenhuma hipótese adote o uso de root ou desbloqueio de bootloader.

• Evite o uso de redes wireless públicas (falaremos logo abaixo).

Segurança

• Antivírus é a primeira linha de proteção para falhas de zero day, continua sendo muito necessário te-lo instalado assim como um firewall. Se os custos de licenciamento anual de soluções de terceiros pesarem muito no orçamento da empresa, ao menos deve ter ativo e atualizado o Windows Defender e firewall do Windows.

• Updates de Sistemas Operacionais e software. Se a empresa ou você MEI utiliza uma versão em EOL (end of life) como o Windows 7 por exemplo, as soluções de Linux estão ai para preencher essa lacuna. A exceção de navegadores sabemos que no Windows pode ser uma tarefa custosa ter que correr atrás das versões mais recentes de softwares, é possível automatizar essa função com algumas ferramentas, a que melhor pude avaliar e recomendar é a Avira Software Updater que conta com uma versão gratuita e sem propagandas.

• Adote a política do menor privilégio, em pastas locais e compartilhamento de rede. O Windows tem como padrão o modo de controle de acesso DACL que tem como característica adotar controles mais permissivos. Em uma rede com Active Directory é bem simples definir restrições para todos os funcionários em um ambiente centralizado, contudo nem sempre teremos essa possibilidade em uma pequena empresa ou um MEI que utiliza notebook próprio, nesses casos vale o uso da conta de usuário e definição manual de permissões de pastas. De qualquer forma adote a utilização de pastas da rede, é possível montar um servidor de arquivos e Active Directory de forma simples com distros Linux como a UCS por exemplo, ou através de um NAS e a partir dai definir as permissões de acesso.

• Uso de criptografia, Bitlocker e Bitlocker To Go estão disponíveis desde o Windows Vista e adicionam uma excelente camada de proteção tanto para as unidades interna quanto em unidades USB. Alguns notebooks não possuem chip TPM requerido para ativar a função, porém é possível contornar essa restrição através das políticas de grupo do Windows, supondo que é utilizado as versões Pro ou Enterprise. Se você MEI utiliza um notebook com Windows 10 Home e não possuir o chip TPM, internet à fora é possível encontrar formas de habilitar as políticas de grupo nessa versão do Windows. A partir deste ponto, seu HD estará protegido contra acessos indevidos como por exemplo, após um roubo ou uso indevido, após quebra de senha ou não.

Para as Distro Linux, é possível utilizar o LUKS para criptografia das unidades, porém ao contrário do Windows habilita-lo após a instalação torna-se uma tarefa trabalhosa e que é melhor reconstruir a instalação já criptografando-a. Abaixo utilizei o Linux Mint como exemplo para habilitar a partição /home criptografada, o procedimento será o mesmo para derivados do Ubuntu que utiliza o instalador Ubiquity. Caso utilize outra distribuição, consulte a documentação de instalação.

Política de backup

Backup é um ponto crucial para qualquer organização ou qualquer pessoa e dependendo de onde ele for salvo, estará sujeito aos regulamentos. Graças a GDPR (lei Europeia que deu base a nossa LGPD) uma Amazon ou Azure já estão adequados para tratamento dos dados lá contidos. Em outras palavras, há a garantia que da parte desses serviços, controles foram/são exercidos para manter a informação salva ali, protegida. A sua parte -empresa- como controlador é quem deverá prover os meios de controle necessários para proteção da informação. Diante disso, tenha sempre a sua chave SSL de acesso as instâncias protegida e utilize backups criptografados como camada adicional de proteção.

Sei que é possível utilizar o G-Drive/OneDrive gratuito como forma de armazenamento de backups porém aqui não há as mesmas garantias que um serviço de cloud pago. É preciso mensurar o que deverá ser salvo lá. De qualquer forma adote os backups criptografados além da segurança de conta que cito logo acima.

Seu backup interno também deverá ser tratado e ser acessível somente por meios automatizados (Bareos, Rsync…) ou administrador e deverão estar em ambiente fora de acesso direto.

No caso de um MEI que por ventura utilize HD externo, o uso do Bitlocker To Go é essencial, além de evitar carregar consigo essas unidades externas.

Redes

• Evite o uso de redes públicas ao utilizar notebooks ou smartphones fora da empresa ou no caso do MEI, da sua conexão particular. Redes públicas são extremamente inseguras e muitos roubos de credenciais se dão em modalidade de ataques nessas redes. Nesses casos opte pela ancoragem USB no smartphone ou na pior hipótese utilização de uma VPN que se conecte com a empresa.

• Dentro da empresa tenha boas práticas de Wifi security, como uma rede separada e isolada só para visitantes, utilização chave de criptografia forte. Mantenha o firmware do roteador atualizado afim de evitar ataques de DNS Poisoning. Na impossibilidade de atualização, considere a utilização de opções open source como OpenWrt, DD-Wrt entre outros (consulte disponibilidade para sua marca e revisão do roteador). Na impossibilidade de utilizar um roteador próprio, tome alguns cuidados nos roteadores de prestadoras, como alteração da senha de acesso as configurações e caso note alguma ação arbitrária oriunda de um firmware vulnerável, solicite a troca.

• Incremente a segurança das estações ativando o DoH (DNS over HTTPS), o que fará com que toda a comunicação que necessite de um servidor DNS será tratada como um tráfego criptografado. Tanto em Linux quanto no Windows essa função ainda não está ativa out of the box, na indisponibilidade de definir esta configuração a nível de sistema, podemos utilizar o navegador para isso, o Firefox e o novo Microsoft Edge por exemplo já contam nativamente com suporte a DoH. Caso use roteador próprio, o uso do pacote Dnscrypt para OpenWrt implementa essa configuração a nível de rede, estando presente para todos os aparelhos até mesmo os não suportados.

• Em uma rede com proxy Squid é possível realizar o bloqueio de downloads por tipo de arquivo, limitando assim o que o funcionário poderá baixar e adicionando uma camada de proteção. Sabemos que há técnicas de camuflagem onde um executável poderá se passar por um arquivo permitido, aqui nesse caso, vale o treinamento do funcionário que eu cito no início. Hoje por meio da virtualização e containers é possível trabalhar com vários servidores em um único PC físico, leve isso em consideração para implantar o servidor de arquivos que também cito acima, além de um firewall como por exemplo o Endian ou PfSense, ambos open source.

Hardening de servidores

Aqui nesse ponto existem diversas alternativas que podem ser seguidas mas de novo, esse é apenas um artigo introdutório e não tem como intenção de prover métodos para hardening e nem eu saberia qual é a necessidade de uso de cada um. Nesse ponto vale aquilo que cito no início, tenha seu inventário, conheça seus ativos e a partir daí execute a melhor abordagem. Apesar de ser um assunto complexo e não ser uma ciência exata tão logo seja possível, pretendo escrever um artigo sobre esse assunto.

Auditoria

Só é possível melhorar aquilo que se pode medir, tenha sempre agendado auditorias nos servidores que possuir e estações. Instale uma ferramenta de Gerenciamento de logs para ajudar na tarefa, essas ferramentas poderão dizer se houve acessos ou tentativa de acessos não autorizados ao servidor ou ações nas estações além de prover relatórios. Deverão atuar em conjunto com o hardening de item acima. Existem várias ferramentas FOSS no mercado e com certeza alguma delas atenderá a sua demanda.

Se a pequena ou média empresa usar servidores Windows, o Event Viewer é um ótimo ponto de partida para auditoria de logs, podendo inclusive definir alertas para ações que o sistema detecte.

Sei que a primeira vista para um negócio pequeno ou médio elas podem exercer um papel de complexidade a primeira vista, porém não há um preço a se pagar pela segurança. E com o tempo acabamos acostumando a essas mudanças e a busca constante por melhorias.

Conclusão

Por ser um assunto novo muitos colegas ainda não estão cientes de todas essas mudanças e como tudo, é natural que leve-se um tempo. Recomendo que leia e entenda a lei, invista e livros de aplicação prática e treinamentos. E que este artigo sirva para o pontapé inicial para quem precisará para implantação.

Download Lei 13.709/2018