LGPD e 4.658: Quantas camadas são necessárias para a proteção de dados?

No segundo artigo da série de 4 textos sobre Lei Geral de Proteção de Dados, o Superintendente de CyberSecurity da Conductor, Alex Amorim, destaca as etapas necessárias para segurança de servidores a fim de entrar em conformidade com o cenário regulatório

Por: Alex Amorim, ⌚ 21/03/2019 às 17h17 - Atualizado em 22/03/2019 às 16h19

Este texto é a segunda parte de uma série de 4 artigos, cujo objetivo é o de contribuir com a comunidade ao apresentar algumas camadas de segurança que podem auxiliar na jornada de proteção de dados. No primeiro artigo, expus algumas proteções que podem ser aplicadas no Endpoint. Agora, vou expor algumas proteções que podem ser implementadas na camada de servidores.

 

Então vamos ao que interessa! Compartilho com vocês minha visão utilizando o conceito de segurança em camadas:

 

Servidores

 

Nesta camada é possível aplicar diversos controles, entre eles:

 

AV / EDR: são soluções que protegem os servidores de malwares, que tem como objetivo realizar algumas ações, como: corromper arquivos, criptografar os dados, sequestrar dados, entre outros. Dessa forma, é possível abrir portas para acessos remotos (callback) onde o atacante poderá realizar evasão de informações dos servidores, sejam elas pessoais, sensíveis ou corporativas.

 

Acesso à internet de forma restrita: muitas vezes servidores têm a necessidade de se comunicar com a internet para realizar algumas atualizações ou conexões diversas. Mas, o grande erro que encontremos, são liberações “any” no Firewall, devido a alteração constante de IPs do destino. Desta forma, uma sugestão é utilizar uma solução que possa fazer um papel de “proxy de serviço” para liberar apenas o servidor para a URL no destino necessário.

 

Virtual Patch: outro ponto muito importante é a velocidade que os times técnicos têm para realizar a aplicação de Patches no ambiente corporativo. Muitas vezes, devido a possíveis impactos que podem gerar no ambiente, Patches de segurança ficam dias e até meses para serem implantados. Desta forma, soluções de HIPS (Host Intrusion Prevention System) auxiliam na proteção de vulnerabilidades provocadas pela ausência dos patches, dando assim um tempo maior para aplicação dos Patches pendentes. Vale lembrar que a solução é apenas temporária.

 

Monitoração dos servidores: quando pensando no tripé de Segurança, um dos pontos relevantes é a disponibilidade, que somente pode ser aferida com soluções que monitoram a disponibilidade e o tempo de resposta da aplicação.

 

Este tipo de solução é importante pois pode ser utilizada para monitorar desvios de comportamentos em ataques do tipo DDoS (Distributed Denial of Service), ou até mesmo quando os servidores estiverem sendo utilizados para minerar bitcoins.

 

File Integrity Monitor (FIN): Esta solução, que normalmente é exigida para quem tem a certificação PCI, permite a monitoração da integridade de arquivos críticos dentro dos servidores.

 

Microssegmentação: Várias empresas possuem problemas de legados – as redes são muito complexas e a possibilidade de segmentar por VLANs pode ser um caos, gerando inúmeros incidentes em produção. Assim, a solução de microssegmentação possibilita que o servidor agregue as redes de forma lógica, indo além da segregação, uma vez que algumas soluções permitem a segregação a nível de serviço, possibilitando assim a Nano-segmentação.

 

Proteção em Banco de Dados: para estes servidores em questão existem um conjunto específicos de proteções, como:

  • DAM (Data Activity Monitor): com esta solução, é possível realizar o monitoramento inline, detectar e proteger os acessos e as consultas aos bancos de dados. É possível fazer esta monitoração com recursos nativos do próprio Banco de Dados. Contudo, a habilitação destes recursos pode gerar reclamações dos times de infraestrutura sobre possíveis impactos de performance nos serviços.

 

  • Pseudomização / criptografia dos dados: Para realizar a criptografia dos dados salvos é possível habilitar a função nativa dos bancos de dados, chamada de TDE (Transparent Data Encryption). Porém, esbarramos com os mesmos problemas do caso anterior. Sendo assim, existe soluções instaladas no mesmo modelo inline que proporcionam este tipo de proteção – os dados são armazenados de forma criptografada nas instâncias selecionadas para a devida proteção.

 

Vejam que para uma efetiva proteção de dados na camada de servidores, não basta ter uma única solução. Somente com um conjunto de ferramentas há possibilidade de prover a proteção de dados necessária, de forma que cada uma faça o seu papel.

 

Espero que este segundo artigo da série de 4 possa ajudar na longa jornada do LDPD, além de oferecer argumentações suficientes para mostrar ao BACEN (Bancos e Instituições financeiras) através da 4.658 e ao Ministério Público, que as ações estão sendo realizadas no caminho correto.

 

Afinal, não existe segurança 100%, mas sim diversos esforços para aumentar a proteção de sua empresa.

 

*Alex Amorim é Superintendente de Cyber Security na Conductor

 



Newsletter

/ VEJA TAMBÉM



/ COMENTÁRIOS