O que a falha log4j2 do Apache tem em relação à Lei Geral de Proteção de Dados?
Quase um mês da descoberta (24/11/21) da #vulnerabilidade do #log4j2 (funcionalidade que está dentro do #Apache, nas versões 2.0-beta9 até a 2.14.1 do utilitário Log4J-2) ainda é tema nas mídias e o Brasil sim, como sempre, está à frente das estatísticas, nesse caso das varreduras na rede realizada por crackers para a procura de falhas, por isso a corrida contra o tempo para a atualização e minimização dos riscos envolvidos.
LGPD não são apenas ajustes contratuais ou colocar #avisodeprivacidade no site, tem a ver com garantir a proteção lógica dos dados e para isso precisamos aplicar medidas de (segurança, técnicas e administrativas - artigo 46 da Lei) ou se tratando especificamente da ISO 27001, as medidas são descritas como: físicas, técnicas e organizacionais.
Pegando o gancho da ISO 27001, precisamos dar alguns exemplos das medidas:
FÍSICAS: Tudo o que envolve a área interna e/ou externa da empresa, sejam com câmeras, sensores, muros, portas, janelas, cobertura, tipos de dispositivos de entrada (chave ou biometria), armários, sala dos servidores, controle umidade, refrigeração e por ai vai...
TÉCNICAS: Medidas muitas vezes lógicas de proteção, que envolvem gerenciamento de acesso, criptografia, firewall, antivírus, antimalwares e antispams, gerenciamento de softwares, patchs, vulnerabilidades, conceitos de ITIL, documentação, backup, etc.
ORGANIZACIONAIS: Criação de Políticas de Segurança, ajustes contratuais, Políticas de Segurança voltadas à Recursos Humanos, definição de estratégias para Continuidade de Negócios, Treinamentos, Conscientizações e claro, a gestão de todo esse sistema que é o Sistema de Gestão de Segurança da Informação.
Sobre a falha do log4j2, está diretamente relacionada ao pilar TÉCNICO da ISO, no que diz sobre ao gerenciamento de softwares, patchs e vulnerabilidades e por isso é de extrema importância, o #DPO ou #encarregadodedados estar ao lado da equipe de #cibersegurança para a realização dessa atualização, para a mitigação dos riscos envolvendo a vulnerabilidade, justamente para que essa #ameaça não "toque o solo" do servidor/sistema e se isso ocorrer, existirá uma alta probabilidade de violação ou vazamento de dados.
Se houver vazamento de dados, ou seja, a ameaça, explorou uma falha (vulnerabilidade), invadiu o servidor/sistema e roubou dados e dependendo do tipo de 'estrago interno", ele afetará diretamente o CID da Segurança da Informação, que é: CONFIDENCIALIDADE, INTEGRIDADE e DISPONIBILIDADE. Nesse ponto, a empresa ou órgão precisará iniciar diversos processos, seja avisar a ANPD, os titulares, sem contar com a exposição da marca diante de uma incidente como esse e dependendo da gravidade, muitas dores de cabeça.
Você DPO ou Analista de Cibersegurança, como enfrentaram esse assunto em sua empresa? Compartilhe com outros profissionais e empresas que estão passando por isso.
Tenham um ótimo dia.
Artigo CISO ADVISOR com as estatísticas: https://www.cisoadvisor.com.br/milhoes-de-varreduras-por-dia-buscando-log4j-2-vulneravel/
Sobre o autor.
Comments