Fale conosco
Blog2024-03-25T19:42:35+00:00
1306, 2023

Segurança da Informação e a sensação palpável entre os CISOs

By |junho 13th, 2023|Direito Digital, Privacidade e Cibersegurança|

Segurança da Informação e a sensação palpável entre os CISOs

O importante relatório anual da Proofpoint que é uma empresa reconhecida como uma das principais empresas de cibersegurança do mundo e colabora com organizações de todo o mundo para protegerem-se contra ameaças em constante evolução no cenário da segurança cibernética. A empresa trabalha com clientes em diversos setores, incluindo governos, instituições financeiras, saúde, varejo e manufatura.
Neste relatório de 2023 a sensação palpável entre os CISOs de que havia um período de calma após uma crise única em uma geração. Com a interrupção da pandemia finalmente diminuindo e as configurações de trabalho híbridas se tornando comuns para a maioria, os CISOs se sentiram confortáveis ​​que o pior já havia passado. No entanto, também destaca que há uma mudança pronunciada na percepção dos profissionais de segurança, com mais de dois terços (68%) dos CISOs afirmando que se sentem em risco de um ataque cibernético material nos próximos 12 meses. Isso sugere que os profissionais de segurança veem o cenário de ameaças aquecendo novamente e recalibraram seu nível de preocupação para corresponder, conforme:
A importância de proteger as pessoas como uma das principais prioridades da cibersegurança. Ele discute como os ataques cibernéticos estão se tornando cada vez mais sofisticados e direcionados, com os criminosos cibernéticos usando táticas de engenharia social para obter acesso a informações confidenciais. O relatório também aborda a necessidade de treinamento e conscientização em segurança cibernética para todos os funcionários, desde o CEO até o estagiário, e destaca a importância de implementar medidas de segurança robustas para proteger as informações confidenciais dos funcionários. Além disso, o relatório discute como as organizações podem trabalhar em colaboração com outras empresas e agências governamentais para compartilhar informações sobre ameaças e melhores práticas de segurança.
Até mesmo mais CISOs (63%) concordam que o risco humano de forma mais ampla, incluindo funcionários maliciosos e negligentes, é uma preocupação chave em termos de cibersegurança nos próximos dois anos. Isso é especialmente sentido no Reino Unido, onde 78% dos CISOs concordam, seguido por:• Japão (75%)• Brasil (72%)• Singapura (72%)• EUA (68%)• Espanha (68%)
Como os dados são um ativo valioso para as empresas e como a perda ou roubo desses dados pode ter consequências graves, incluindo danos à reputação da empresa e perda financeira. O relatório também destaca as principais ameaças aos dados, incluindo ataques de ransomware, phishing e malware, e discute as melhores práticas para proteger os dados das organizações. Isso inclui a implementação de medidas de segurança robustas, como criptografia de dados, autenticação multifator e backups regulares dos dados. O relatório também discute a importância da conformidade com regulamentações de privacidade de dados, como o GDPR na Europa e o CCPA na Califórnia, conforme:
O Relatório aborda a necessidade de uma abordagem holística para a segurança cibernética, que envolve a implementação de medidas de segurança em várias áreas, incluindo pessoas, processos e tecnologia. Ele discute como as organizações podem construir uma defesa robusta contra ameaças cibernéticas, incluindo a implementação de medidas de segurança em várias camadas, como firewalls, antivírus e detecção de intrusão. O capítulo também destaca a importância da colaboração entre equipes de segurança cibernética e outras partes interessadas na organização, como equipes de TI e gerenciamento sênior. Além disso, o capítulo discute como as organizações podem se preparar para incidentes de segurança cibernética e responder rapidamente a eles quando ocorrerem. Isso inclui a criação de planos de resposta a incidentes e realização regular de exercícios simulados para testar esses planos.
A relação entre os conselhos de administração das empresas e os CISOs (Chief Information Security Officers). Ele discute como a segurança cibernética se tornou uma preocupação cada vez maior para os conselhos de administração, à medida que as ameaças cibernéticas se tornaram mais sofisticadas e frequentes. O relatório também destaca a importância da comunicação clara entre os CISOs e os conselhos de administração, para garantir que as decisões tomadas pelos conselhos estejam alinhadas com as necessidades de segurança cibernética da organização. Ele também discute como os CISOs podem trabalhar com os conselhos de administração para garantir que a segurança cibernética seja uma prioridade estratégica para a organização, incluindo o fornecimento de informações claras sobre o estado atual da segurança cibernética da organização e as ameaças emergentes.
Os desafios enfrentados pelos CISOs em suas funções, incluindo a pressão constante para proteger as organizações contra ameaças cibernéticas cada vez mais sofisticadas. Ele discute como a pandemia COVID-19 aumentou ainda mais a pressão sobre os CISOs, à medida que as organizações tiveram que se adaptar rapidamente ao trabalho remoto e híbrido. Fica destacado a importância de apoiar os CISOs em suas funções, incluindo fornecer recursos adequados e garantir que eles tenham uma voz na tomada de decisões estratégicas da organização. Ele também discute como os CISOs podem lidar com o estresse e o esgotamento em suas funções, incluindo a importância de cuidar da saúde mental e física. O relatório conclui destacando a importância dos CISOs para as organizações e incentivando as empresas a apoiá-los em suas funções críticas.
Além disso, como CISO no Brasil, é importante estar ciente da Lei Geral de Proteção de Dados (LGPD) e das obrigações que ela impõe às organizações em relação à proteção de dados pessoais. A LGPD exige que as empresas implementem medidas técnicas e organizacionais adequadas para proteger os dados pessoais dos titulares, o que inclui a implementação de medidas de segurança cibernética. Além disso, a Autoridade Nacional de Proteção de Dados (ANPD) é a agência reguladora responsável por supervisionar e aplicar a LGPD no Brasil. Como CISO, é importante estar ciente das orientações da ANPD e trabalhar em estreita colaboração com outras partes interessadas na organização para garantir que as políticas e práticas de segurança cibernética estejam em conformidade com as exigências da LGPD.
Como um CISO aqui no Brasil, a leitura do relatório “Voz do CISO 2023” é extremamente relevante para entender as tendências globais em segurança cibernética e como elas podem afetar minha organização. O relatório destaca a importância de proteger as pessoas e os dados, bem como a necessidade de construir uma defesa forte contra ameaças cibernéticas em todas as frentes. Além disso, o relatório destaca a crescente importância da relação entre os conselhos de administração e os CISOs, bem como os desafios enfrentados pelos CISOs em suas funções. Como CISO, é importante estar ciente dessas tendências e trabalhar com outras partes interessadas na organização para garantir que a segurança cibernética seja uma prioridade estratégica. Também é importante cuidar da saúde mental e física dos profissionais de segurança cibernética, especialmente em tempos de pressão adicional causada pela pandemia COVID-19. Em resumo, o relatório “Voz do CISO 2023” oferece insights valiosos para ajudar os CISOs no Brasil a proteger suas organizações contra ameaças cibernéticas cada vez mais sofisticadas.
1206, 2023

A linha tênue entre manifestação legítima e manipulação da informação

By |junho 12th, 2023|Direito Digital, Privacidade e Cibersegurança|

A manifestação legítima das empresas de tecnologia e a necessidade de regulação das redes sociais

É perfeitamente legítimo que uma empresa de tecnologia se manifeste em seu portal sobre uma questão legislativa que possa afetar seu negócio. Empresas como Google e outras Big Techs não agem de forma ilícita ao expressarem sua opinião dessa maneira. No entanto, o problema surge quando oligopólios usam sua força tecnológica para enviesar o debate, utilizando chamadas apelativas, como “sua internet não vai ser a mesma”, e, especialmente, quando usam suas ferramentas para manipular informações, seja na busca ou em posts impulsionados de forma obscura pelo algoritmo.

A falta de transparência na maneira como essas ferramentas definem o que aparece ou não na sua timeline é, sem dúvida, uma das razões que justificam a necessidade de regulamentação, principalmente quando conteúdos ou contas são excluídos sem qualquer explicação. As redes sociais limitam-se a dizer, de forma genérica, que o usuário violou seus termos de uso, sem esclarecer qual item foi infringido, nem mesmo em casos judiciais.

Quando a Google promove suas ideias, utilizando seu poder e enviesando o debate, age de forma abusiva, sem dúvida. No entanto, não acredito que os fundamentos trazidos pela Secretaria Nacional de Defesa do Consumidor (Senacon), alegando que a empresa praticou publicidade, sejam aplicáveis, uma vez que não estão presentes os requisitos para caracterizá-la como tal.

O fato é que manipular resultados de busca ou conteúdo em redes sociais, favorecendo o que lhes convém e omitindo o que não lhes convém, é extremamente preocupante. Isso não é uma novidade, pois têm feito isso há muito tempo. Para muitos, isso só se tornou evidente agora, devido ao Projeto de Lei (PL) 2630.

SOPA – Stop Online Piracy Act

Em 2011, foi apresentado nos Estados Unidos um projeto de lei chamado SOPA – Stop Online Piracy Act, com o objetivo de combater a pirataria online. O projeto continha questões controversas, como a punição aos buscadores e redes sociais que não removessem conteúdos que infringissem direitos autorais sem ordem judicial, além de proibir instituições financeiras de operarem com essas plataformas caso não tomassem providências.

Plataformas de tecnologia como Wikipedia, Facebook, Google, Twitter e Amazon, entre outras, fizeram um forte movimento em resposta ao projeto, manifestando-se em suas plataformas e até ameaçando sair do ar em protesto, deixando suas páginas em luto. Algumas ficaram offline por um curto período, semelhante a uma greve, bloqueando o acesso. A Wikipedia, inclusive, alertava em sua página principal: “Imagine uma internet sem conhecimento livre”.

Pornhub X Utah Law

Recentemente, o site Pornhub bloqueou o acesso de usuários de Utah, nos Estados Unidos, convocando-os a solicitar aos parlamentares a mudança de uma lei local que exigia verificação de idade.

Manipulação e terrorismo

Quem não ficaria assustado com esses argumentos, considerando que todos nós dependemos dessas ferramentas? No entanto, essas empresas nunca divulgam quando fazem acordos questionáveis com órgãos de inteligência e compartilham dados sem que você saiba, ou quando traçam perfis comportamentais e os utilizam para finalidades muito além do comercial. Elas também não informam que os mecanismos de busca removem conteúdos que infringem leis. Basta pesquisar o download de um determinado filme para ver a informação de remoção de um link que continha conteúdo pirata, em cumprimento à lei americana DMCA (Digital Millennium Copyright Act), mesmo sem uma ordem judicial. Enquanto isso, no Brasil, eles demoram para remover conteúdo, mesmo sob ordens judiciais.

É muito difícil traçar uma linha para definir quando uma manifestação é legítima ou não. No entanto, atos como os ocorridos em 2 de maio reforçam a necessidade de maior transparência, não apenas por causa do protesto em si, mas pela forma como podem manipular informações, como alertam pesquisadores há muito tempo, inclusive em relação ao risco à legitimidade dos processos eleitorais.

O texto do PL 2630, mesmo em sua versão mais recente e mesmo que ainda não tenha definido uma entidade de supervisão ou por causa disso, ainda pode representar um risco para a democracia. É melhor discutir com mais calma, especialmente definindo melhor as regras para o chamado protocolo de segurança, sem deixar tudo para uma futura regulamentação por um órgão ainda desconhecido.

É urgente manter o foco, sem diminuir a velocidade, diante da inquestionável necessidade de regulamentação das redes sociais, pelo menos para garantir mecanismos mais eficazes de transparência.

 

Por: Rafael Maciel

506, 2023

Responsabilidade das big techs: Suprema Corte Americana não validou a Seção 230

By |junho 5th, 2023|Direito Digital, Privacidade e Cibersegurança|

 


A realidade jurídica: A responsabilidade das plataformas de mídia social por conteúdo perigoso

Nos últimos tempos, a mídia tem divulgado e alguns especialistas têm repercutido sobre a suposta validação da Seção 230 pela Suprema Corte Americana. Essa seção é semelhante ao artigo 19 do Marco Civil da Internet brasileiro, que isenta as plataformas de mídia social de responsabilidade pelos conteúdos postados por terceiros.

No entanto, é importante esclarecer que a Suprema Corte não validou especificamente a Seção 230, pois o caso do Twitter não chegou a ser enfrentado pela corte. O tribunal decidiu afastar o caso do Twitter por não ter constatado “assistência substancial” a ato terrorista, com base na Lei Anti-terrorismo. Por essa razão, a corte entendeu que não precisava analisar o caso do Gonzalez contra a Google, no qual discutia-se a responsabilidade desta última por recomendações de conteúdo no YouTube. A Suprema Corte lidou com o tema de forma hábil, aplicando propriedade e técnica processual.

Reflexões sobre o tema:

É fato que a regulação das redes sociais não pode ser estabelecida simplesmente por uma declaração de inconstitucionalidade de um dispositivo legal legítimo, como é o caso do artigo 19 do Marco Civil da Internet no Brasil. Da mesma forma, entendo que não deve haver uma imunidade total para as plataformas. Embora não sejam responsáveis pelo conteúdo em si, elas devem ser responsabilizadas por suas ações, como a forma de distribuição dos conteúdos se for enviesada. Além disso, essas plataformas devem ser mais transparentes em relação aos conteúdos que removem com base em violações de seus termos de uso, mesmo que não sejam responsáveis pela criação desses conteúdos. Elas têm o direito exclusivo de decidir o que pode ou não ser veiculado, mas também devem ser conscientes de que não gostam quando um Estado ou uma ordem judicial interfere em seus negócios. Essa é a realidade.

Entendendo o caso americano:

Para compreender os casos mencionados, é relevante mencionar um trecho traduzido de um artigo do site Techcrunch: Na quinta-feira, o Supremo Tribunal resolveu dois casos relacionados que buscavam responsabilizar as plataformas sociais por conteúdo perigoso. Os casos, Twitter v. Taamneh e Gonzalez v. Google, buscavam responsabilizar as empresas de tecnologia por hospedarem conteúdo do Estado Islâmico que promovia a organização terrorista em conexão com ataques violentos.

No primeiro caso, o Supremo Tribunal emitiu uma decisão unânime, determinando que o Twitter não auxiliou o Estado Islâmico quando o grupo atacou uma boate turca em 2017. O caso girava em torno da aplicação de uma lei de combate ao terrorismo para responsabilizar as plataformas online. O juiz Thomas proferiu a opinião do tribunal, destacando que não houve conexão suficiente entre os réus e o ataque à boate Reina. Embora os réus fossem acusados de não remover usuários.

Por: Rafael Maciel

Go to Top