Em 2016 o Uber sofreu um grave ataque que levou a uma ação judicial com o executivo de segurança enfrentando um processo criminal acusado por obstruir a justiça ao não divulgar a violação ocorrida
Por Fernando Nery
Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
§ 2º As atividades do encarregado consistem em:
III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
Conforme notícias dos EUA, quinta passada, o Uber sofreu uma significativa violação de dados. Evidências dos dados coletados foram distribuídos para diversos especialistas de segurança e para o jornal The New York Times que relata que foram comprometidos o sistema de mensagens (Slack), o email, os sistemas internos e o repositório de códigos fonte.
Esta não é a primeira vez.
Em 2016 o Uber sofreu um grave ataque que levou a uma ação judicial com o executivo de segurança enfrentando um processo criminal acusado por obstruir a justiça ao não divulgar a violação ocorrida.
Pessoas são a principal força e fraqueza da segurança e proteção.
O Uber é uma organização com o negócio global 100% digital, nele a segurança e a proteção de dados pessoais fazem parte do produto.
É uma empresa que realiza grande investimento de segurança, tem grande apoio das bigtechs, mantém equipes competentes, e políticas rígidas.
Como uma estrutura assim pode sofrer uma violação deste tamanho? A resposta está, ao mesmo tempo, na principal força e fraqueza da segurança: as pessoas! Conforme os relatos, o Uber foi vítima de engenharia social; por meio de um email o(s) invasor(es) conseguiu(ram) informações e acessos essenciais para a invasão.
A partir de uma invasão deste tamanho, o vazamento de informação ou ransomware passam a ser uma escolha do invasor.
Se isso acontece com o Uber e com organizações quem realizam grande investimento em segurança, devemos estar todos atentos.
Entendo que um aspecto que aumenta a capacidade de defesa e resposta de uma organização está na união de esforços; as iniciativas de segurança da informação e cibernética, de privacidade e proteção de dados pessoais, e das estruturas de controle (compliance, controles internos, gestão de riscos, auditoria interna, …) devem atuar juntas principalmente na capacitação, conscientização e engajamento.
Do ponto de vista dos usuários, os conceitos básicos de segurança da informação e cibernética, proteção de dados e privacidade essão muito próximos, assim, mesmo que estando sob responsabilidade de áreas diferentes, se obterá melhores resultados por meio de uma iniciativa educacional única.
A boa notícia é que este público já está conscientizado e recebe muito bem as orientações de segurança, pois além de utilizar no trabalho também estenderão à sua vida pessoal.
Boa semana.
Obrigado,
Abraço,
FNery
Fonte: LinkedIn Pessoas, a principal barreira de proteção: o caso Uber
Módulo é uma empresa brasileira com mais de 36 anos de mercado, especializada em Automatização de Governança, Gestão de Riscos e Conformidade.
Desde 1985 atua nas áreas de software, consultoria e educação oferecendo soluções inovadoras e customizadas para Segurança Cibernética, Privacidade e GRC.
Certificada ISO 27001 – Segurança da Informação, ISO 27701 – Privacidade de Dados e Empresa Estratégica de Defesa pelo Ministério da Defesa; membro do CIS – Center for Internet Security, do IAPP – The International Association of Privacy Professionals e do Open Group / Open Fair – (Factor Analysis of Information Risk); além de Qualified Security Assessor (QSA) pelo PCI Security Standards Council.
Participou de projetos internacionalmente reconhecidos como as eleições eletrônicas brasileiras, a entrega de imposto de renda via Internet, XV Jogos Pan Americanos Rio 2007, a Copa do Mundo 2014 e as Olimpíadas 2016, além de projetos de grande porte em empresas dos setores financeiro, telecomunicações, utilities e governo.
Temos soluções para LGPD, integração automatizada de informações e comunicação, visualização em mapas e data analytics, gestão de eventos e incidentes, ambiente em nuvem e segurança cibernética.
RH é protagonista na LGPD, por Fernando Nery
O novo vocabulário da ISO 31073 para gestão de riscos, Por Alberto Bastos
O Crypto ID trilhou um caminho incrível!
Ao longo de uma década, fomos além das inovações e tendências, tornando-nos referência em segurança digital, identificação e privacidade.
Neste marco tão especial, renovamos nosso compromisso com um mundo digital mais seguro e confiável.
Agradecemos a todos que fizeram e fazem parte dessa trajetória – parceiros, colunistas, colaboradores, assessorias de imprensa e a nossa comunidade! Juntos, estamos construindo um futuro em que empresas, máquinas e pessoas possam confiar muito mais umas nas outra.