Conheça mais sobre a Lei Geral de Proteção de Dados Pessoais


Em Fevereiro de 2020 entra em vigor a Lei Geral de Proteção de Dados Pessoais. Basicamente a lei determina que todos os dados pessoais só podem ser coletados mediante consentimento do usuário. A lei também classifica determinados dados como sensíveis, que seriam aqueles que, por sua natureza devem ter uma proteção mais rigorosa. Por fim a lei dispõe que qualquer empresa ou órgão público que atue no tratamento de dados pessoais deva ser responsabilizado se violar a legislação.

Muitas empresas e órgãos públicos estão trabalhando desde já nas adequações internas de modo a não ficarem sujeitos às penalidades da nova lei. Se de um lado existe esta preocupação, provavelmente do outro lado os hackers também estão se preparando para os ataques. Os principais alvos possivelmente seriam as empresas e órgãos públicos com a maior quantidade de dados sensíveis conforme classificado pela própria lei.

No olhar do time de TI, a maior ameaça será o tipo de ataque conhecido como Injection Attack, o qual foi relacionado em primeiro lugar no Top 10 da OWASP (owasp.org).

Os Injections Attacks é uma classe inteira de ataques que usam a injeção de código WEB para obter informações de um determinado repositório de dados que pode ser um banco de dados, LDAP, servidor de aplicação, servidor de arquivos, entre outros.

No caso dos ataques via SQL Injections, por se tratar de alteração “on the fly” de códigos SQL enviados pelas aplicações para os servidores de banco de dados, os desenvolvedores, muitas vezes, se tornam responsáveis pela verificação de possíveis falhas em seus códigos. Esta estratégia requer constantes modificações dos códigos, trazendo assim uma enorme variação e implantação de novas versões.

Uma estratégia que pode ser utilizada, seria retirar esta linha de defesa do código da aplicação e a colocar em uma nova camada chamada Web Application Firewall (WAF). Ao contrário dos Firewalls tradicionais de rede, os WAF compreendem e analisam códigos WEB.

Segundo o Gartner, um dos melhores WAF do mercado é o BIG-IP ASM da F5 Network, o qual pode ser implementado e licenciado de várias formas, tanto físico (appliance), virtual (VE), em nuvem (Amazon, Azure e Google) e em datacenters (Equinix).

O BIG-IP possui, dentre diversas outras funcionalidades, a capacidade de identificar ataques de injeção de códigos utilizando uma base de assinaturas de ataques conhecidos. Uma vez identificado um ataque, o BIG-IP bloqueia o envio do código malicioso.

O BIG-IP da F5 Network é uma das várias soluções que podem ajudar às empresas a estarem de acordo com a nova Lei Geral de Proteção de Dados Pessoais.

A MPE Soluções é uma empresa especialista em redes, segurança da informação e infraestrutura de TI. Nossos profissionais estão prontos e capacitados para ajudar nossos clientes na adequação à nova Lei Geral de Proteção de Dados Pessoais, seja através da proteção da rede, do armazenamento, do backup e do processamento (mpesolucoes.com.br).

 

Escrito por: Marcos Souza – Gerente Comercial da MPE Soluções RJ

Com as suas informações, a MPE poderá pensar em soluções
perfeitas para sua empresa.

Alguns de nossos clientes