Pesquisar
Close this search box.
Categorias
Proteção de dados

IoT na Saúde: Revolução e Cuidados com Cibersegurança

A IoT na Saúde (Internet of Things) está impactando e mudando o setor, tornando os provedores mais inteligentes e eficientes, oferecendo os cuidados preventivos ainda mais acessíveis.

Com a crescente inovação tecnológica do segmento, a tecnologia ligada a IoT está começando a ter um impacto real no setor de saúde. 

De acordo com um estudo da Markets and Markets, o mercado de dispositivos portáteis médicos deve atingir US $12,1 bilhões em 2021.

Esses dispositivos portáteis estão muito além do escopo do rastreamento de condicionamento físico. Novos dispositivos podem monitorar ataques cardíacos, sinais de derrame e medir e controlar os níveis de insulina de pacientes diabéticos. 

A Internet das Coisas, como também é conhecida, inaugurou uma nova era de inovação, as aplicações ligadas ao IoT incluem tudo, desde transporte e fabricação até controle e automação residencial inteligente e até mesmo entretenimento. 

É importante notar que o setor de saúde também se beneficia com a Internet das Coisas. Quando aplicada de forma correta, a IoT na Saúde possui um enorme potencial. Do gerenciamento de medicamentos ao monitoramento de pacientes, seus usos são quase ilimitados. 

Principais benefícios da IoT na Saúde

Como a própria palavra sugere, Internet of Things é uma rede de dispositivos interconectados por meio de um software (gateway IoT).

Com a ajuda de sensores, um dispositivo IoT detecta propriedades físicas, como temperatura, pressão, movimento, peso, luz, e as converte em sinais elétricos. Em seguida, um gateway IoT recebe o sinal e o processa em informações úteis.  

O sinal elétrico gerado por dispositivos IoT pode ser usado para resolver problemas complexos da vida diária. Como um caso de uso comum na área de saúde, ele permite o rastreamento em tempo real de equipamentos médicos, como nebulizadores, kits médicos, bombas de oxigênio e cadeiras de rodas. 

Na prática, a IoT na Saúde está transformando o setor no que diz respeito à maneira como aplicativos, dispositivos e pessoas interagem ao fornecer soluções de saúde.

Abaixo estão alguns dos principais benefícios da adoção da IoT no setor de saúde:

1. IoT aplicado ao Monitoramento remoto

Graças à IoT na Saúde, você não precisa correr para o hospital ou ficar internado sempre que precisar de um profissional de saúde para ficar de olho em sua saúde.

Seu médico pode monitorar sua saúde no hospital enquanto você está deitado na cama. Isso também com a ajuda de dispositivos.

O monitoramento remoto tem ajudado milhares de pacientes com coração e pressão arterial que precisam de check-ups regulares de suas condições de saúde.

Os dispositivos IoT, como pulseiras de fitness ou smartwatches, podem monitorar o açúcar no sangue e a frequência cardíaca dos pacientes e enviar informações em tempo real aos médicos.

Além disso, um equipamento IoT pode de IoT, como frequência cardíaca incomum, e enviar alertas em tempo real para seu médico ou familiares. 

2. Cuidados de saúde acessíveis com uso da Internet das Coisas

IoT tornou os cuidados de saúde acessíveis a mais pacientes. O monitoramento remoto economiza muito tempo e dinheiro para os pacientes gastos em consultas médicas desnecessárias ou readmissões. 

Além disso, a IoT ajuda os hospitais a gerenciar com eficiência suas operações administrativas, como automatizar o agendamento de consultas ou o rastreamento em tempo real dos leitos disponíveis.

Ele economiza o custo do trabalho manual e, consequentemente, reduz o custo da saúde. 

3. Oferecer o melhor tratamento através de dispositivos IoT

Junto com análises sofisticadas de saúde, a Internet das Coisas pode gerar percepções úteis e acionáveis ​​que podem ajudar os profissionais de saúde a fornecer um melhor atendimento ao paciente. 

Os dados em tempo real coletados por meio de dispositivos IoT podem ser processados ​​e documentados para fazer um relatório criterioso sobre o histórico e o comportamento do paciente. Ajuda os médicos a compreender melhor a natureza da doença e a fornecer um tratamento melhor. 

4. Diagnóstico eficiente de doenças

Aliado às análises avançadas de saúde, os dados de IoT coletados de um paciente podem ajudar em um melhor diagnóstico.

O insight gerado por meio de análises pode ajudar os profissionais de saúde a detectar sintomas de doenças em estágio inicial. 

Com a ajuda da Inteligência Artificial e tecnologias de computação avançadas, a Internet das Coisas pode detectar e alertar os pacientes automaticamente sobre os riscos à saúde que estão por vir.

5. Fácil gerenciamento de equipamentos e medicamentos

Graças à IoT, agora você pode armazenar enormes pilhas de medicamentos e equipamentos de maneira organizada. Isso não deixa espaço para erros humanos ou má gestão dos itens. 

Com a ajuda do rastreamento em tempo real, você pode ter acesso eficiente a todos os itens e, portanto, recuperá-los com eficiência e eficácia com o mínimo de esforço.

6. Reduzir o erro humano

Algumas operações de saúde precisam de precisão e exatidão, como determinar a elegibilidade de um candidato para testar um novo medicamento.

O tratamento manual de dados, especialmente quando um grande volume de dados está envolvido, pode aumentar as chances de erros humanos elevados. Por outro lado, a Internet das Coisas garante que os dados estejam livres de erros. 

7. Gerenciamento eficiente de registros eletrônicos de saúde

Suponha que você corra para o hospital por causa de uma pequena dor no peito e o médico precise entender seu histórico médico. Em minutos, e com alguns cliques, ele pode ter acesso a relatórios bem documentados de seu histórico médico armazenados no banco de dados.

Embora a segurança dos dados possa ser uma preocupação, os dispositivos IoT podem vir com seus protocolos de criptografia, mais seguros e desenvolvidos especialmente para dispositivos IoT.

8. Melhor gestão de seguros

As seguradoras estão usando a Internet das Coisas para trazer mais transparência em suas operações, como subscrição, gerenciamento de sinistros e avaliação de risco.

Além disso, com dispositivos IoT, ficou mais fácil detectar fraudes. 

Muitas empresas líderes recompensam seus clientes se eles mostrarem melhores precauções durante o tratamento e reduzirem os custos de seguro. As empresas determinam os candidatos certos com base nos dados da IoT durante um período significativo.

9. Comunicação perfeita entre hospitais

Como a IoT ajuda a manter um registro eletrônico do histórico médico, agora não é mais preciso mais carregar uma pasta de documentos de seu diagnóstico anterior. Ele também ajuda os hospitais a compartilhar informações úteis e necessárias de maneira integrada e econômica. 

Além disso, a colaboração eficaz de hospitais aprimora as análises e pesquisas de saúde. O enorme volume de dados coletados de pacientes de vários hospitais pode ser útil para cientistas da área de saúde. 

10. Desenvolvimento eficiente de Medicamentos

O desenvolvimento de medicamentos é um processo caro e demorado. Ao desenvolver um novo medicamento, os cientistas farmacêuticos usam processos iterativos que envolvem reações químicas entre vários reagentes e ingredientes.

Com a ajuda de IoT e análises de saúde, eles podem prever o resultado mesmo sem realizar reações. 

Além disso, a IoT ajuda as empresas farmacêuticas a determinar os candidatos certos para seus novos medicamentos. Com base no perfil do candidato ideal e nos dados coletados de vários candidatos, a IoT sugere correspondências adequadas para seus testes.

Os benefícios da Internet das Coisas no campo da saúde são enormes. Como vimos, quando integrada com a saúde, a Internet das Coisas pode ser usada para aumentar a eficiência das operações hospitalares, melhorar o monitoramento do paciente e até mesmo fornecer soluções acessíveis para tecnologia vestível. 

No entanto, sempre que a conexão de rede funcionar, haverá problemas de segurança, e a Internet das Coisas não é exceção no campo da saúde.

Os dispositivos da Internet das Coisas são facilmente afetados. Embora as pessoas costumavam se preocupar apenas com os dados do paciente e com a conformidade com os requisitos regulamentares, elas ainda precisam se preocupar com os riscos potenciais dos cibercriminosos.

Os módulos de segurança de hardware (HSMs) da Thales Luna permitem o suporte contínuo a cibersegurança

Um módulo de segurança de hardware (HSM) é um dispositivo físico que fornece segurança extra para dados confidenciais. Este tipo de dispositivo é usado para fornecer chaves criptográficas para funções críticas, como criptografia, descriptografia e autenticação para o uso de aplicativos, identidades e bancos de dados. 

Para se ter uma ideia, as empresas podem usar um módulo de segurança de hardware, por exemplo, para proteger segredos comerciais de valor significativo, garantindo que apenas indivíduos autorizados possam acessar o HSM para concluir uma transação de chave de criptografia, ou seja, controlar o acesso devidamente e se necessário com múltiplos fatores de autenticação, que é uma recomendação de segurança adotada hoje em dia.

Além disso, todo o ciclo de vida da chave de criptografia, desde a criação, revogação, gerenciamento e armazenamento no HSM.

As assinaturas digitais também podem ser gerenciadas por meio de um HSM e todas as transações de acesso são registradas para criar uma trilha de auditoria. Desta forma, um módulo de segurança de hardware pode ajudar as hospitais a mover informações e processos confidenciais da documentação em papel para um formato digital. 

Os Módulos de Segurança de Hardware da Thales fornecem o mais alto nível de segurança, sempre armazenando chaves criptográficas no hardware. Além disso, fornecem uma base de criptografia segura, já que as chaves nunca deixam o dispositivo validado por FIPS 140- 2, Nível 3, , resistente a intrusões e inviolável. 

Criptografia no HSM: controle de acesso a material confidencial em dispositivos IoT na saúde

Além disso, a Thales também implementa operações que tornam a implantação de HSMs seguros o mais fácil possível, e nossos HSMs são integrados ao Thales Crypto Command Center para particionamento, relatório e monitoramento de recursos criptográficos rápidos e fáceis.

Os HSMs da Thales seguem rigorosos requisitos de design e devem passar por rigorosos testes de verificação de produtos, seguidos por testes de aplicativos reais para verificar a segurança e integridade de cada dispositivo.

Com os módulos de segurança de hardware Thales, você pode:

  • Abordar os requisitos de conformidade com soluções para Blockchain, LGPD e IoT, realizando o armazenamento de chave de hardware, aceleração transacional, assinatura de certificado, assinatura de código ou documento, geração de chave em massa e criptografia de dados;
  • As chaves são geradas e sempre armazenadas em um dispositivo com validação FIPS resistente a intrusões, à prova de violação e com os níveis mais fortes de controle de acesso;
  • Criar partições com um Security Office dedicado por partição e segmente por meio de separação de chave de administrador.

Portanto, os Thales Luna HSM  vem implementando as melhores práticas em hardware, software e operações que tornam a implantação dos HSMs o mais fácil possível. 

Os Thales Luna HSM cumprem rigorosos requisitos de projeto e devem passar por rigorosos testes de verificação de produtos, seguidos por testes de aplicativos do mundo real para verificar a segurança e a integridade de cada dispositivo.

As principais vantagens do Thales HSM Luna são os seguintes:

  • As chaves sempre permanecem no hardware

Proteja suas chaves criptográficas mais sensíveis em nossos HSMs FIPS 140-2 Nível 3.  

O armazenamento de suas chaves em nosso cofre de alta garantia garante que elas estejam protegidas contra violações, ao contrário de soluções alternativas no mercado. 

Com a abordagem de chave no hardware, os aplicativos se comunicam por meio de um cliente com as chaves armazenadas no HSM e as chaves nunca saem do dispositivo.

  • Alto desempenho

Beneficie-se do melhor desempenho da categoria em uma variedade de algoritmos, incluindo ECC, RSA e AES-GCM, para satisfazer os aplicativos mais exigentes e cumprir os acordos de nível de serviço.

O Thales Luna HSM envia alertas por email sobre eventos que afetam o serviço e suporte rapidamente o proprietário do aplicativo.

  • Recursos da próxima geração

Com uma combinação incomparável de recursos, incluindo gerenciamento central de chaves e políticas, suporte robusto à criptografia, integração simplificada, opções flexíveis de backup, gerenciamento remoto e muito mais.

Os módulos de segurança de hardware do Thales Luna HSM permitem às organizações se proteger contra ameaças em evolução e aproveitar as oportunidades emergentes apresentadas em avanços tecnológicos.

  • Rota na nuvem

O Thales Luna HSM oferece suporte a muitos cenários de implantação, de data centers locais a ambientes privados, híbridos, públicos e com várias nuvens, fornecendo uma quantidade enorme de flexibilidade, pois permite que os clientes movam chaves para dentro e fora de ambientes em nuvem. 

  • Ecossistema de integração ampla

Os HSMs apresentam um dos ecossistemas mais amplos disponíveis no mercado e integram-se a mais de 400 dos aplicativos corporativos mais usados ​​para PKI, blockchain, big data, IoT, assinatura de código, SSL / TLS, pós-quantum, servidores da Web, servidores de aplicativos, bancos de dados e muito mais. Além disso, oferecemos amplo suporte à API, incluindo PKCS # 11, Java, OpenSSL, Microsoft, Ruby, Python e Go.

  • Tecnologias emergentes

Proteja-se  contra ameaças em evolução e capitalize em tecnologias emergentes, incluindo Internet das Coisas (IoT), Blockchain, Quantum e muito mais.

Sobre a Eval

Com uma trajetória de liderança e inovação que remonta a 2004, a Eval não apenas acompanha as tendências tecnológicas, mas também estamos em uma busca incessante para trazer novidades oferecendo soluções e serviços que fazem a diferença na vida das pessoas.

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Categorias
Proteção de dados

Proteção Contra Ransomware: Foco em Backup e Recuperação

A proteção contra Ransomware tem sido um dos principais desafios enfrentados pelas empresas de todos os tipos, tamanhos e segmentos, e as equipes de tecnologia devem estar prontas para tomar todas as medidas necessárias para minimizar os riscos e garantir a alta disponibilidade das operações.

Em agosto deste ano (2021), a empresa de consultoria global Accenture sofreu um ataque de ransomware que ameaçava dados confidenciais. Isso fez dela mais uma vítima em uma longa fila de organizações que sofreram desse tipo de ataque nos últimos meses. 

A Accenture teve “sorte”. Antes do incidente, a empresa implementou controles e protocolos de segurança para proteger sua infraestrutura de TI contra essas ameaças e preparou uma resposta contra os ataques de ransomware.

Até onde a empresa sabe, nenhum dado de cliente ou informação sensível foi comprometida após o ataque.

Porém, muitas outras empresas não tiveram essa mesma sorte. Os ataques de ransomware somam milhões em receita perdida, custos de recuperação e pagamentos de resgate.

Mesmo as empresas com ações de proteção contra Ransomware necessárias ainda podem ser vítimas de ataques, uma ameaça que continua a aumentar à medida que o ransomware se torna mais sofisticado e hábil em infectar dados de backup. 

TI está sob uma pressão crescente para garantir a proteção contra Ransomware

Um grande desafio para empresas que ainda sofrem para implementar políticas e ações efetivas que incluam segurança, backup e recuperação.

É o que mostra o relatório de Proteção de Dados da Veeam 2021, que aponta que 58% dos backups das empresas falham, deixando os dados desprotegidos contra ataques virtuais e cibercriminosos.

De fato, procedimentos de backups e recuperação de dados são a primeira linha de defesa para proteção contra Ransomware e outras ameaças, mas esses backups devem ser totalmente protegidos.

Isso não inclui apenas proteções físicas, como vigilância por vídeo ou registro de entrada e saída, mas também armazenamento abrangente e segurança de rede, que pode incluir uma ampla gama de proteções. 

Uma equipe de TI, por exemplo, pode usar varredura de vulnerabilidade, segmentação de rede, autenticação multifator, monitoramento da rede, sistemas de detecção de intrusão e software antimalware / anti-ransomware para garantir a proteção dos backup realizados durante as operações de negócio das empresas.

Para uma efetiva Proteção Contra Ransomware, mantenha pelo menos duas cópias de cada backup

Armazene-os em diferentes tipos de mídia e localize-os em algum lugar diferente da rede primária. Pelo menos um desses backups deve ser imutável e mantido off-line.

Com um backup imutável, os dados podem ser gravados apenas uma vez, geralmente em uma única sessão, e não podem ser atualizados ou excluídos, uma estratégia frequentemente chamada de WORM (gravar uma vez, ler várias). 

Junto com essas proteções, os times de TI também devem garantir que todos os sistemas sejam corrigidos e atualizados em tempo hábil.

A proteção do backup deve fazer parte da estratégia de prevenção contra ataques de ransomware

A primeira etapa na prevenção ataques de ransomware é revisar e atualizar as políticas de backup. Essas políticas devem refletir quais dados a organização possui, onde estão e os sistemas que as equipes de TI devem recuperar primeiro no caso de um ataque. 

Políticas eficientes detalham e validam tudo o que as empresas precisam para fazer backup e quando esses backups devem ocorrer. Execute operações de backup dos dados regularmente e com frequência, com dados críticos na maioria das vezes. 

Além disso, verifique e analise os backups em busca de infecções. Na prática, as políticas devem especificar por quanto tempo reter os backups. Lembre-se que o ransomware pode permanecer em segundo plano durante um bom tempo.

Uma organização deve ter um monitor abrangente e sistema de alerta que rastreie todo o back-end tecnológico, incluindo endpoint e ambiente de rede, procurando por anomalias no tráfego, padrões de dados, comportamento do usuário e tentativas de acesso. 

A estrutura de proteção criada para o backup deve ser capaz de responder automaticamente ataques de ransomware

Como a quarentena de sistemas infectados. Esses sistemas podem usar aprendizado de máquina (Machine Learning) e outras tecnologias avançadas para identificar e mitigar ameaças. 

Garanta que os usuários finais recebam a educação e o treinamento de que precisam para minimizar o comportamento de risco e saibam o que fazer se suspeitarem que suas máquinas foram infectadas. 

Não esqueça que as equipes de TI devem tomar todas as medidas possíveis para reduzir a superfície de ataque à rede e limitar a possibilidade de ações do usuário final resultando em ransomware.

Por fim, para garantir uma eficiente proteção contra Ransomware, as equipes de TI devem colocar os sistemas limpos online, verificar quais backups podem ser restaurados com segurança e, em seguida, recuperar os dados dessas estruturas.

Depois que os sistemas estiverem instalados e funcionando, eles devem documentar as lições aprendidas e tomar todas as medidas necessárias para reduzir o risco de ataques de ransomware subsequentes.

CipherTrust Data Security Platform Permite o Investimento Assertivo em Proteção Contra Ransomware

De acordo com o IDC, mais de 175 zetabytes de dados serão criados até 2025, e hoje mais da metade de todos os dados corporativos são armazenados na nuvem. 

Para lidar com a complexidade de onde os dados são armazenados, a CipherTrust Data Security Platform oferece recursos fortes para proteger e controlar o acesso a dados confidenciais em bancos de dados, arquivos e contêineres. Tecnologias específicas incluem:

CipherTrust Transparent Encryption

Criptografa dados em ambientes locais, em nuvem, banco de dados, arquivos e Big Data com controles de acesso abrangentes e registro de auditoria de acesso de dados detalhado que pode impedir os ataques mais maliciosos.

CipherTrust Database Protection

Fornece criptografia transparente ao nível de coluna de dados estruturados e confidenciais que residem em bancos de dados, como cartão de crédito, números de previdência social, números de identificação nacional, senhas e endereços de e-mail.

CipherTrust Application Data Protection

Oferece APIs para que os desenvolvedores adicionem rapidamente criptografia e outras funções criptográficas a seus aplicativos, enquanto o SecOps controla as chaves de criptografia.

CipherTrust Tokenization

Oferece serviços de tokenização de dados ao nível de aplicativo em duas soluções convenientes que oferecem flexibilidade ao cliente – Token sem Vault com mascaramento de dados dinâmico baseado em políticas e Tokenização em Vault.

CipherTrust Batch Data Transformation

Fornece serviços de mascaramento de dados estáticos para remover informações confidenciais de bancos de dados de produção, para que as questões de conformidade e segurança sejam aliviadas ao compartilhar um banco de informações com terceiros para análise, teste ou outro processamento.

CipherTrust Manager

Centraliza chaves, políticas de gerenciamento e acesso a dados para todos os produtos CipherTrust Data Security Platform e está disponível em formatos físicos e virtuais compatíveis com FIPS 140-2 Nível 3.

CipherTrust Cloud Key Manager

Oferece o gerenciamento do ciclo de vida de sua própria chave (BYOK) para muitos provedores de infraestrutura, plataforma e software como serviço na nuvem.

CipherTrust KMIP Server

Centraliza o gerenciamento de chaves para o protocolo de interoperabilidade de gerenciamento de chaves (KMIP) comumente usado em soluções de armazenamento.

CipherTrust TDE Key Manager

Centraliza o gerenciamento de chaves para criptografia encontrada em Oracle, SQL e Always Encrypted SQL.

O portfólio de produtos de proteção de dados que compõe a solução CipherTrust Data Security Platform permite a proteção contra Ransomware para dados em repouso e em movimento em todo o ecossistema de TI, garantindo que as chaves dessas informações estejam sempre protegidas e apenas sob seu controle. 

Ela simplifica a segurança dos dados, melhora a eficiência operacional e acelera o tempo de conformidade. Independentemente de onde seus dados residem.

A plataforma CipherTrust garante que seus dados estejam seguros, com uma ampla gama de produtos e soluções comprovados e líderes de mercado para implantação em data centers, ou aqueles gerenciados por provedores de serviços em nuvem (CSPs) ou provedores de serviços gerenciados (MSPs), ou como um serviço baseado em nuvem gerenciado pela Thales, empresa líder no segmento de segurança.

Portfólio de ferramenta que garante a proteção de dados contra ataques de ransomwares

Com os produtos de proteção de dados do CipherTrust Data Security Platform, sua empresa pode:

Reforçar a segurança e a conformidade contra ataques de ransomware

Os produtos e soluções de proteção de dados CipherTrust abordam as demandas de uma série de requisitos de segurança e privacidade, incluindo a identificação eletrônica, autenticação e confiança, Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS), Lei Geral de Proteção de Dados (LGPD), entre outros requisitos de conformidade.

Otimiza a eficiência da equipe e dos recursos utilizados na proteção contra Ransomware

CipherTrust Data Security Platform oferece o mais amplo suporte para casos de uso de segurança de dados no setor, com produtos desenvolvidos para trabalhar em conjunto, uma linha única para suporte global, um histórico comprovado de proteção contra ameaças em evolução e o maior ecossistema de parcerias de segurança de dados do setor. 

Com foco na facilidade de uso, APIs para automação e gerenciamento responsivo, a solução CipherTrust Data Security Platform garante que suas equipes possam implementar, proteger e monitorar rapidamente a proteção do seu negócio. 

Além disso, serviços profissionais e parceiros estão disponíveis para design, implementação e assistência de treinamento para garantir rapidez e confiabilidade em implementações com o mínimo de tempo de sua equipe.

Reduz o custo total de propriedade

O portfólio de proteção contra Ransomware do CipherTrust Data Security Platform oferece um amplo conjunto de produtos e soluções de segurança de dados que podem ser facilmente dimensionados, expandidos para novos casos de uso e têm um histórico comprovado de proteção de tecnologias novas e tradicionais. 

Com o CipherTrust Data Security Platform, as empresas podem preparar seus investimentos para o futuro enquanto reduz custos operacionais e despesas de capital.

Sobre a EVAL

Com uma trajetória de liderança e inovação que remonta a 2004, a Eval não apenas acompanha as tendências tecnológicas, mas também estamos em uma busca incessante para trazer novidades oferecendo soluções e serviços que fazem a diferença na vida das pessoas.

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Categorias
Proteção de dados

Ataque cibernético a instituições financeiras, um risco real

Os bancos, Fintechs e outras empresas do setor financeiro tem sido um dos principais alvos de ataques cibernéticos a instituições Financeiras devido à abundância de informações confidenciais contidas nos arquivos dos clientes.

Especialmente à medida que cada vez mais pessoas fazem a transição para o banco online e buscam formas alternativas e sem contato de pagamento durante a pandemia. 

Agora, uma nova onda de soluções financeiras, a exemplo do Pix e Open Banking, está surgindo para tornar as transações em tempo real mais fáceis para os clientes, porém, ampliando ainda mais o cenário de ameaças. 

Junto com as ameaças crescentes, as instituições financeiras também devem cumprir os requisitos de conformidade regulamentar, como a Lei Geral de Proteção de Dados (LGPD), ou multas e sanções regulamentares serão aplicadas, ampliando ainda mais os riscos de grandes prejuízos às empresas ligadas ao segmento. 

De acordo com estudo feito pelo Boston Consulting Group, as empresas de serviços financeiros têm 300 vezes mais probabilidade do que outras empresas de serem alvos de ataques cibernéticos, incluindo phishing, ransomware e outros ataques de malware, e até ameaças internas. 

Instituições financeiras devem adotar uma abordagem mais proativa em relação aos ataques cibernéticos ou arriscar violações de dados devastadoras

Cibercriminosos têm motivos diferentes ao executar ataque cibernético a instituições financeiras, mas, no caso dos criminosos cibernéticos, seu objetivo é o ganho financeiro.  

As instituições financeiras têm uma grande quantidade de informações pessoais e financeiras, prontas para monetização se violados, incluindo carteiras de criptomoedas e a transferência de dinheiro via Pix. 

Assim como outros métodos de ataque, os cibercriminosos trabalham para comprometer as credenciais da conta por meio de phishing. Basta um funcionário reutilizar as credenciais da conta, como senhas, que os invasores têm tudo o que precisam para realizar ataque cibernético a instituições financeiras e causar estragos.  

Ransomware  é um tipo de malware que criptografa arquivos confidenciais ou bloqueia empresas fora de seus sistemas. A única maneira de desbloqueá-lo é com uma chave matemática que apenas o invasor conhece, que você receberá após pagar um resgate.

No segmento financeiro, ransomware é um dos ataques cibernéticos mais comuns. Somente em 2017, 90% das instituições financeiras foram atingidas por um ataque de ransomware. Em 2020, a terceira maior empresa Fintech do mundo, Finastra, foi alvo.

Então, por que o ransomware é tão eficaz para os cibercriminosos? Porque, na maioria das vezes, é muito mais rápido e barato pagar o resgate do que sofrer um tempo de inatividade.

Como lidar com riscos de ataques cibernéticos: detectar e gerenciar ameaças

Na prática, bancos, Fintechs e outras instituições financeiras podem seguir boas práticas de segurança para garantir que sua organização esteja protegida, enquanto continuam a aderir à conformidade regulatória.

A implementação de recursos de monitoramento contínuo e de detecção de ameaças é o primeiro passo para preencher as lacunas de segurança flagrantes que muitos bancos e instituições financeiras estão enfrentando. 

De fato, ataques de ransomware geralmente não é um evento único. Na verdade, isso pode acontecer várias vezes na mesma empresa.

Independentemente de se uma organização sofreu um incidente ou não, é importante monitorar toda a gama de redes e aplicativos em todo o cenário de TI de forma contínua, em vez de avaliações periódicas. 

Com esse tipo de visibilidade constante, as empresas sabem se estão comprometidas ou seguras.

É cada vez mais importante para bancos e Fintechs construírem uma base sólida, adotando tecnologias e processos de segurança que potencializem sua capacidade de detectar ataque cibernético a instituições financeiras o mais cedo possível. 

Existem algumas maneiras pelas quais essas tecnologias podem ajudar as instituições a se protegerem, incluindo o fornecimento de um contexto importante para comportamentos anômalos, sinalizando indicadores conhecidos de comprometimento e acelerando a detecção e a resposta a ameaças. 

Entretanto, a detecção por si só não impede que os cibercriminosos ataquem.

Depois que atividades suspeitas que podem indicar etapas iniciais de um ataque são detectadas, é importante que as empresas tenham controles em vigor para interromper atividades futuras e um plano de resposta a incidentes para mitigar o ataque.

Criptografia e integridade de dados também fazem parte da estratégia de proteção contra ataques cibernéticos

As pessoas usarão qualquer aplicativo financeiro com base na confiança de que seus dados estão seguros em suas mãos, e é por isso que as violações de dados via Ransomware são tão prejudiciais à reputação de bancos e Fintechs.

Além de estabelecer confiança, a criptografia também é uma das maneiras mais fáceis de cumprir a maioria das regulamentações governamentais. Na verdade, muitas agências de controle até exigem isso.

Por exemplo, além da LGPD, os padrões de segurança de dados da indústria de cartões de pagamento (PCI DSS) exigem que as empresas criptografem as informações do cartão de crédito antes de armazená-las em seu banco de dados. 

Criptografar dados é crucial.

No entanto, criptografar dados somente durante o armazenamento não é suficiente. A menos que você não tenha planos de mover seus dados, criptografá-los durante o transporte é igualmente crucial.

Isso porque os cibercriminosos podem espionar as conexões do servidor de aplicativos e interceptar quaisquer dados enviados.

Backup e recuperação de desastres como a maneira mais eficiente para diminuir o tempo de inatividade das instituições financeiras

O planejamento de possíveis interrupções pode reduzir os impactos para bancos, Fintechs e outras instituições financeiras não apenas um tempo valioso, mas também quantias significativas de dinheiro em termos de receita perdida, credibilidade e serviços de recuperação. 

Um relatório recente feito pela Sophos, “State of Ransomware 2021”,  mostrou que o custo total médio de recuperação de um ataque de ransomware pode chegar a US$ 2 milhões.

Criar um plano contra o ataque cibernético a instituições financeiras antes que ocorra um desastre também coloca as organizações em uma posição melhor para evitar o pagamento de resgates devido à capacidade de retomar as operações. 

Uma sólida capacidade de recuperação de desastres pode limitar o impacto dos ataques cibernéticos a uma pequena interrupção, em vez de um evento que termina uma empresa.

CipherTrust Data Security Platform Permite a Proteção Contra Ataque Cibernético a Instituições Financeiras

De acordo com o IDC, mais de 175 zetabytes de dados serão criados até 2025, e hoje mais da metade de todos os dados corporativos são armazenados na nuvem. 

Para lidar com a complexidade de onde os dados são armazenados, a CipherTrust Data Security Platform oferece recursos fortes para proteger e controlar o acesso a dados confidenciais em bancos de dados, arquivos e contêineres contra ataques cibernéticos. Tecnologias específicas incluem:

CipherTrust Transparent Encryption

Criptografa dados em ambientes locais, em nuvem, banco de dados, arquivos e Big Data com controles de acesso abrangentes e registro de auditoria de acesso de dados detalhado que pode impedir os ataques cibernéticos mais maliciosos.

CipherTrust Database Protection

Fornece criptografia transparente ao nível de coluna de dados estruturados e confidenciais que residem em bancos de dados, como cartão de crédito, números de previdência social, números de identificação nacional, senhas e endereços de e-mail.

CipherTrust Application Data Protection

Oferece APIs para que os desenvolvedores adicionem rapidamente criptografia e outras funções criptográficas a seus aplicativos, enquanto o SecOps controla as chaves de criptografia.

CipherTrust Tokenization

Oferece serviços de tokenização de dados ao nível de aplicativo em duas soluções convenientes que oferecem flexibilidade ao cliente – Token sem Vault com mascaramento de dados dinâmico baseado em políticas e Tokenização em Vault.

CipherTrust Batch Data Transformation

Fornece serviços de mascaramento de dados estáticos para remover informações confidenciais de bancos de dados de produção, para que as questões de conformidade e segurança sejam aliviadas ao compartilhar um banco de informações com terceiros para análise, teste ou outro processamento.

CipherTrust Manager

Centraliza chaves, políticas de gerenciamento e acesso a dados para todos os produtos CipherTrust Data Security Platform e está disponível em formatos físicos e virtuais compatíveis com FIPS 140-2 Nível 3.

CipherTrust Cloud Key Manager

Oferece o gerenciamento do ciclo de vida de sua própria chave (BYOK) para muitos provedores de infraestrutura, plataforma e software como serviço na nuvem.

CipherTrust KMIP Server

Centraliza o gerenciamento de chaves para o protocolo de interoperabilidade de gerenciamento de chaves (KMIP) comumente usado em soluções de armazenamento.

CipherTrust TDE Key Manager

Centraliza o gerenciamento de chaves para criptografia encontrada em Oracle, SQL e Always Encrypted SQL.

O portfólio de produtos de proteção de dados que compõe a solução CipherTrust Data Security Platform permite que as empresas protejam dados em repouso e em movimento em todo o ecossistema de TI e garante que as chaves dessas informações estejam sempre protegidas e apenas sob seu controle. 

Ela simplifica a segurança dos dados, melhora a eficiência operacional e acelera o tempo de conformidade. Independentemente de onde seus dados residem.

A plataforma CipherTrust garante que seus dados estejam seguros, com uma ampla gama de produtos e soluções comprovados e líderes de mercado para implantação em data centers, ou aqueles gerenciados por provedores de serviços em nuvem (CSPs) ou provedores de serviços gerenciados (MSPs), ou como um serviço baseado em nuvem gerenciado pela Thales, empresa líder no segmento de segurança.

Portfólio de ferramenta que garante a proteção de dados contra o Cibercrime

Com os produtos de proteção de dados do CipherTrust Data Security Platform, sua empresa pode:

Reforçar a segurança e a conformidade contra ataques cibernéticos

Os produtos e soluções de proteção de dados CipherTrust abordam as demandas de uma série de requisitos de segurança e privacidade, incluindo a identificação eletrônica, autenticação e confiança, Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS), Lei Geral de Proteção de Dados (LGPD), entre outros requisitos de conformidade.

Otimiza a eficiência da equipe e dos recursos

CipherTrust Data Security Platform oferece o mais amplo suporte para casos de uso de segurança de dados no setor, com produtos desenvolvidos para trabalhar em conjunto, uma linha única para suporte global, um histórico comprovado de proteção contra ameaças em evolução e o maior ecossistema de parcerias de segurança de dados do setor. 

Com foco na facilidade de uso, APIs para automação e gerenciamento responsivo, a solução CipherTrust Data Security Platform garante que suas equipes possam implementar, proteger e monitorar rapidamente a proteção do seu negócio. 

Além disso, serviços profissionais e parceiros estão disponíveis para design, implementação e assistência de treinamento para garantir rapidez e confiabilidade em implementações com o mínimo de tempo de sua equipe.

Reduz o custo total de propriedade

O portfólio de proteção de dados do CipherTrust Data Security Platform oferece um amplo conjunto de produtos e soluções de segurança de dados que podem ser facilmente dimensionados, expandidos para novos casos de uso e têm um histórico comprovado de proteção de tecnologias novas e tradicionais. 

Com o CipherTrust Data Security Platform, as empresas podem preparar seus investimentos para o futuro enquanto reduz custos operacionais e despesas de capital.

Sobre a Eval

Com uma trajetória de liderança e inovação que remonta a 2004, a Eval não apenas acompanha as tendências tecnológicas, mas também estamos em uma busca incessante para trazer novidades oferecendo soluções e serviços que fazem a diferença na vida das pessoas.

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Categorias
Proteção de dados

Ataques cibernéticos: como prevenir na área de saúde

Os ataques cibernéticos na área de saúde aumentaram 45% globalmente no final de 2020, de acordo com relatório da Check Point, o dobro da taxa de ataques em outros setores, com os cibercriminosos tirando proveito da tempestade perfeita de novas tecnologias sendo implementadas rapidamente e os esforços da equipe concentrados na pandemia. 

Em comparação com o setor financeiro, as organizações de saúde costumam ser mais vulneráveis ​​aos ataques cibernéticos

As organizações financeiras estão melhor protegidas hoje porque o setor investiu muito tempo e dinheiro para melhorar a situação, elas gastam aproximadamente 15 por cento de seus orçamentos anuais de TI em cibersegurança. Em comparação, a maioria das organizações de saúde que precisam de equipes dedicadas de cibersegurança gastam apenas cerca de 4 ou 5 por cento nesse investimento.

A motivação dos cibercriminosos é financeira. Um registro de saúde contém não apenas os números da previdência social e CPF, mas também detalhes do empregador, detalhes do seguro e dados de prescrição. 

Na prática, os cibercriminosos podem usar essas informações para registrar reclamações de seguro fraudulentas, comprar medicamentos ou equipamentos médicos com elas e podem até registrar declarações de impostos fraudulentas. 

Os dados no registro de saúde de uma pessoa contêm detalhes suficientes para ajudar a roubar identidades. Se cibercriminosos não estiverem procurando fazer algo sozinhos, eles poderiam vender as informações na dark web.

No entanto, o uso principal não é explorar dados individuais, mas lançar um ataque de ransomware, onde cibercriminosos se infiltram na rede do hospital, obtêm acesso à saúde e bloqueiam o hospital fora do sistema, mantendo os dados do paciente como reféns até que a instituição de saúde pague o resgate.

Desafios de cibersegurança na saúde

Os ataques cibernéticos mais recentes não são necessariamente a maior ameaça cibernética de uma organização. O Relatório de investigações de violação de dados de 2016 da Verizon descobriu que a maioria das violações é sobre dinheiro e os invasores geralmente seguem o caminho mais fácil para obter as informações de que precisam. 

Consequentemente, muitos dos ataques cibernéticos comuns continuam a ser problemáticos nos cuidados de saúde, incluindo:

  • Malware e ransomware: os cibercriminosos usam malware e ransomware para desligar dispositivos individuais, servidores ou mesmo redes inteiras. Em alguns casos, um resgate é exigido para retificar a criptografia;
  • Ameaças da nuvem: uma quantidade cada vez maior de informações de saúde protegidas está sendo armazenada na nuvem. Sem a criptografia adequada, isso pode ser um ponto fraco para a segurança das organizações de saúde;
  • Sites enganosos: criminosos cibernéticos inteligentes criaram sites com endereços semelhantes a sites confiáveis. Alguns simplesmente substituem .com por .gov, dando ao usuário incauto a ilusão de que os sites são iguais.
  • Ataques de phishing: essa estratégia envia grandes quantidades de e-mails de fontes aparentemente confiáveis ​​para obter informações confidenciais dos usuários;
  • Pontos cegos de criptografia: embora a criptografia seja crítica para proteger os dados de saúde, ela também pode criar pontos cegos onde os hackers podem se esconder das ferramentas destinadas a detectar violações;
  • Erro do funcionário: os funcionários podem deixar as organizações de saúde suscetíveis aos ataques cibernéticos por meio de senhas fracas, dispositivos não criptografados e outras falhas de conformidade.

À medida que as organizações buscam proteger as informações de seus pacientes contra os ataques cibernéticos crescentes, a demanda por uma infraestrutura de segurança e de profissionais de informática em saúde que estão familiarizados com o estado atual da segurança cibernética na área de saúde está aumentando, mas ainda é um grande desafio.

Estratégias para melhorar a segurança e evitar ataques cibernéticos

Devido ao impacto financeiro significativo das violações de dados na área de saúde, os gestores de saúde estão buscando estratégias e investimentos para garantir que as organizações médicas permaneçam seguras.

De acordo com HealthIT.gov, Escritório do Coordenador Nacional de Tecnologia da Informação em Saúde dos EUA, organizações de saúde individuais podem melhorar sua segurança cibernética implementando as seguintes práticas:

1. Estabeleça uma cultura de segurança visando reduzir ataques cibernéticos

O treinamento e a educação em segurança cibernética enfatizam que cada membro da organização é responsável por proteger os dados do paciente, criando uma cultura de segurança.

2. Proteja os dispositivos móveis

Um número crescente de provedores de saúde está usando dispositivos móveis no trabalho. A criptografia e outras medidas de proteção são essenciais para garantir a segurança de todas as informações nesses dispositivos.

3. Manter bons hábitos de computador

A integração de novos funcionários deve incluir treinamento sobre as melhores práticas para o uso do computador, incluindo software e manutenção do sistema operacional.

4. Use um firewall

Basicamente, qualquer coisa conectada à Internet deve ter um firewall.

5. Instale e mantenha o software antivírus

Simplesmente instalar o software antivírus não é suficiente. Atualizações contínuas são essenciais para garantir que os sistemas de saúde recebam a melhor proteção possível a qualquer momento.

6. Planeje para os ataques cibernéticos inesperados

Os arquivos devem ser copiados regularmente para uma restauração de dados rápida e fácil. As organizações devem considerar o armazenamento dessas informações de backup longe do sistema principal, se possível.

7. Controle o acesso às informações protegidas de saúde

O acesso às informações protegidas deve ser concedido apenas àqueles que precisam visualizar ou usar os dados.

8. Use senhas fortes e altere-as regularmente

O relatório da Verizon descobriu que 63% das violações de dados confirmadas envolviam o aproveitamento de senhas que eram padrão, fracas ou roubadas. Os funcionários da área de saúde não devem apenas usar senhas fortes, mas garantir que sejam alteradas regularmente.

9. Limitar o acesso à rede

Qualquer software, aplicativo e outras adições aos sistemas existentes não devem ser instalados pela equipe sem o consentimento prévio das autoridades organizacionais competentes.

10. Controlar o acesso físico também evita ataques cibernéticos

Os dados também podem ser violados quando os dispositivos físicos são roubados. Computadores e outros aparelhos eletrônicos que contêm informações protegidas devem ser mantidos em salas trancadas em áreas seguras.

Além dessas recomendações, os profissionais de dados de saúde estão continuamente desenvolvendo novas estratégias e melhores práticas para garantir a segurança de dados de saúde confidenciais, protegendo o paciente e a organização de perdas financeiras e outras formas de danos.

A solução CipherTrust Data Security Platform permite que as instituições de saúde protejam sua estrutura contra ataques cibernéticos

De acordo com o IDC, mais de 175 zetabytes de dados serão criados até 2025, e hoje mais da metade de todos os dados corporativos são armazenados na nuvem. 

Para lidar com a complexidade de onde os dados são armazenados, a solução CipherTrust Data Security Platform oferece recursos fortes para proteger e controlar o acesso a dados confidenciais em bancos de dados, arquivos e contêineres. Tecnologias específicas incluem:

CipherTrust Transparent Encryption

Criptografa dados em ambientes locais, em nuvem, banco de dados, arquivos e Big Data com controles de acesso abrangentes e registro de auditoria de acesso de dados detalhado que pode impedir os ataques mais maliciosos.

CipherTrust Database Protection

Fornece criptografia transparente ao nível de coluna de dados estruturados e confidenciais que residem em bancos de dados, como cartão de crédito, números de previdência social, números de identificação nacional, senhas e endereços de e-mail.

CipherTrust Application Data Protection

Oferece APIs para que os desenvolvedores adicionem rapidamente criptografia e outras funções criptográficas a seus aplicativos, enquanto o SecOps controla as chaves de criptografia.

CipherTrust Tokenization

Oferece serviços de tokenização de dados ao nível de aplicativo em duas soluções convenientes que oferecem flexibilidade ao cliente – Token sem Vault com mascaramento de dados dinâmico baseado em políticas e Tokenização em Vault.

CipherTrust Batch Data Transformation

Fornece serviços de mascaramento de dados estáticos para remover informações confidenciais de bancos de dados de produção, para que as questões de conformidade e segurança sejam aliviadas ao compartilhar um banco de informações com terceiros para análise, teste ou outro processamento.

CipherTrust Manager

Centraliza chaves, políticas de gerenciamento e acesso a dados para todos os produtos CipherTrust Data Security Platform e está disponível em formatos físicos e virtuais compatíveis com FIPS 140-2 Nível 3.

CipherTrust Cloud Key Manager 

Oferece o gerenciamento do ciclo de vida de sua própria chave (BYOK) para muitos provedores de infraestrutura, plataforma e software como serviço na nuvem.

CipherTrust KMIP Server

Centraliza o gerenciamento de chaves para o protocolo de interoperabilidade de gerenciamento de chaves (KMIP) comumente usado em soluções de armazenamento.

CipherTrust TDE Key Manager

Centraliza o gerenciamento de chaves para criptografia encontrada em Oracle, SQL e Always Encrypted SQL.

O portfólio de produtos de proteção de dados que compõe a solução CipherTrust Data Security Platform permite que as instituições de saúde protejam dados em repouso e em movimento em todo o ecossistema de TI e garante que as chaves dessas informações estejam sempre protegidas e apenas sob seu controle. 

Ela simplifica a segurança dos dados, melhora a eficiência operacional e acelera o tempo de conformidade. Independentemente de onde seus dados residem.

A plataforma CipherTrust garante que seus dados estejam seguros, com uma ampla gama de produtos e soluções comprovados e líderes de mercado para implantação em data centers, ou aqueles gerenciados por provedores de serviços em nuvem (CSPs) ou provedores de serviços gerenciados (MSPs), ou como um serviço baseado em nuvem gerenciado pela Thales, empresa líder no segmento de segurança.

Portfólio de ferramenta que garante a proteção de dados contra ataques cibernéticos

Com os produtos de proteção de dados do CipherTrust Data Security Platform, sua instituição de saúde pode:

Reforçar a segurança e a conformidade contra ataques cibernéticos

Os produtos e soluções de proteção de dados CipherTrust abordam as demandas de uma série de requisitos de segurança e privacidade, incluindo a identificação eletrônica, autenticação e confiança, Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS), Lei Geral de Proteção de Dados (LGPD), entre outros requisitos de conformidade.

Otimiza a eficiência da equipe e dos recursos

CipherTrust Data Security Platform oferece o mais amplo suporte para casos de uso de segurança de dados no setor, com produtos desenvolvidos para trabalhar em conjunto, uma linha única para suporte global, um histórico comprovado de proteção contra ameaças em evolução e o maior ecossistema de parcerias de segurança de dados do setor. 

Com foco na facilidade de uso, APIs para automação e gerenciamento responsivo, a solução CipherTrust Data Security Platform garante que suas equipes possam implementar, proteger e monitorar rapidamente a proteção do seu negócio. 

Além disso, serviços profissionais e parceiros estão disponíveis para design, implementação e assistência de treinamento para garantir rapidez e confiabilidade em implementações com o mínimo de tempo de sua equipe.

Reduz o custo total de propriedade

O portfólio de proteção de dados do CipherTrust Data Security Platform oferece um amplo conjunto de produtos e soluções de segurança de dados que podem ser facilmente dimensionados, expandidos para novos casos de uso e têm um histórico comprovado de proteção de tecnologias novas e tradicionais. 

Com o CipherTrust Data Security Platform, as instituições de saúde podem preparar seus investimentos para o futuro enquanto reduz custos operacionais e despesas de capital.

Sobre a Eval

Com uma trajetória de liderança e inovação que remonta a 2004, a Eval não apenas acompanha as tendências tecnológicas, mas também estamos em uma busca incessante para trazer novidades oferecendo soluções e serviços que fazem a diferença na vida das pessoas.

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Categorias
Proteção de dados

Ataques de Ransomware: Crescente para Empresas e Governos

Você já ouviu falar em ataques de ransomware? É bem provável que sim, afinal, o termo vem se tornando cada vez mais comum em noticiários.  

A expressão derivada do inglês ransom (resgate) com ware (software) é usada para definir quando um sistema é contaminado por um malware (software maligno) sendo exigido uma quantia para liberar a máquina e arquivos.  

Os cibercriminosos não param de agir e diversos modelos de negócios se tornaram vítimas nos últimos anos, desde empresas privadas e até mesmo órgãos públicos. 

Recentemente, conforme uma nota divulgada pelo governo, o Tesouro Nacional sofreu um ataque ransomware e “os efeitos da ação criminosa estão sendo avaliadas pelos especialistas em segurança da Secretaria do Tesouro Nacional e da Secretaria de Governo Digital.” 

Outra vítima foi a Lojas Renner, que sofreu o ataque na quinta (19/08) e ficou com o site e o aplicativo fora do ar durante 2 dias seguidos.  

Para as organizações que são vítimas, isso pode ocasionar grandes prejuízos financeiros, tanto pelo resgate cobrado como pela perda de vendas e credibilidade.  

Porque os ataques de ransomware estão aumentando? 

De acordo com uma pesquisa da Statista, apenas no ano de 2020 foram registrados 304 milhões de ataques ransomware em todo o mundo, um aumento de 62% em relação ao ano anterior.  

Assim, tendo em mente dados como esse e com tantas notícias de empresas e governos que se tornaram vítimas dos cibercriminosos, surge a pergunta: porque o número de ataques está aumentando? 

Isso acontece, pois, com o avanço da tecnologia, o modo de operar das empresas sofreu modificações. Considere 3 exemplos.  

Aumento da virtualização 

A virtualização refere-se à adoção de um ambiente virtual para utilização de diferentes aplicações e sistemas operacionais em uma única máquina física.  

É uma técnica usada pelas empresas de TI (Tecnologia da Informação) para melhor o aproveitamento da infraestrutura já existente, facilitando a escalabilidade do negócio.  

No entanto, ao implementar essa solução, é importante que as startups fiquem atentas e busquem meios de garantir a segurança já que os ambientes virtualizados podem mudar rapidamente, sendo necessário profissionais capacitados para manter o gerenciamento apropriado e, dessa forma, garantir que a organização fique livre de ataques de ransomware.  

Exposição de dados sensíveis em nuvem 

Outra medida que muitas empresas implementaram nos últimos anos são os serviços de cloud computing (Computação em Nuvem).  

Segundo a previsão do Gartner, os gastos com serviços de nuvem pública no ano de 2021 devem atingir $332.3 bilhões, o que representa um aumento de 23,1% em comparação com o ano de 2020.  

Isso demonstra o crescente aumento que vem ocorrendo no uso de soluções cloud. Com essa migração, muitos dados sensíveis agora são armazenados em nuvem. 

Porém, apesar de as informações em nuvem estarem mais protegidas do que com o armazenamento local, isso não significa que não é preciso elaborar estratégias de segurança.  

Só para exemplificar, é essencial estabelecer políticas de controle de acessos, para que as informações fiquem protegidas.  

Ainda de acordo com a Statista, muitas empresas não se sentem totalmente preparadas ao adotar uma solução em nuvem e entre os principais motivos se encontram as dificuldades quanto à segurança, governança e falta de experiência da equipe.  

Em resultado disso, muitos cibercriminosos podem se aproveitar para fazer ataques de ransomware.  

Falta de implantação de tecnologias de proteção contra ataques de ransomware

Com os pontos anteriores em mente, é importante destacar que, mesmo que muitas empresas estejam aderindo à transformação digital, também é necessário implementar tecnologias de proteção, como: 

  • Criptografia; 
  • Machine Learning (ML); 
  • Sistemas de backup e disaster recovery;  
  • Entre outros.  

Como se proteger de ataques de ransomware? 

Com o objetivo de garantir a segurança e proteção de sua empresa, é essencial aplicar políticas internas para que todos os colaboradores sigam e contribuam para a prevenção, como:  

  • Gerenciamento de acessos; 
  • Conferir URL’s de páginas; 
  • Cautela ao clicar em links de e-mails; 
  • Entre outros.  

Também é de extrema importância manter um bom antivírus em funcionamento e fazer backups regulares.  

Outra estratégia fundamental é implementar uma solução de criptografia, assim, caso a sua empresa sofra ataques de ransomware, com o uso de criptografia, as suas informações ficam protegidas e não serão lidas pelos criminosos. 

Leia mais sobre como proteger dados sensíveis com criptografia. 

Como escolher a forma mais adequada para garantir a segurança de dados contra ataques de ransomware? 

A plataforma CipherTrust Data Security da Thales garante toda a estrutura e a integridade dos dados de sua empresa, e o formato dos campos no banco de dados, seja ele qual for: Oracle, SQL, MySQL, DB2, PostGre, enfim. 

De forma simples, abrangente e efetiva, a solução CipherTrust oferece recursos para proteger e controlar o acesso a bancos de dados, arquivos e containers — e pode proteger ativos localizados em nuvem, virtuais, big data e ambientes físicos. 

Com o CipherTrust, é possível proteger os dados de sua empresa e tornar anônimos seus ativos sensíveis, garantindo segurança para sua empresa e evitando problemas futuros com vazamento de dados. 

Entre em contato com a Eval. Nossos especialistas poderão ajudá-los, contribuindo para o desenvolvimento dos seus projetos de proteção de dados e a melhoria contínua da sua empresa.

Sobre a Eval 

A EVAL está há mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria. Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presentes nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias. 

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos. 

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível. 

Eval, segurança é valor. 

Categorias
Proteção de dados

Open Finance: Modernização Financeira e Segurança Digital

O que você sabe sobre Open Finance e Open Banking? Já ouviu falar nesses termos? 

É importante ficar atualizado, já que Open Finance é uma das grandes novidades disponíveis no mercado financeiro brasileiro de 2021. 

Mas, afinal, o que é Open Finance? Qual a diferença entre o Open Banking? Quais os benefícios dessa solução para clientes e instituições financeiras? 

O que é Open Finance?

O Open Finance é um sistema criado pelo Banco Central que permite o compartilhamento de informações de um determinado cliente com instituições financeiras. 

No entanto, é preciso o consentimento do titular dos dados para que as organizações participantes do programa saibam quais são os produtos financeiros e serviços que o consumidor utiliza. 

Afinal, de acordo com a LGPD (Lei Geral de Proteção de Dados), a pessoa física tem o direito de escolher quais dados pessoais deseja compartilhar com uma empresa e pode a qualquer momento revogar uma autorização.

Além disso, os empreendimentos precisam ser transparentes quanto a forma como pretendem utilizar as informações

Com a criação do Open Finance, a ideia do Banco Central é melhorar a eficiência do Sistema Financeiro Nacional (SFN) e proporcionar condições para que as ofertas das instituições financeiras sejam aprimoradas e o cliente possa ter acesso a possibilidades de serviço mais vantajosas

Ou seja, o sistema possibilita que exista mais concorrência entre os bancos e que o consumidor tenha mais oportunidades de negócio. 

Porém, talvez você já tenha ouvido falar em uma proposta semelhante a essa com o nome de “Open Banking”. Será que existe distinção entre Open Banking e Open finance? Descubra no próximo tópico!

Existe diferença entre Open Banking e Open Finance?

Em 24 de maio de 2021, o Banco Central anunciou que faria a substituição da expressão “Open Banking” para o termo “Open Finance”. 

Assim, os dois nomes referem-se ao mesmo projeto, só que o último é a forma atual. Mas, por que ocorreu essa mudança?

Isso aconteceu, porque houve um aperfeiçoamento no modelo de funcionamento do sistema. Agora, não apenas os bancos, mas também diversas instituições financeiras estão incluídas na proposta, como:

  • Fintechs;
  • Corretoras de seguro;
  • Fundos de previdência;
  • Companhias de câmbio;
  • Entre outras.

No entanto, quando vai começar o Open Finance? Veja a seguir. 

Confira as fases do Open Finance

A implementação do Open Finance, ou sistema financeiro aberto, vai acontecer de modo gradual sendo dividida em 4 fases. Confira quais são: 

  • Fase 1: essa fase iniciou em 01 de fevereiro de 2021, as instituições financeiras participantes disponibilizaram ao público informações sobre as particularidades dos serviços e produtos disponíveis;
  • Fase 2: com início marcado para 13 de agosto de 2021, a partir dessa etapa, o cliente pode autorizar o compartilhamento de seus dados;
  • Fase 3: prevista para começar no dia 30 de agosto de 2021, inicia a permissão de pagamento fora do ambiente do banco. Inicialmente, a medida se aplica a transações por meio de PIX, porém, com o tempo também valerá para pagamentos com TED, débito em conta, entre outros;
  • Fase 4: iniciando em 15 de dezembro de 2021, é quando ocorre o começo da permissão de dados relativos a produtos de investimentos, previdência, seguros, câmbios, entre outros. 

Agora você já sabe o que é Open Finance e as suas etapas, mas veja a seguir quais são algumas vantagens desse sistema. 

Quais são os benefícios do Open Finance em relação a segurança digital e modernização financeira?

Existem inúmeros benefícios tanto para os clientes como para as organizações financeiras participantes. 

Entre esses, é válido destacar os seguintes:

  • Modernização: a tecnologia provocou uma transformação digital que está presente em várias situações comuns do cotidiano. Por exemplo, muitas pessoas usam aplicativos de mensagem instantânea e poder realizar operações financeiras por esses meios proporcionará maior agilidade; 
  • Melhores ofertas: o cliente vai se tornar o centro da atenção, assim, vai poder comparar quais benefícios de cada instituição é o melhor para o seu caso;
  • Especialização: uma instituição pode se tornar especialista em uma determinada funcionalidade, atraindo clientes por causa desse serviço; 
  • Mais oportunidades: com a consulta de dados, haverá possibilidade de oferecer propostas de valor que sejam atrativas ao consumidor;
  • Segurança: apenas instituições autorizadas pelo cliente terão acesso às suas informações, seguindo as normas da LGPD. As instituições financeiras vão se comprometer a preservar os dados compartilhados pelos clientes. 

Agora, você já sabe o que é Open Finance e quais as vantagens para o seu negócio e para os seus clientes. No entanto, é bom analisar se a sua empresa está realmente preparada para garantir a proteção de dados. 

Conheça a solução CipherTrust da Eval

A solução CipherTrust Data Security Platform da Eval combina descoberta e classificação de dados confidenciais com proteção abrangente de dados e gerenciamento de chaves nas implantações locais, em nuvem e híbridas de uma empresa.

Além disso, a plataforma de gerenciamento de chave empresarial líder de mercado, permite que as organizações façam a gestão das chaves de criptografia centralizadas, fornecendo controle de acesso granular e configuração de políticas de segurança. A exemplo dos requisitos de proteção existentes para o Open Finance.

A solução CipherTrust Data Security Platform da Eval gerencia as principais tarefas do ciclo de vida, incluindo geração, rotação, importação e exportação, fornecendo controle de acesso baseado em função para chaves e políticas, suporta auditoria e relatórios robustos e oferece API REST.

Esses dispositivos podem ser implantados no local em infraestruturas físicas ou virtuais e em ambientes de nuvem pública para atender com eficiência aos requisitos de conformidade, exigências regulatórias e práticas recomendadas do setor, a exemplo do Open Finance, para segurança de dados. 

Com um console de gerenciamento unificado, torna-se fácil definir políticas, descobrir, classificar dados e proteger dados confidenciais onde quer que residam, usando um conjunto integrado de conectores de proteção de dados Thales.

Portfólio de ferramenta que garante a proteção de dados

Para cenários semelhantes ao do Open Finance, com os produtos de proteção de dados do CipherTrust Data Security Platform, sua empresa pode:

Reforçar a segurança e a conformidade

Os produtos e soluções de proteção de dados CipherTrust abordam as demandas de uma série de requisitos de segurança e privacidade, incluindo a identificação eletrônica, autenticação e confiança, Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS), Lei Geral de Proteção de Dados (LGPD), entre outros requisitos de conformidade.

Otimiza a eficiência da equipe e dos recursos

CipherTrust Data Security Platform oferece o mais amplo suporte para casos de uso de segurança de dados no setor, com produtos desenvolvidos para trabalhar em conjunto, uma linha única para suporte global, um histórico comprovado de proteção contra ameaças em evolução e o maior ecossistema de parcerias de segurança de dados do setor. 

Com foco na facilidade de uso, APIs para automação e gerenciamento responsivo, a solução CipherTrust Data Security Platform garante que suas equipes possam implementar, proteger e monitorar rapidamente a proteção do seu negócio. 

Além disso, serviços profissionais e parceiros estão disponíveis para design, implementação e assistência de treinamento para garantir rapidez e confiabilidade em implementações com o mínimo de tempo de sua equipe.

Reduz o custo total de propriedade

O portfólio de proteção de dados do CipherTrust Data Security Platform oferece um amplo conjunto de produtos e soluções de segurança de dados que podem ser facilmente dimensionados, expandidos para novos casos de uso e têm um histórico comprovado de proteção de tecnologias novas e tradicionais. 

Com CipherTrust Data Security Platform, você pode preparar seus investimentos para o futuro enquanto reduz custos operacionais e despesas de capital.

Você está preparado para uma solução de alta tecnologia e segurança e busca atender a requisitos, a exemplo dos que existem no Open Finance? Saiba como podemos colaborar com soluções maduras, seguras e de qualidade para sua empresa.

Entre em contato agora e fale com nossos especialistas.

Sobre a Eval 

A Eval está há mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria. Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presentes nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.  

Com valor reconhecido pelo mercado, as soluções e serviços da Eval atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.  

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.  

Eval, segurança é valor. 

Categorias
Proteção de dados

CipherTrust: Simplificando a Proteção de Dados Confidenciais

Forças de trabalho altamente distribuídas, regulamentos e tecnologias em evolução, crescimento infinito de dados e o uso explosivo de serviços em várias nuvens colocam  informações confidenciais em risco e tornam a segurança dos dados ainda mais desafiadora. É neste momento que a solução CipherTrust faz a diferença.

De acordo com o Relatório de Ameaças de Dados da Thales 2020 – Edição Global, as organizações usam 29 serviços de nuvem diferentes em média. 

A falta de visibilidade e complexidade operacional fez com que as organizações não soubessem onde todos os seus dados confidenciais estão armazenados. 

Essa preocupação em torno da complexidade, identificada como a barreira número um à segurança por quase 40% dos entrevistados do Relatório de Ameaças de Dados da Thales – Edição Global de 2020, é simplificada com a Plataforma de Segurança de Dados CipherTrust.

A complexidade é uma das principais barreiras para a segurança de dados

Em parte porque a segurança geral de dados permanece bastante especializada e isolada, forçando as empresas a gerenciar vários fornecedores e produtos pontuais.

De fato, a Covid-19 mudou a maneira como usamos, armazenamos e acessamos os dados. Os hackers estão procurando vulnerabilidades em potencial para acessar esses dados confidenciais em bancos de dados remotos e matrizes de big data. 

A solução CipherTrust Data Security Platform é uma plataforma única dedicada a simplificar o processo de conformidade de segurança de dados que combina as tecnologias Vormetric e SafeNet KeySecure da Thales. 

Ela foi desenvolvida para unificar funções de descoberta de dados, classificação e análise de risco com criptografia, acesso, mascaramento de dados e gerenciamento de chaves para fornecer proteção contínua e abrangente contra violações.

A plataforma de segurança de dados CipherTrust oferece uma gama completa de recursos de segurança centrados em informações, incluindo descoberta e classificação, criptografia transparente, armazenamento e proteção de dados de aplicativos, mascaramento e tokenização, controles de acesso, gerenciamento de chave corporativa e gerenciamento de chave de nuvem unificado a partir de uma única interface de gestão.

Sua abordagem unificada e onipresente em todos os ambientes de TI disponíveis permite vários casos de uso focados em negócios além da conformidade, incluindo a redução da complexidade da segurança de dados, acelerando as migrações de nuvem e reduzindo os riscos de exposição de dados significativamente em empresas inteiras 

CipherTrust Data Security Platform: descubra, proteja e controle dados confidenciais em qualquer lugar

De acordo com o IDC, mais de 175 zetabytes de dados serão criados até 2025, e hoje mais da metade de todos os dados corporativos são armazenados na nuvem. 

Para lidar com a complexidade de onde os dados são armazenados, a CipherTrust Data Security Platform oferece recursos fortes para proteger e controlar o acesso a dados confidenciais em bancos de dados, arquivos e contêineres. Tecnologias específicas incluem:

CipherTrust Transparent Encryption

Criptografa dados em ambientes locais, em nuvem, banco de dados, arquivos e Big Data com controles de acesso abrangentes e registro de auditoria de acesso de dados detalhado que pode impedir os ataques mais maliciosos.

CipherTrust Database Protection

Fornece criptografia transparente ao nível de coluna de dados estruturados e confidenciais que residem em bancos de dados, como cartão de crédito, números de previdência social, números de identificação nacional, senhas e endereços de e-mail.

CipherTrust Application Data Protection

Oferece APIs para que os desenvolvedores adicionem rapidamente criptografia e outras funções criptográficas a seus aplicativos, enquanto o SecOps controla as chaves de criptografia.

CipherTrust Tokenisation

Oferece serviços de tokenização de dados ao nível de aplicativo em duas soluções convenientes que oferecem flexibilidade ao cliente – Token sem Vault com mascaramento de dados dinâmico baseado em políticas e Tokenização em Vault.

CipherTrust Batch Data Transformation

Fornece serviços de mascaramento de dados estáticos para remover informações confidenciais de bancos de dados de produção, para que as questões de conformidade e segurança sejam aliviadas ao compartilhar um banco de informações com terceiros para análise, teste ou outro processamento.

CipherTrust Manager

Centraliza chaves, políticas de gerenciamento e acesso a dados para todos os produtos CipherTrust Data Security Platform e está disponível em formatos físicos e virtuais compatíveis com FIPS 140-2 Nível 3.

CipherTrust Cloud Key Manager 

Oferece o gerenciamento do ciclo de vida de sua própria chave (BYOK) para muitos provedores de infraestrutura, plataforma e software como serviço na nuvem.

CipherTrust KMIP Server

Centraliza o gerenciamento de chaves para o protocolo de interoperabilidade de gerenciamento de chaves (KMIP) comumente usado em soluções de armazenamento.

CipherTrust TDE Key Manager

Centraliza o gerenciamento de chaves para criptografia encontrada em Oracle, SQL e Always Encrypted SQL.

O portfólio de produtos de proteção de dados que compõe a solução CipherTrust Data Security Platform permite que as organizações protejam dados em repouso e em movimento em todo o ecossistema de TI e garante que as chaves dessas informações estejam sempre protegidas e apenas sob seu controle. 

Ela simplifica a segurança dos dados, melhora a eficiência operacional e acelera o tempo de conformidade. Independentemente de onde seus dados residem.

A plataforma CipherTrust garante que seus dados estejam seguros, com uma ampla gama de produtos e soluções comprovados e líderes de mercado para implantação em data centers, ou aqueles gerenciados por provedores de serviços em nuvem (CSPs) ou provedores de serviços gerenciados (MSPs), ou como um serviço baseado em nuvem gerenciado pela Thales, empresa líder no segmento de segurança.

CipherTrust possui um portfólio de ferramenta que garante a proteção de dados

Com os produtos de proteção de dados do CipherTrust Data Security Platform, sua empresa pode:

Reforçar a segurança e a conformidade

Os produtos e soluções de proteção de dados CipherTrust abordam as demandas de uma série de requisitos de segurança e privacidade, incluindo a identificação eletrônica, autenticação e confiança, Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS), Lei Geral de Proteção de Dados (LGPD), entre outros requisitos de conformidade.

Otimiza a eficiência da equipe e dos recursos

CipherTrust Data Security Platform oferece o mais amplo suporte para casos de uso de segurança de dados no setor, com produtos desenvolvidos para trabalhar em conjunto, uma linha única para suporte global, um histórico comprovado de proteção contra ameaças em evolução e o maior ecossistema de parcerias de segurança de dados do setor. 

Com foco na facilidade de uso, APIs para automação e gerenciamento responsivo a solução CipherTrust Data Security Platform garante que suas equipes possam implementar, proteger e monitorar rapidamente a proteção do seu negócio. 

Além disso, serviços profissionais e parceiros estão disponíveis para design, implementação e assistência de treinamento para garantir rapidez e confiabilidade implementações com o mínimo de tempo de sua equipe.

Reduz o custo total de propriedade

O portfólio de proteção de dados do CipherTrust Data Security Platform oferece uma ampla conjunto de produtos e soluções de segurança de dados que podem ser facilmente dimensionados, expandidos para novos casos de uso e têm um histórico comprovado de proteção de tecnologias novas e tradicionais. 

Com CipherTrust Data Security Platform, você pode preparar seus investimentos para o futuro enquanto reduz custos operacionais e despesas de capital.

Proteção de dados sempre em movimento

O trabalho em qualquer lugar, com a cultura de qualquer pessoa está em ascensão, e não importa onde ou como as pessoas em uma organização trabalham, há sempre a necessidade de compartilhar e sincronizar arquivos – tanto interna quanto externamente. 

Embora permitir a colaboração seja importante, a segurança dos dados deve ser sempre a prioridade. Do contrário, o risco de não conformidade e violação de dados se torna um problema sério e real para as empresas.

Sobre a Eval 

A Eval está há mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria. Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presentes nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.  

Com valor reconhecido pelo mercado, as soluções e serviços da Eval atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.  

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.  

Eval, segurança é valor. 

Categorias
Proteção de dados

Conformidade com a LGPD se aplica nas instituições de saúde?

Desde que a Lei Geral de Proteção de Dados – LGPD entrou em vigor, a proteção de dados pessoais se tornou mais desafiadora para o setor de saúde. O que significa que as informações devem ser gerenciadas com uma abordagem mais holística. 

As organizações de saúde devem ter procedimentos em vigor que possam ser acionados imediatamente para atender a conformidade com a LGPD. Começando por ser mais cauteloso com os dados pessoais, sabendo onde estão armazenados e como estão sendo processados. 

Isso se aplica ao setor público e privado: hospitais e clínicas, atendimento odontológico, farmácias, lares de idosos, laboratórios de diagnóstico, lojas que vendem produtos farmacêuticos e todas as outras empresas ou organizações que processam dados relativos à saúde.

Para evitar quaisquer violações, as organizações de saúde devem implementar os requisitos de conformidade com a LGPD, incluindo a gestão de contratos, bem como, políticas, procedimentos, documentação e registros de pacientes, profissionais de saúde e parceiros de negócio. 

Portanto, os registros da atividade de processamento de dados e os períodos de retenção e exclusão também devem estar adequados à lei de proteção de dados.

Conformidade com a LGPD: Processamento de dados de saúde na era digital

Muitos sistemas usados ​​no setor de saúde agora são totalmente digitais. Com a ajuda da tecnologia baseada em nuvem, os sistemas que contêm dados do paciente são frequentemente ‘compartilhados’ entre hospitais, farmácias e outras instituições, a fim de melhor atender os pacientes. 

Mas como esses dados confidenciais devem ser processados ​​e compartilhados e, ao mesmo tempo, atender a conformidade com a LGPD? 

Considerando o fato de que os dados de saúde são montados em informações confidenciais de paciente, deve-se garantir que os princípios da lei de proteção de dados e privacidade sejam devidamente cumpridos antes do processamento ou compartilhamento. 

De acordo com a LGPD, sua organização precisará demonstrar que seu processamento atendeu a requisitos específicos, que incluem a implementação de salvaguardas adequadas para garantir a proteção dessas informações. 

Dada a sensibilidade das informações pessoais relacionados à saúde, elas só devem ser processadas ​​por profissionais de saúde autorizados que estejam vinculados à obrigação de sigilo médico e de dados. 

Os indivíduos devem ser devidamente avaliados e lembrados de suas obrigações de confidencialidade.

Além disso, é especialmente vital que as instituições de saúde realizem avaliações do impacto da proteção de dados e criem medidas de segurança específicas, como procedimentos de autenticação, uso de certificados e assinaturas digitais e controles de acesso aos dados pessoais de um paciente.

Na prática, através da conformidade com a LGPD o paciente e as pessoas relacionadas com o Hospital e médicos passam a ter os seguintes direitos previstos:

  • Ter direito à confirmação da existência de tratamento, entende-se tratamento como toda a operação realizada com dados pessoais a exemplo de: coleta, produção, recepção, utilização, reprodução, transmissão, distribuição, processamento, arquivamento, modificação, comunicação, transferência, difusão, dentre outros;
  • Ter direito ao acesso e correção aos seus dados armazenados;
  • Anonimização (o dado anonimizado é relativo ao titular que não possa ser identificado);
  • Portabilidade;
  • Eliminação dos dados após o término do tratamento;
  • Informação a respeito do compartilhamento de dados;
  • Possibilidade de receber informação sobre não fornecer o consentimento e suas consequências;
  • Revogação do consentimento;

Se o controle de acesso não for adequado, pode facilmente levar a uma violação de dados e de acordo com a lei de proteção de dados a multas e sanções que podem comprometer a reputação e saúde financeira de qualquer instituição de saúde, independente do seu tamanho.

Quais são as multas e penalidades na LGPD que podem ser aplicadas às instituições de saúde?

A LGPD prevê seis penalidades ou multas. São elas:

  1. Advertência. Essa advertência virá com um prazo para que a empresa se adeque à legislação. Se não corrigir no prazo estipulado, haverá penalidade;
  2. Multa simples em cima do faturamento. Essa multa pode ser de até 2% do faturamento da pessoa jurídica. O limite é de 50 milhões de reais por infração
  3. Multa diária. Essa multa também será limitada a 50 milhões de reais;
  4. Publicização da infração. A infração se tornará pública e os prejuízos à imagem da empresa poderão ser enormes;
  5. Bloqueio dos dados pessoais. Essa sanção administrativa impede que as empresas utilizem os dados pessoais coletados até a situação se regularizar;
  6. Eliminação dos dados pessoais. A sexta penalidade prevista na LGPD obriga a empresa a eliminar por completo os dados coletados em seus serviços, causando danos à operação da empresa.

O limite das multas na LGPD é de 50 milhões. Mas algumas das penalidades podem ser ainda piores, dependendo da organização. Por exemplo, assumir publicamente o vazamento de dados pessoais de milhares de clientes pode derrubar até mesmo empresas sólidas, minando totalmente a credibilidade de um hospital, por exemplo.

Quais etapas as instituições de saúde podem tomar para garantir a conformidade e reduzir o risco de violação de informações pessoais de pacientes 

Após passar pelos aspectos mais importantes da Lei Geral de Proteção de Dados em relação às instituições de saúde, vamos, de forma resumida, passar por três etapas tangíveis que as organizações médicas devem tomar para proteger os dados pessoais processados ​​por elas. 

1. Garantir a conscientização
  • Entre os pacientes

Um primeiro passo crucial para atender aos requisitos previstos pela lei de proteção de dados é que todos os titulares dos dados, como os pacientes, devem ser informados dos detalhes de terceiros com os quais suas informações serão compartilhadas, a fim de cumprir os requisitos de transparência estabelecidos pela LGPD.

Além disso, o acordo de compartilhamento de dados deve definir claramente a finalidade, as bases legais e as informações a serem compartilhadas, juntamente com os detalhes necessários sobre o tratamento dos direitos dos titulares dos dados e os padrões de segurança compartilhados acordados. 

Todas essas informações devem ser comunicadas de forma clara e fácil de entender.

  • Entre Funcionários

Aconselha-se a realização de treinamentos regulares de pessoal sobre proteção de dados, a fim de reduzir os riscos de erro humano e, portanto, de violação de dados internos. 

Enquanto isso, na prática, o pessoal deve ser obrigado ao sigilo médico, uma vez que erros e acidentes podem acontecer. Portanto, conscientizar todos os funcionários sobre a importância da proteção de dados, as salvaguardas que precisam ser implementadas e quais aspectos problemáticos típicos devem ser evitados pode ter um impacto positivo significativo nos esforços de conformidade de uma instituição.

Além disso, todos os funcionários também devem estar cientes de como reconhecer uma violação de dados, quais etapas serão executadas no caso de um incidente de segurança e quais partes interessadas devem ser envolvidas no processo.

2. Processe e compartilhe apenas os dados pessoais necessários para a finalidade do seu trabalho

Também é importante que os dados de saúde necessários sejam processados ​​minimamente e compartilhados apenas se necessário. 

A divulgação não autorizada pode ter um impacto sério na vida do paciente, portanto, deve-se garantir que o compartilhamento de dados seja feito com base em qualquer uma das bases legais de processamento, com acordos adequados em vigor para responsabilizar uma parte relevante. 

Para adicionar a isso, tais dados não devem ser compartilhados, a menos que, por exemplo:

  • O titular dos dados deu consentimento explícito;
  • Se o próprio paciente tornar os dados públicos;
  • Quando se trata de uma situação de vida ou morte em que os pacientes não podem dar o seu consentimento e é do interesse vital do paciente;
  • Para medicina preventiva ou ocupacional;
  • Avaliação da sua capacidade de trabalho;
  • Para diagnóstico médico
  • Para a prestação de cuidados de saúde ou assistência social ou tratamento ou a gestão de sistemas e serviços de saúde ou assistência social

Observe que, no caso de compartilhamento, as instituições de saúde deve ter salvaguardas para garantir que os dados estejam seguros.

3. Defina controles de acesso restritos

Dada a natureza compartilhada dos sistemas baseados em nuvem frequentemente usados ​​no setor de saúde, é fundamental garantir que apenas aqueles necessários tenham acesso aos dados do paciente. 

A implementação de medidas como autenticação de dois fatores ou logon único, assim como o uso de assinaturas e certificados digitais também pode ajudar a fornecer outras medidas para proteção de dados quando se trata de acessar arquivos de pacientes.

Conformidade com a LGPD: um investimento que vale a pena

Com a transformação digital do segmento de saúde, a forma como as informações são processadas ​​e acessadas ​​também precisa ser ajustada. Isso trouxe vários aspectos novos em relação à proteção de dados, exigindo que as instituições de saúde fizessem da privacidade de dados sua principal prioridade.

Embora a conformidade com a LGPD exija que as instituições de saúde invistam tempo e recursos, no final do dia, é do interesse dos pacientes e da própria instituição. 

Cumprir a obrigação não apenas diminuirá a possibilidade de uma potencial violação de dados, protegendo sua instituição de uma multa pesada e danos à reputação, mas também desempenha um papel significativo em ganhar a confiança do paciente e melhorar a eficiência geral de como os pacientes são tratados.

Sobre a Eval

A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Categorias
Autenticação

Como usar a autenticação e autorização de IoT para segurança

A autenticação e autorização de IoT são componentes essenciais da segurança cibernética, sejam os consumidores que os implementam em dispositivos domésticos inteligentes ou uma empresa em centenas de dispositivos de IoT que rastreiam e monitoram fluxos de trabalho e recursos em grande escala.

Em sua essência, os dispositivos IoT simplesmente se conectam para compartilhar dados. Com tantos dispositivos em uso, é vital proteger essas conexões. A autenticação e autorização de IoT podem fazer isso. 

Dado o número de dispositivos que se conectam à rede de uma organização, os administradores de TI não podem se dar ao luxo de esquecer essa parte da estratégia de segurança.

Uma estratégia de autorização e autenticação IoT começa com a compreensão de como uma organização usa dispositivos IoT e como os dispositivos se comunicam com sua rede.

O que é autenticação e autorização?

A autenticação é o processo de identificação do dispositivo, enquanto a autorização fornece permissões. 

Os dispositivos IoT usam esses processos para fazer controle de acesso baseado em funções e garantir que os dispositivos tenham acesso e permissão apenas para fazer exatamente o que precisam. 

Na prática, apenas dispositivos autorizados podem interagir com outros dispositivos, aplicativos, contas de nuvem e gateways.

Os administradores registram cada dispositivo quando o implantam no sistema. O sistema valida os dispositivos quando eles se conectam e compartilham dados. 

Muitas organizações usam infraestrutura de chave pública (PKI) para vincular dispositivos com certificados de chave pública de autoridades de certificação para atribuir e verificar identidades de dispositivos. A PKI estabelece a legitimidade de um dispositivo IoT em uma rede para compartilhar dados.

A autenticação IoT forte protege contra comandos de controle de usuários não autorizados ou dispositivos externos que tentam acessar a rede por meio de um dispositivo específico. 

A medida de segurança evita que invasores reivindiquem que suas ações vêm de dispositivos IoT na rede e, portanto, obtenham acesso aos dados na rede mais ampla.

As organizações têm várias maneiras de autenticar e autorizar dispositivos IoT que dependem do dispositivo, localização e natureza dos dados que o dispositivo transmite ou recebe.

Compreenda 3 tipos de modelos de autenticação e autorização de IoT

A segurança se divide em duas categorias principais: distribuída e centralizada. 

No modelo distribuído, os dispositivos armazenam certificados e identidades e validam a autorização. No modelo centralizado, um servidor centralizado ou aplicativo confiável de terceiros distribui e gerencia os certificados de autenticação dos dispositivos IoT. 

Quando os dispositivos se conectam à rede, o repositório central do certificado realiza a verificação e autenticação.

Dependendo da natureza dos dispositivos IoT de uma organização, combinações de modelos distribuídos e centralizados podem garantir o gerenciamento mais eficiente e seguro.

Existem três protocolos e opções de segurança de autenticação e autorização de IoT principais disponíveis que os administradores podem implantar:

Autenticação distribuída unilateral

Sempre que dois dispositivos decidem se conectar, como um sensor IoT e um gateway, o protocolo determina que apenas um dispositivo se autentique para o outro e o segundo dispositivo não seja autenticado. 

Um dispositivo é registrado como válido com o segundo dispositivo por meio de um hash de senha ou certificado digital. Quando o primeiro dispositivo tenta se conectar, o segundo dispositivo verifica a senha ou certificado e o compara com as informações armazenadas. Se as informações corresponderem, o dispositivo autoriza a conexão.

A autenticação unilateral funciona melhor para dispositivos que se conectam apenas a um outro dispositivo. Esses dispositivos ainda precisam de mecanismos de segurança, mas não exigem monitoramento constante.

Autenticação distribuída de duas vias

Também conhecido como autenticação mútua, esse protocolo é usado quando os dois dispositivos se autenticam antes de se comunicarem. Cada dispositivo deve ter uma identidade digital exclusiva armazenada para o outro dispositivo e, em seguida, comparar as identidades. 

Os dispositivos só podem se conectar quando o primeiro dispositivo confia no certificado digital do segundo dispositivo e vice-versa. O protocolo Transport Layer Security troca e compara certificações.

As transações de comércio eletrônico online e as transmissões de dados altamente confidenciais geralmente usam esse protocolo.

Autenticação centralizada de três vias

Nesta abordagem, um administrador registra os dispositivos com uma autoridade central ou servidor e associa os dispositivos com certificados digitais válidos. A autoridade central facilita o handshake seguro entre os dois dispositivos que desejam se comunicar. 

Na autenticação de três vias, os certificados de segurança não são armazenados nos dispositivos e não podem ser roubados por criminosos, embora os dispositivos ainda tenham uma segurança forte.

Essa abordagem funciona melhor para dispositivos sempre conectados ou com acesso sob demanda à Internet, pois elimina qualquer atraso na autenticação. Um certificado e serviço de gerenciamento de ciclo de vida de chave pode gerenciar os certificados centralmente e se conectar a qualquer dispositivo em uma rede que precise de verificação.

Considere os protocolos de comunicação para autenticação e autorização de IoT

Para escolher a abordagem certa para uma estratégia de autenticação e autorização de IoT, as organizações devem considerar a tecnologia usada para proteger os dados e a identificação da máquina.

Os administradores de TI devem monitorar a rede em busca de identidades de máquina para garantir que apenas dispositivos autorizados se conectem e se comuniquem com a rede. Os administradores também podem receber alertas quando dispositivos não autorizados tentarem se conectar.

O protocolo de comunicação que uma rede usa para conectar e compartilhar dados também é crítico para a segurança do dispositivo IoT. Por exemplo, um certificado X.509 fornece segurança para certificados, mas pode usar muita capacidade de computação, largura de banda da Internet e eletricidade para ser útil para dispositivos IoT.

A PKI que uma rede usa pode criar problemas de conectividade quando o sistema autentica e autoriza dispositivos. Dispositivos que usam certificados digitais encadeados podem exigir mais largura de banda para se auto-verificar e permitir a comunicação.

Um protocolo de base mais eficiente e menor que está se tornando rapidamente o padrão de segurança da IoT é o Message Queuing Telemetry Transport (MQTT). Como uma abordagem centralizada para a segurança de IoT, o MQTT conecta um cliente, como o dispositivo IoT, a um broker que armazena identidades e certificados digitais.

As organizações integram o MQTT a vários sistemas de monitoramento e gerenciamento de rede, o que permite que os profissionais de TI monitorem milhares de dispositivos IoT de forma escalonável. 

O protocolo oferece opções de personalização para largura de banda de comunicação entre dispositivos e garante que os dados sejam transmitidos de maneira uniforme e segura entre os dispositivos.

Soluções de segurança Internet das Coisas (IoT) EVAL &  Thales

As organizações apenas começaram a descobrir e se beneficiar das oportunidades oferecidas pela Internet das Coisas. A capacidade de capturar e analisar dados de dispositivos conectados distribuídos oferece o potencial de otimizar processos, criar novos fluxos de receita e melhorar o atendimento ao cliente. 

No entanto, a IoT também expõe as organizações a novas vulnerabilidades de segurança introduzidas pela maior conectividade de rede e dispositivos que não são protegidos por design. E os invasores avançados demonstraram a capacidade de girar para outros sistemas, aproveitando vulnerabilidades em dispositivos IoT.

As soluções de segurança IoT da EVAL e Thales fornecem criptografia de dados para dados IoT e gerenciamento de chaves de criptografia para dispositivos IoT.

Usando as soluções HSMs da Thales e EVAL de segurança e suporte para criar e proteger as chaves criptográficas, cada dispositivo IoT pode ser fabricado com uma identidade única baseada em criptografia que é autenticada quando uma conexão com o gateway ou servidor central é tentada. 

Com esse ID exclusivo instalado, você pode rastrear cada dispositivo ao longo de seu ciclo de vida, comunicar-se com segurança com ele e evitar que execute processos prejudiciais. Se um dispositivo exibir um comportamento inesperado, você pode simplesmente revogar seus privilégios.

Sobre a EVAL

A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval segurança é valor.

Categorias
Proteção de dados

Impactos da LGPD no varejo

Não é segredo que o papel dos dados no setor de varejo cresceu consideravelmente com o aumento do e-commerce global e do comércio móvel. Portanto, os impactos da LGPD no varejo são fortemente sentidas e definem grande parte das estratégia de proteção de dados no varejo nos próximos anos. Proteção de dados no varejo

Nesse cenário digital acelerado e em constante evolução, a governança da informação se tornou um tópico proeminente, com as empresas do setor de varejo considerando como podem modernizar suas políticas de proteção de dados. 

O descumprimento dessas políticas ou o uso indevido de dados pessoais de indivíduos pode ter consequências jurídicas, de reputação e financeiras pesadas. 

Quais são os impactos da LGPD no varejo?

Nesta era de estratégias de comunicação personalizadas e marketing online direcionado, mudanças radicais na coleta, processamento e armazenamento de dados têm enormes implicações para os varejistas. 

A Lei Geral de Proteção de Dados (LGPD) entrou em vigor em 2020 com algumas limitações em relação à aplicação de multas e outros tipos de penalizações, porém, na prática, ela representa uma grande oportunidade para os varejistas e algo que eles absolutamente precisam estar atentos.

Isso ocorre porque os dados são as commodities mais valiosas que os varejistas podem ter em relação aos seus consumidores, sejam eles business-to-business (B2B) ou business-to-consumer (B2C). 

O que você sabe sobre seus consumidores molda sua proposta, seus preços e sua cadeia de suprimentos. Por essa razão, não considerar os impactos da LGPD no varejo pode ser um grande erro.

Existem quatro aspectos principais da LGPD dos quais os varejistas devem estar cientes, e que devem agir rápido o suficiente para lidar com todos eles

Em primeiro lugar, os avisos de privacidade serão muito mais destacados. Essas são as declarações que você coloca em seu site dizendo aos consumidores o que você fará com os dados deles.

As conhecidas caixas de seleção ainda terão destaque, mas os consumidores terão que ativá-la de forma proativa.

Isso significa que os varejistas devem fornecer informações detalhadas, permitindo que os consumidores tomem decisões totalmente informadas sobre se desejam permitir que o varejista retenha e processe seus dados. 

Novos avisos de privacidade precisam explicar porque os dados são necessários, como isso afetará o consumidor, os critérios usados ​​para decidir por quanto tempo os dados são retidos e o direito do consumidor de retirar seu consentimento.

A segunda área chave é a responsabilidade e manutenção de registros. Mais uma vez, a conformidade será um desafio, mas os varejistas também terão que demonstrar que mantiveram seus registros atualizados e de acordo com a LGPD.

Em terceiro lugar, você deve ter um acordo por escrito com qualquer terceiro que processe os dados para você.

Se um varejista terceiriza a coleta de informações, o que muitas empresas grandes fazem, então ele precisa de um contrato robusto por escrito que estabeleça os termos e condições entre eles e o terceirizado. 

Além disso, existem cláusulas contratuais prescritas pela LGPD, o que significa que muitos acordos entre varejistas e as partes que coletam e processam seus dados terão de ser eliminados e processados do zero a um custo significativo.

Finalmente, os varejistas devem abordar direitos individuais aprimorados em relação às informações mantidas sobre indivíduos.

Isso inclui o direito de ser esquecido e o direito à portabilidade de dados, que está vinculado ao uso de dados.

Isso ocorre porque os dados são as commodities mais valiosas que os varejistas podem ter em relação aos seus consumidores, sejam eles business-to-business ou business-to-consumer.

Como os varejistas podem implementar um programa de proteção de dados eficaz e reduzir os impactos da LGPD no varejo?

As necessidades de conformidade com a LGPD variam de varejista para varejista, com base em quão bem suas atividades comerciais suportam os direitos de privacidade de dados pessoais de indivíduos no Brasil. 

Implementar um programa LGPD eficaz pode ser particularmente complicado para varejistas, especialmente aqueles que têm uma variedade de pontos de contato com o cliente em todos os canais, bem como aqueles que têm franquias. 

Esses vários pontos de contato variam de pontos de vendas a e-commerce e call centers, bem como aplicativos móveis, quiosques, sistemas ERP e até mesmo e-mail.

Para começar, os varejistas devem considerar algumas perguntas comuns quando se trata de implementar seu programa de privacidade de dados:

  • Se um titular de dados deseja excluir seus dados, como localizarei todas as suas informações? Como a empresa determinará o que pode ser excluído e o que é necessário para fins regulatórios ou de retenção legal?
  • Se o titular dos dados do consumidor deseja obter acesso aos seus dados pessoais, o que a empresa pode fornecer a ele? Qual formato será entregue?
  • Quais dados pessoais a empresa retém e por quanto tempo?
  • Precisamos trabalhar com fornecedores terceirizados para obter cópias de dados pessoais?
  • Temos funcionários que podem fazer solicitações semelhantes e a empresa sabe como atender a essas solicitações?
  • A empresa consegue cumprir os prazos estabelecidos pela LGPD? 

As solicitações de titulares de dados são de longe um dos aspectos mais complicados do cumprimento da LGPD porque os consumidores querem saber:

  • Como seus dados pessoais são protegidos;
  • Onde seus dados estão localizados e quem tem acesso a eles;
  • Como corrigir informações pessoais;
  • Se a empresa tem consentimento para usar ou compartilhar seus dados pessoais.

Em geral, a LGPD exige que os varejistas adotem uma abordagem holística para a governança da privacidade de dados.

Lembre-se de que a lei de proteção de dados foi estabelecida com o entendimento de que a privacidade de dados continuará a evoluir, e a aplicação dos direitos de privacidade de dados pessoais precisará ser alterada. 

Programas eficazes de privacidade de dados devem estar alinhados aos negócios, operações, funções jurídicas e de tecnologia dos varejistas, ajudando a impulsionar uma cultura de privacidade e proteção de dados em toda a empresa

Os varejistas que confirmarem que suas políticas atuais atendem aos requisitos da LGPD e estabelecerem filosofias corporativas de privacidade de dados robustas e responsivas estarão mais bem equipados para a nova era de privacidade de dados.

A possível inviabilidade do negócio como um dos principais impactos da LGPD no varejo

As empresas do varejo precisam reformular o modo como pensam sobre os dados do cliente e a sua própria responsabilidade. Então, se implementada adequadamente, a LGPD pode ser uma oportunidade de melhoria para as organizações.

Adote uma abordagem baseada em risco. A privacidade tem que ser um componente para o qual você está preparado e no qual deve acreditar.

As multas serão cobradas com base no que está previsto na LGPD, o que leva as empresas a riscos significativos.

Os valores atribuídos para cada situação podem inviabilizar totalmente a existência da organização ou comprometer a credibilidade dela diante do mercado e dos consumidores.

Entre em contato conosco. Nossos especialistas poderão ajudá-los, contribuindo para o desenvolvimento dos seus projetos de proteção de dados e a melhoria contínua da sua empresa.

Sobre a Eval 

A Eval está há mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria. Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presentes nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias. 

Com valor reconhecido pelo mercado, as soluções e serviços da Eval atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos. 

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível. 

Eval, segurança é valor.