O Teste de Invasão tem muito mais haver com a LGPD do que pensamos, ja é, e continuará sendo SIM uma técnica empregada, pois identifica e explora caminhos que um possível invasor poderia usar para obtenção de dados. Tenhamos como exemplo uma empresa ou instituição financeira que use de dados de cartões de crédito, esta mesma precisa estar de acordo com as normas PCI - Payment Card Industry Data Security Standards (Padrão de Segurança de Dados da Indústria de Cartões de Pagamento), e precisaestar passando por testes de vulnerabilidades e de invasão de forma contínua, sem interferir na disponibilidade, integridade e confidencialidade dos dados.
O Art 6º da LGPD - Parágrafo VIII trata de medidas que façam a prevenção de danos em dados pessoais.
Art 6º Parágrafo VIII prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;O Hacker Ético ou Pentester deve ser capaz de fazer um teste de invasão baseado nas vulnerabilidades encontradas, reportando essas vulnerabilidades, os caminhos explorados para que prevenir que um invasor mal intencionado use das mesmas vulnerabilidades e caminhos para obter dados pessoais de clientes, se faz necessário também que o mesmo junto com o time de resposta a incidentes ou mesmo o red team possa colaborar com soluções plausíveis para mitigar as diversas possibilidades encontradas durante um processo de Pentest.
Em relação ao tratamento de dados é importante ressaltar o CAPÍTULO VII
DA SEGURANÇA E DAS BOAS PRÁTICAS na Seção II Das Boas Práticas e da Governança onde é ressaltado no Artigo 50:
Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
Assim entendendo esse artigo é possível melhorar o processo de um pentest quando em acordo com o setor ou profissional responsável pelo tratamento de dados, seja um setor inteiro de Proteção de Dados, um profissional de DPO, um time de DPO ou mesmo um Administrador de Redes que está focado neste trabalho, melhor ainda quando há um engajamento de uma organização inteira em "formular regras" para quando um teste de vulnerabilidades ou de invasão for colocado em produção.
Concluindo é possível identificar de longe a importância de um Red Team, ou da mesmo da terceirização do mesmo para que a LGPD se estipule nos ambientes privados e públicos, pois somente assim todo o processo consegue se fechar em um ciclo junto as outras áreas e como diria minha vó quando o arroz ficava "arroz papa", aquele arroz "Juntos Venceremos".
#DICA: Se você é um profissional que está iniciando ou quer iniciar na área de testes de invasão, conheça meu curso de Pentest para iniciantes, vai lá e dá uma passadinha nesse link abaixo:
https://www.udemy.com/course/invasao-para-iniciantes/?referralCode=4C7A5BA1D3DAA72AB6B5
Nenhum comentário:
Postar um comentário