Bom Dia LGPD

Ainda sobre o BCC, segurança e disciplina no uso do e-mails

Fernando Nery
Fernando Nery
Sócio da Módulo



Semana passada o ICO - Information Commissioner's Office, regulador do Reino Unido, tratou mais uma vez sobre o BCC, e divulga que centenas de "personal data breach reports" relatam incidentes nos quais o em que um remetente acidentalmente atingiu CC em vez de BCC (acredito que este "report" seja semelhante ao Formulário de Comunicação de Incidentes definido pela ANPD). Este é um incidente comum mas com potencial de gravidade.


As organizações precisam dar atenção ao uso de emails pois é uma ferramenta na qual é comum tanto o mal uso (CC no lugar de BCC ou envio para destinatários errados) ou é uma porta de entrada para malware e mensagens não desejadas (Spam, fakenews e phishing).


Nos eventos de conscientização de segurança e proteção de dados (está na hora de incluir a IA também), a disciplina e atenção no uso de emails devem estar presente pois é um momento onde a segurança ou não acaba ficando na mão do usuário e, uma vez autorizada pelo usuário, as ferramentas têm pouco a fazer.

Algumas sugestões para a segurança em emails:


  • Conscientizar e engajar os usuários (BCC, digitação de destinatários, spam, fakenews, phishing, ...);
  • Implementar a classificação dos emails, tornando obrigatória a classificação antes da mensagem;
  • Seguir boas práticas (o ICO disponibiliza um bom documento - link no comentário);
  • Utilizar a autenticação de dois/múltiplos fatores (2FA/MFA);
  • Implementar recursos para proteger o email em equipamentos dos usuários (BYOD - Bring Your Own Device);
  • Adotar uma ferramenta de DLP e configurá-la quanto a segurança da informação e proteção de dados pessoais;
  • Fortalecer a proteção contra phishing;
  • Avaliar a segurança de seu servidor de emails (o NCSC - National Cyber Security Centre do Reino Unido) disponibiliza uma ferramenta interessante - link no comentário);
  • Criar políticas de uso de emails que atinjam o público interno e externo;
  • Incluir avisos de privacidade e segurança no rodapé dos emails;
  • Incluir o assunto email na auditoria, gestão de riscos e controles internos.


A grande maioria das ocorrências que envolvam email terão dados pessoais, por isso a proteção de emails é interesse tanto da segurança como da proteção de dados pessoais que podem trabalhar juntas nesta missão.


Boa semana,


Obrigado,


Aquele abraço,


FNery.

(Art 46 .. 49) Segurança da Informação Phishing
Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato