Por que o Pentest é necessário em tempos de LGPD?

Este artigo vista transmitir a mensagem da importância do teste de intrusão (teste de invasão ou pentest) em uma instituição que está em processo de adequação à LGPD.

A Lei Geral de Proteção de Dados Pessoais, Lei nº 13.709/2018, é a legislação brasileira que regula as atividades de tratamento de dados pessoais e que também altera os artigos 7º e 16 do Marco Civil da Internet, mas se você chegou até aqui é muito provável que você já saiba disso, porém, se essa lei ainda é obscura para você, recomendo ler a explicação nesses links: Lei Geral de Proteção de Dados e O que muda com a LGPD?

Sabemos que a informação possui um valor inestimável nos dias atuais e as empresas já se conscientizaram que, proteger seu ambiente é crucial para a continuidade de negócio e um possível vazamento poderá ser devastador para qualquer organização que lida com dados sensíveis, seja de seus colaboradores e/ou seus clientes e fornecedores.

Um pentest (ou teste de intrusão/invasão) será o divisor de águas para entender se as soluções de segurança aplicadas à sua instituição são realmente eficientes em caso de um incidente e além disso, como sua equipe de TI irá responder à esse possível incidente.

Cultura de agir tardiamente

Lembramos que culturalmente nós brasileiros temos o péssimo hábito de aplicar a devida preocupação com dados quando um incidente já ocorreu ou é iminente e esse hábito poderá trazer problemas imensuráveis para qualquer instituição.

Mais de 70% dos clientes que chegam até nós já sofreram com vazamento de dados e estão desesperados para descobrir como, quem e quando suas soluções de segurança foram violadas, além disso, quase todas as empresas são nacionais, o que reforça ainda mais a estatística que o problema é cultural.

Empresas que são estrangeiras e possuem filiais no Brasil tendem a agir proativamente e trabalham com testes de intrusão regularmente, até mesmo quando não se falava de LGPD.

O pentest deve ser incluído na implementação da LGPD

Parece óbvio, mas vale reforçar; afinal, acompanhamos diversas instituições que estão se preparando para a LGPD e esqueceram ou não entenderam que um teste de intrusão é tão útil quando a implementação de uma política de segurança.

Durante os testes de intrusão em um cliente do ramo financeiro, que estava em processo de adequação à LGPD, testamos todo o parque informático interno e externo da empresa e pudemos analisar diversas camadas de segurança implementadas, políticas bem aplicadas e soluções robustas, porém, encontramos um ponto falho, que nos serviu de ponto de entrada na rede e então a escalação de privilégios e por fim o controle de boa parte da rede interna do mesmo.

Identificamos que o administrador de rede desta instituição utilizava um mouse sem fio da marca Logitech e resolvemos investir contra a comunicação entre o mouse e o laptop utilizando a técnica Mousejacking e após injetar alguns comandos, conseguimos o controle de sua máquina e começamos a buscar meios para escalar os privilégios na rede.

Em resumo, a mensagem que quero passar é simples.

Você precisa testar a soluções de segurança no seu ambiente, pois, apenas políticas de segurança, um endpoint e processos bem estruturados não são suficientes para segurar um atacante com bons conhecimentos e motivados.

Um cracker ou um hacker irá testar a segurança do seu ambiente, você deve escolher qual dos dois irá fazer isso.

Realize um teste de intrusão conosco.

Pentest vs LGPD

REALIZE UM TESTE DE INTRUSÃO CONOSCO

Author: Alan Sanches
é consultor em Segurança da Informação e possui mais de 22 anos de experiência na área de Infraestrutura de TI e Segurança Cibernética. Ministra treinamentos e palestras sobre Segurança Ofensiva, Defensiva, Ética Hacker e Técnicas de Intrusão nos maiores eventos de Tecnologia do Brasil como: Campus Party, LatinoWare, FLISOL, RoadSec, Hacking Day, FISL e Mind the Sec. É Tecnólogo em Redes de Computadores e possui 3 Pós-Graduações, em Inteligência Estratégica, Master Business Information Security e Neurociência & Comportamento Humano. Atualmente ministra treinamentos de Técnicas de Intrusão e Defesa Cibernética para a Polícia Civil do estado de São Paulo, treina equipes do Exército, Divisão de Inteligência da Marinha e ABIN