Entrevista: Gerente de TI da Superlógica fala sobre segurança de dados
A segurança de dados está cada vez mais em pauta. Afinal, com roubo de dados e invasões virando notícia, as empresas precisam olhar para o assunto mais do que nunca.
Seu negócio também precisa proteger dados próprios e dos clientes que atende, por uma questão ética e legal, já que a Lei Geral de Proteção de Dados (LGPD) trouxe diversas normas sobre o controle e tratamento de informações pessoais. Para saber mais sobre a lei que está em vigor desde agosto de 2020, recomendamos a leitura desses conteúdos.
Escolha uma plataforma que proteja seus dados
Na era das plataformas digitais, o cuidado com a proteção dos dados precisa ser dobrado, pois eles costumam ser compartilhados com outras empresas, como desenvolvedores de plataformas no modelo software as a service (SaaS).
A dica aqui é escolher com critério as plataformas que utiliza e com que se relaciona, buscando conhecer qual sua política de segurança de dados.
Partindo dessa premissa, conversamos com o DPO (Data Protection Office) da Superlógica, Jhonatas Faria, para saber o que a empresa (que desenvolve plataformas para gestão de SaaS, imobiliárias e administradoras de condomínios) faz para proteger os dados de seus clientes.
Confira.
Você considera que a segurança dos dados dos clientes é uma das prioridades das equipes de tecnologia da Superlógica? Por quê?
É prioridade, tanto que no último ano dobramos os investimentos com segurança. Além dos frequentes scans e pentests realizados pelas empresas parceiras, lançamos um programa de bug bounty, que é um programa de recompensa para especialistas que encontram falhas no sistema.
Contamos também com uma gama de ferramentas que nos ajuda a detectar e conter as constantes ameaças que recebemos em nossas aplicações.
Roubos de dados e invasões hackers são ameaças reais. Como uma empresa pode se proteger disso em um mundo cada vez mais digital?
Alguns estudos indicam que 60% dos vazamentos acontecem por erro humano — deslizes do dia a dia que criam um ambiente vulnerável a falhas de segurança que são exploradas, na maioria das vezes, por engenharia social.
Por isso, o primeiro passo é criar uma cultura que promova o amplo conhecimento dos riscos para que todos os colaboradores estejam sempre em alerta.
Como a Superlógica promove a cultura da segurança de dados entre os colaboradores?
Aqui na Superlógica, nosso cuidado com segurança de dados é mais que uma preocupação técnica, aqui promovemos a cultura de segurança de forma recorrente.
No nosso onboarding para novos colaboradores, temos conteúdos sobre nossa política de segurança da informação e um curso técnico obrigatório.
Temos também treinamentos constantes que acontecem por meio de uma ferramenta de conteúdo de segurança da informação, que é feita com gamificação. Essa plataforma mostra de forma dinâmica, dicas e cuidados que as pessoas devem tomar no dia-a-dia para proteger os dados e prevenir vazamentos. Tudo isso com premiações para os campeões do ranking do quiz, para incentivar a participação e deixar o treinamento mais atrativo.
Quanto aos clientes, quais tecnologias e recursos a Superlógica usa para garantir a segurança dos dados?
Utilizamos desde as tradicionais ferramentas como Firewall, Antivírus e VPN. Além de recursos mais avançados para segurança em Cloud como WAF, ferramentas de SIEM e monitoramento ativo de acessos, tentativas de acesso indevido, tentativas de buscas de vulnerabilidades por senhas padrões (o clássico admin/admin), entre outros.
Contamos também com o PCI DSS, que é uma certificação internacional com foco no mercado de cartões de crédito. Passamos por auditoria anual e estendemos as boas práticas do PCI para todo o escopo de nossas aplicações.
Com novas leis, regulamentos, tecnologias, vulnerabilidades e hábitos, como a empresa trabalha para se manter reciclada e atualizada quanto às boas práticas do desenvolvimento seguro?
Já existem muitas normas de segurança da informação, tanto no âmbito privado quanto público. Isso não é novo. O que vem mudando é a quantidade de ataques que as empresas vêm recebendo e também a quantidade de abusos cometidos por empresas pouco comprometidas com a privacidade de seus usuários. Com isso, novas normas surgiram, por exemplo a GDPR (Europa) e a LGPD (Brasil).
Essas normas obrigam as empresas a tratarem com seriedade o assunto da segurança, e elas precisam se adaptar. No no dia a dia, essas mesmas normas e regulamentos trazem as boas práticas a serem seguidas.
Porém, coisas básicas como SQL Injection continuam no TOP 10 da OWASP. Isso pode ser mitigado com processos automáticos de scan de código fonte vulnerável. Existem diversas ferramentas OpenSource que possibilitam essa varredura tanto na esteira de software quanto no processo de desenvolvimento.
Gostou da entrevista?
Fique de olho nas nossas redes sociais que em breve traremos mais especialistas da Superlógica com informações e temas importantes para o seu negócio.
Sobre a Superlógica
A Superlógica desenvolve o software de gestão líder do mercado brasileiro para empresas de serviço recorrente. Somos referência em economia da recorrência e atuamos nos mercados de SaaS e Assinaturas, Condomínios, Imobiliárias