A informação se tornou o bem mais precioso da sociedade moderna. Com o aumento do número de colaboradores em trabalho remoto, mais dados passaram a transitar na nuvem e mais vulneráveis ficaram os negócios a ataques e a violações de privacidade.
A ausência de infraestrutura de segurança cibernética preparada para o home office deixou evidente a vulnerabilidade das organizações a golpes digitais, ações fraudulentas de hackers, vazamento de dados ou sabotagens com interesse comercial.
A Lei Geral de Proteção de Dados (LGPD), com algumas de suas principais disposições em vigor desde setembro de 2020, representa um passo importante na direção da transparência e de garantir maior controle sobre informações pessoais e sensíveis.
Os dados são o combustível da economia digital. Usá-los para mapear hábitos de consumo do cliente e criar novos produtos e serviços pode resultar em vantagem competitiva para negócios de todos os tamanhos e setores. A LGPD tem como objetivo unificar as regras sobre tratamento de dados pessoais de funcionários, clientes, fornecedores e usuários pessoas físicas, em empresas públicas e privadas. A ideia é proteger o direito à privacidade e facilitar a fiscalização contra abusos a tal direito.
Até o momento, no entanto, somente 30% a 40% das empresas do país se adequaram às novas regras, diz Klaus Kiessling, diretor de cibersegurança da Leadcomm, empresa de tecnologia com 25 anos de experiência e 70 mil horas de consultoria em projetos de segurança e governança de dados. Segundo ele, houve um aumento da procura por empresas interessadas em se adequar a partir de setembro de 2020, quando a lei entrou em vigor. A Leadcomm já realizou mais de 100 projetos de conformidade com a LGPD no país.
"A lei de proteção e privacidade de dados exige que as empresas sigam as boas práticas, mas não explica quais são elas", diz Kiessling. Boa prática, ele enumera, é ter uma política de segurança da informação, de gestão de crise, um programa de classificação da informação e gestão de vulnerabilidade para garantir a continuidade do negócio em caso de violação ou vazamento de dados. Kiessling conta, ainda, que muitas vezes as empresas se esquecem da peça fundamental, que é a capacitação dos funcionários.
"Há muita preocupação com tecnologia e processo, mas muitas empresas esquecem das pessoas, e é onde cometem o erro de não treinar os funcionários. Treinamento e capacitação sobre proteção e privacidade de dados deve envolver desde a diretoria até a prestadora de serviço terceirizada que cuida do estacionamento", diz Kiessling. Por isso é importante ter uma equipe multidisciplinar, formada por pessoas de TI, segurança, controles internos, risco, auditoria, RH, board e comunicação.
O especialista explica que de acordo com a lei brasileira, a multa por violação de dados pode chegar a R$ 50 milhões. "Uma empresa leva em média 265 dias para descobrir que foi atacada", diz o especialista em cibersegurança. Ele conta que já viu uma empresa desligar a chave geral por meia hora para conter um ataque virtual de origem desconhecida.
CUSTOS E CONSEQUÊNCIAS DAS VIOLAÇÕES DE DADOS
De acordo com o relatório On Risk 2021, do Institute of Internal Auditors (IIA), os ataques cibernéticos são considerados o grande risco aos negócios para quatro em cada cinco empresas. Governança de dados, continuidade dos negócios e gestão de crise são grandes preocupações para 2021. Roubo de identidade de acesso e falhas na configuração da nuvem são as duas principais portas de entrada de ataques cibernéticos, seguido por vulnerabilidades em sistema de terceiros. O cenário de acesso remoto em conexões domésticas pode aumentar o tempo para identificar e corrigir ataques virtuais.
Uma violação de dados pode ter consequências de longo prazo, com prejuízo na imagem da marca e da reputação, e, de imediato, causar perdas financeiras e afetar as operações.
Para calcular o prejuízo com vazamento de dados, o relatório Cost of a Data Breach, realizado pelo instituto Ponemon e publicado pela IBM Security, analisou 524 falhas de agosto de 2019 a abril de 2020 em organizações de 17 regiões geográficas e 17 indústrias.
Os resultados mostram que as empresas levam, em média, 265 dias para identificar um ataque e 115 dias para consertar a brecha, um total de 380 dias.
O custo de um vazamento de dados é composto por atividades para detectar a violação, cálculo de queda de receita devido ao tempo de inatividade e negócios perdidos, despesas para notificação e respostas para ajudar e reparar as vítimas da violação e os agentes reguladores. Ou seja, os custos são variáveis. Para o Instituto Ponemon, em média, passa de R$ 5,88 milhões.
A sofisticação crescente e a variedade de ciberataques permanecem um ponto fraco para marcas e reputações. A adequação à nova lei de privacidade e proteção de dados, explica o especialista em segurança da Leadcomm, ocorre em três fases: processo, governança e tecnologia. Até mesmo o envio de um currículo para o departamento de recursos humanos armazenar em seu banco de talentos pode incorrer em violação de processo caso as obrigações previstas na LGPD não sejam endereçadas, diz Kiessling. O titular dos dados sempre precisa aprovar a política de privacidade antes.
PRIVACIDADE, O DESAFIO DA ERA DIGITAL
Lei Geral de Proteção de Dados (LGPD): define de quem são as competências e responsabilidades pela gestão de dados pessoais e dados pessoais sensíveis, que entrou em vigor em setembro de 2020.
Foi votada em 2018, ano em que entrou em vigor a lei de privacidade de dados europeia, a General Data Protection Regulation (GDPR).
As brechas ocorrem por fatores acidentais ou intencionais:
- Um funcionário pode clicar em mensagem com link de acesso a uma página de origem nociva e abrir a porta aos golpistas.
- No ataque virtual, o invasor pode danificar ou vazar arquivos do computador, sequestrar dados para obter vantagem financeira ou expor vulnerabilidades com desgaste público da imagem e/ou da marca.
- Uma violação no sistema de empresas terceirizadas, como a do serviço de manobrista, também pode expor dados de clientes.
- O dano à reputação e à marca algumas vezes é irreversível.
- A análise de risco examina se uma organização está preparada para proteger informações, administrar e barrar ameaças eletrônicas que podem afetar sua marca e reputação.
- Aderir às políticas e programas da Lei Geral de Proteção de Dados brasileira ou da GDPR europeia ajuda a reduzir riscos de abusos e protege a privacidade.