Boa parte da conformidade com a LGPD e outras legislações do mundo está associada à capacidade de manter seguras as informações corporativas, incluindo dados pessoais
OBrasil está entre os dez países que mais registram ataques do tipo ransomware, que se caracterizam pelo sequestro e criptografia de dados, com o grupo criminoso exigindo o pagamento de um resgate para tornar essas informações novamente acessíveis para a empresa que foi vítima do cibercrime. O que torna esse cenário mais preocupante é que apenas 26% das empresas brasileiras estão maduras o suficiente para resistir aos ciberataques, de acordo com estudo da Cisco. Ainda segundo esse levantamento, quase sete em cada dez empresas esperam que um incidente de segurança cibernética interrompa suas atividades no intervalo de 12 a 24 meses.
O Fórum Econômico Mundial, no relatório “The Global Risks Report 2023”, apontou a propagação dos crimes cibernéticos ao lado do crescimento da insegurança cibernética como o oitavo maior risco global tanto no curto prazo como no longo. Para curto prazo, o estudo considerou até dois anos e, para longo, até dez anos. Esse risco inclui incidentes de segurança da informação, como vazamento de dados, que resultam em ameaça à privacidade dos cidadãos. Neste ano, os respondentes – mais de 1,2 mil especialistas de universidades, negócios, governos, comunidade internacional e sociedade civil – disseram que os ataques cibernéticos à infraestrutura crítica produzirão os impactos mais severos ou significativos em escala global.
Nesse contexto, as empresas devem contar com uma política bem estruturada de cibersegurança em seus programas de conformidade em proteção de dados. Essas diretrizes são formadas por cinco funções ou capacidades essenciais: identificação de riscos; proteção de ativos de informação; detecção de riscos em evolução; resposta a riscos que se materializam; e recuperação de danos provocados por um risco. Boa parte do compliance com a LGPD (Lei Geral de Proteção de Dados) e outras legislações do mundo, como o GDPR (regulamento de proteção de dados vigente na União Europeia), está associado à capacidade de proteger as informações corporativas, incluindo dados pessoais de colaboradores e clientes, de ameaças internas e externas.
“Toda organização deve ter duas preocupações básicas: evitar o tratamento indevido ou inadequado dos dados pessoais armazenados em suas bases e ser capaz de garantir a segurança dessas informações”, diz Marcos Sêmola, sócio da EY para consultoria em cibersegurança. No primeiro caso, a própria empresa, que é considerada um agente de tratamento pela LGPD, pode agir em desconformidade com a legislação caso perca, por exemplo, os dados do titular ou não atenda a uma solicitação dele, como a de retificação dos dados. Já no segundo caso, a empresa falha na garantia da confidencialidade, integridade e segurança dos dados, ainda que seja vítima de um incidente de segurança da informação.
Erro humano é porta de entrada das ameaças
O Fórum Econômico Mundial constatou que 95% dos problemas de segurança cibernética são causados por erro humano. “É aquele exemplo clássico do colaborador que recebe um e-mail com link de phishing, clicando nele e contaminando toda a rede corporativa com vírus. Essa costuma ser a porta de entrada do ransomware”, afirma Sêmola. “Esse evento produz diversos problemas em cascata, como reputacionais, financeiros e operacionais, já que a empresa fica nas mãos dos criminosos e completamente parada por um tempo que ninguém consegue prever”, finaliza. Para amenizar esse risco de erro humano, a recomendação é que as organizações promovam periodicamente sessões de treinamento dos seus colaboradores, especialmente dos novos contratados.