O Brasil vive uma crise de segurança digital. Três em cada cinco brasileiros sentem medo de terem os dados vazados ao comprarem um produto pela internet, de acordo com levantamento feito pela PSafe. Trata-se de um indicador alarmante, já que impacta diretamente a confiança dos consumidores e, por sua vez, os negócios.

É consequência direta dos ataques cibernéticos direcionados a empresas, incluindo casos de sequestro e divulgação indevida de dados pessoais e/ou sensíveis. Encerramos o primeiro semestre de 2022 com mais um grande ataque hacker a uma renomada rede do e-commerce nacional. Resultado? Além dos prejuízos, impacto negativo na imagem da marca no mercado e um sentimento de impotência frente as ações dos cibercriminosos.

Para empresários e cidadãos fica a pergunta: o que está sendo efetivamente feito pelas autoridades para responder a essas novas ameaças? Como combater o crime organizado digital e prender as quadrilhas que estão aplicando diariamente estes os golpes de sequestro de dados?

Segundo a obra “Power to the Edge”, dos autores David Alberts e Richard Hayes, produzida pelo Departamento de Defesa dos Estados Unidos, é necessário construir uma política pública de defesa baseada nos seguintes pilares:

  • entendimento claro e consistente da intenção do comando;
  • informação de alta qualidade compartilhada e conhecimento situacional;
  • competência em todos os níveis da força de defesa (pública e privada);
  • ter habilidade de trabalhar em cooperação com todo o ecossistema incluindo não-militar (inter-agências, organizações internacionais, setor privado);
  • ter os meios apropriados de resposta e a habilidade de orquestrar os meios de resposta em tempo hábil;
  • ter confiança na informação em todos os níveis do comando de subordinados a superiores, pares e equipamentos.

Portanto, precisamos desenvolver uma rede de resposta que possa agir rápido e de forma coordenada, e levar poder das pontas até a camada mais exposta - que é a dos usuários. É necessário que haja orientação sobre como proceder quando forem vítimas de um ataque, e isso significa campanha pública maciça de conscientização sobre segurança e proteção de dados.

Além disso, é necessário capacitar as equipes, investir em tecnologia, pois se o bandido usa bots para atacar, também temos que utilizar para patrulhar e responder no ambiente da “rua digital”. Criar um hotline para centralizar as denúncias e estruturar uma base de conhecimento sobre os modus operandis. E contar com colaboração internacional.

Enquanto cada vítima estiver sozinha e isolada, somos muito mais vulneráveis. E o criminoso conta com isso para ser bem-sucedido.

É preciso agir para reduzir as vulnerabilidades. Seja com a criação de uma força tarefa específica para combater o crime organizado cibernético e priorizar um estágio mais avançado de segurança digital, seja com a intensificação de campanhas públicas educativas para auxiliar a população a se proteger e a denunciar práticas ilegais.

Do lado das empresas, o maior desafio ainda é estabelecer protocolos de resposta a incidentes e sala de crise documentados, bem estruturados e que isso seja levado em treinamentos para equipes, executivos e alto escalão.

Do lado das empresas, o maior desafio ainda é estabelecer protocolos de resposta a incidentes e sala de crise documentados

Outra análise importante, elaborada pela PwC Research, mostra que para 77% dos líderes brasileiros as organizações se tornaram complexas demais para serem protegidas. Integrantes da diretoria, do conselho e líderes de TI e segurança estão preocupados que essa dificuldade desnecessária e evitável exponha suas organizações a riscos cibernéticos e de privacidade.

Como agir para reduzir as vulnerabilidades

Para mitigar riscos e prejuízos com possíveis incidentes no uso dos dados, é preciso investir em estratégias como o plano de continuidade de negócios e práticas baseadas em Segurança da Informação e aplicação das medidas previstas pela Lei Geral de Proteção de Dados (LGPD). Abrange implementar mecanismos de controle e governança mais sofisticados, inclusive com um planejamento voltado para eventos de crise.

Muitas instituições implementaram as melhores práticas, mas há necessidade de continuar investindo na manutenção do programa de privacidade. Ou seja, as reuniões de Comitê têm que ser efetivas e precisa haver mais atuação no pilar de cultura.

As regras da LGPD valem para os dados pessoais em qualquer suporte, seja ele físico ou digital, e capturados a partir de qualquer interface. Vamos tomar como exemplo o varejo. A cada novo cadastro, cada nova venda, o cliente deve ser informado sobre como os dados pessoais são protegidos, se há compartilhamento com terceiros, se há internacionalização, para quais finalidades são tratados e quais são os direitos dos titulares. Sendo assim, exige não somente uma adequação tecnológica, mas estratégica de cada negócio. A conformidade exige muito além de implantação de antivírus ou firewall.

As instituições que investem em inovação devem estruturar os novos projetos a partir do princípio do privacy by design

As instituições que investem em inovação devem estruturar os novos projetos a partir do princípio do privacy by design – melhores práticas de proteção de dados pessoais desde a sua concepção. Portanto, há um efeito direto nas relações de negócios, assim como na forma de avaliar marca e ações de uma empresa.

É um tipo de compliance relacionado diretamente à sustentabilidade e governança. A ideia é harmonizar as relações e aumentar o grau de transparência. Dessa maneira, é possível estimular a inovação e evitar barreiras comerciais a partir de regras claras e controles mínimos de segurança para, inclusive, não sofrermos barreiras comerciais com outros países.

Muitos incidentes de violação de dados e vazamento de informações ainda ocorrem por situações de negligência, em que as ocorrências poderiam ter sido evitadas. Da nada adianta atualizar políticas, contratos, investir em ferramentas se não houver uma adoção na rotina diária das lideranças e das equipes das melhores práticas de proteção de dados.

Isso deve alcançar o perímetro estendido da empresa até o ambiente doméstico, devido ao home office. Além de engajar equipes é preciso também lidar com a gestão de risco junto aos terceirizados, que também tem sido fonte de incidentes.

Como não existem sistemas completamente seguros e à prova de ataques, seja em dispositivos particulares ou dentro das empresas, os titulares também precisam fazer esse dever de casa e praticar medidas preventivas, seja habilitar senha de bloqueio e em senhas em aplicações principais, possuir software de apagamento remoto e backup na nuvem.

Os maiores desafios envolvem primeiramente a mudança de comportamento, que exige foco em cultura, que vem seguida da adoção de uma série de controles para manter a gestão dos dados pessoais dentro de padrões de transparência e segurança.

Patricia Peck, PhD, é CEO e sócia-fundadora do Peck Advogados, Conselheira Titular do Conselho Nacional de Proteção de Dados (CNPD)