Vazamento de dados pode render multas milionárias

Fabio F. Ramos é CISSP, CISM e fundador da
Axur, empresa global e líder na América Latina
em monitoramento e reação a riscos digitais

Sancionada em agosto de 2018, a LGPD – Lei Geral da Proteção de Dados (Lei 13.709/2018) é ainda inédita para muitas empresas. Em levantamento, o 9º Índice de Confiança Robert Half mostra que 34% das empresas brasileiras ainda não estão preparadas para a LGPD e, ainda pior, 19% desconhecem o significado e o que representa a sigla.

A lei entra em vigor em fevereiro de 2020 e passa a ser aplicada, incluindo punições, a partir de 16 de agosto de 2020. A LGPD, que estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais de clientes, empregados, terceirizados e fornecedores, possui penalidades aplicáveis às empresas que violarem o sigilo dos dados que mantêm sob custódia.

Muitas empresas ainda não adequaram os processos dentro da LGPD e uma das principais razões é a falta de previsão orçamentária. O planejamento financeiro de uma empresa para o ano subsequente, por sua vez, é normalmente realizado no último trimestre do ano vigente. Portanto, a orientação é para que as empresas, especialmente as equipes C-level, aproveitem essa fase e apresentem os benefícios que a adequação à lei irá trazer em curto, médio e longo prazo. Os impactos ocasionados à imagem e à reputação da empresa atingem diretamente a credibilidade e fidelidade de clientes e parceiros.

No último mês, o Congresso Nacional reincluiu algumas punições que haviam sido rejeitadas no texto da lei, retomando duas das mais severas: a suspensão parcial ou total do banco de dados e até mesmo da própria atividade empresarial. A tendência é gerar enormes prejuízos financeiros e de reputação, como no caso da British Airways, que em julho deste ano, foi multada pela GDPR (General Data Protection Regulation) em 183 milhões de libras – aproximadamente 937 milhões de reais – pelo vazamento de números de cartões de crédito de 500 mil clientes, ocorrido após uma invasão de formjacking, golpe que funciona de forma parecida com o phishing, em junho de 2018.

Segundo texto da lei brasileira, a penalidade pode variar de uma advertência com indicação de prazo para medidas corretivas à multa no valor de 2% do faturamento da empresa de direito privado, grupo ou aglomerado no Brasil, limitada a um total de R$ 50 milhões por infração. A expectativa, então, é de que as empresas já estejam revisitando processos, relatórios, ferramentas e fluxos de dados para adequarem formas de armazenamento, processamento, acesso, transferência e divulgação dos dados coletados às regras da LGPD dentro do prazo estipulado. 

Houve um caso em julho deste ano, onde 100 milhões de norte-americanos e seis milhões de canadenses tiveram todas as informações pessoais vazadas após uma invasão no sistema do banco Capital One. O acesso do hacker aos dados se deu em março e a situação fica ainda mais complicada pelo fato do conteúdo sobre os métodos da invasão estar disponível no repositório GitHub — plataforma de hospedagem de códigos-fonte que permite que programadores e outros usuários contribuam em projetos privados ou open source — desde abril, ou seja, quase três meses sem ter sido detectado e removido.

A cada ataque, vazamento ou qualquer outro tipo de crime online, o monitoramento dos canais digitais de uma empresa se mostra mais relevante. Esta prática, que deve ser tratada com prioridade no mercado, pode contar com as mais modernas e seguras metodologias, como a utilização de robôs e técnicas de inteligência artificial. A IA auxilia a varredura da internet em todas as camadas, garantindo o monitoramento dos canais em busca de ameaças.

Com as ameaças identificadas, o trabalho deve ser de remoção de todo conteúdo que esteja indevidamente associado a uma marca. Inclusive, porque quanto menor o tempo de reação a um vazamento de dados, maior a tendência dos prejuízos serem amenizados. Segundo o levantamento feito pela IBM, “Cost of a Data Breach”, as empresas que não possuem o processo de segurança da informação automatizado — monitoramento para rápida detecção, soluções de segurança com inteligência artificial, machine learning, análise e processo de contenção — geralmente têm 95% a mais de custos do que as que já o fazem.

A perspectiva de melhora na segurança das informações utilizadas na internet é bastante positiva, uma vez que, segundo levantamento do IBGE de 2017, três em cada quatro habitantes do país são usuários conectados. Antes de quaisquer legislações, ter uma política de segurança digital e governança de dados pessoais e sensíveis se faz necessidade básica para manter o ambiente da internet mais limpo, seguro e que respeita a privacidade dos integrantes.

Compartilhe
Compartilhar no email
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no linkedin
Compartilhar no whatsapp