(11) 5521-2021 [email protected]
É Possível Evitar Vazamento de Dados?

É Possível Evitar Vazamento de Dados?

Este ano de 2018 foi repleto de casos de vazamento de dados que expuseram a vida pessoal de milhões de pessoas e geraram dezenas de milhões de reais em prejuízo para as empresas envolvidas.

Somente no caso do Banco Inter, o Ministério Público do Distrito Federal ajuizou ação em julho deste ano, demandando uma indenização de R$ 10 milhões em razão de, supostamente, o banco não ter tomado os cuidados necessários para garantir a segurança dos dados pessoais de seus clientes e não clientes.

E, mais recentemente, vieram a público as notícias sobre os vazamentos de dados na Tivit, uma das maiores empresas de serviços de TI do Brasil, e no Sicredi, a maior rede de cooperativas de crédito do país, cada um deles com características próprias. Vendo empresas desse porte – que investem milhões em tecnologia – sofrerem com vazamentos de dados é lícito perguntar se, na prática, é possível evitar vazamento de dados.

E mais ainda, como uma média empresa, com orçamento de tecnologia bem mais enxuto, vai evitar o que nem grandes empresas conseguem? E além disso, a partir de fevereiro de 2020, com a entrada em vigor da Lei de Proteção de Dados (LGPD) o risco para as empresas vai aumentar, pois será obrigatório divulgar publicamente os casos de vazamento de dados.

Eu imagino que, por exemplo, uma clínica de saúde regional com algumas unidades na região metropolitana de uma grande cidade pode ter seu negócio inviabilizado caso divulgue publicamente que os exames de seus pacientes foram vazados. Outras empresas de mesmo porte, especialmente da área de saúde, podem ter o mesmo destino.

Mas é possível evitar vazamento de dados? Baseado na experiência de atuar em casos como esses há duas décadas e na experiência internacional bem documentada, sabemos que as duas principais causas de vazamentos de dados são:

Ataques externos aos sistemas da empresa.

Vazamento intencional por pessoas de dentro da empresa.

Um plano abrangente para evitar essas duas causas deve conter diversas ações que vão desde implantar sistemas de proteção até fazer seminários de conscientização, em suma deve abranger pessoas, processos e tecnologia.

Mas existem regras e proteções básicas que podem e devem ser implantadas e que já são consenso entre profissionais da área de segurança da informação. Fazendo uma analogia com os cuidados com a saúde pessoal, é consenso que exercício físico moderado faz bem para a saúde, não sendo necessário consultar um especialista para saber isso.

Na proteção de vazamento de dados, algumas regras básicas também são consenso:

Tenha um sistema antivírus.

Tenha um sistema de controle de acesso aos dados.

Sistemas de antivírus já são bem conhecidos e são a primeira barreira contra os ataques externos. Podem ser complementados por proteções de segurança mais avançadas, que fogem ao escopo deste texto, mas cito aqui pelo menos uma que recomendo implantar: WAF, ou Web Application Firewall. Sistemas de controle de acesso aos dados, ou de Gestão de Identidades e Acessos (GIA), estão sendo cada vez mais adotados pelas empresas que estão aumentando o seu nível de proteção contra vazamento de dados.

Devido à inerente complexidade e à variedade de tecnologias existentes nas empresas, somente com um sistema de GIA é possível saber, imediatamente, quem tem acesso efetivo aos dados em uma empresa e também quem autorizou esses acessos.

Pense bem: é impossível evitar vazamento de dados se você nem sabe quem tem direito de acesso a eles dentro da sua empresa. Um sistema de GIA permite o controle centralizado dos direitos de acesso aos dados, com fluxos de trabalho distribuídos, automatizando tarefas manuais, diminuindo erros operacionais e diminuindo os riscos legais da sua empresa.

E, no caso de sua empresa sofrer um vazamento de dados e estar sujeita a uma multa, um sistema de GIA será um grande atenuante para provar em juízo que a empresa fez o que as melhores práticas de segurança do mercado recomendam para proteger os dados de seus clientes, parceiros e fornecedores.

Acidentes acontecem, e um vazamento de dados pode ocorrer por acidente. A diferença no valor das multas – que podem chegar a 2% do faturamento da empresa – será em virtude dos atenuantes que cada empresa vai apresentar para caracterizar que não houve imperícia ou negligência na proteção dos dados.

Desde 1999, a e-trust tem auxiliado empresas de diversos portes a se proteger no mundo digital. Se quiser saber mais como podemos proteger sua empresa de vazamentos de dados, entre em contato com nossos especialistas. Só fica uma dica: aumente suas proteções antes de a LGPD entrar em vigor.

Você também pode gostar:

.

A LGPD vai funcionar?

A LGPD vai funcionar?

Atualmente, 124 países já têm regulamentação sobre Privacidade de Dados e mais de 40 novos estão no caminho para possuírem também suas próprias regulamentações.

Todo esse movimento global nos indica uma certeza: essas regulamentações definitivamente estão aí para ficar, e as multas por descumprimento serão de alto valor.

Eu tenho ouvido alguns comentários e, recentemente, assisti uma palestra do Gartner sobre a seguinte questão: A LGPD vai funcionar?

Antes de apresentar alguns dos argumentos sobre quais essas discussões se apoiam, vamos a algumas informações importantes para contextualização do cenário:

1 – De acordo com o site www.emarketer.com, os gastos totais com anúncios de mídia em todo o mundo chegarão a US$ 628,63 bilhões em 2018. A mídia digital será responsável por 43,5% dos investimentos, graças ao aumento dos gastos de comércio eletrônico global e à mudança da audiência da TV tradicional para os canais digitais. Até 2020, a parcela digital do total de publicidade será de aproximadamente 50%.

2 – O artigo 12, da Declaração Universal dos Direitos Humanos assegura que “Ninguém será submetido a interferências arbitrárias em sua privacidade…”, mas a privacidade tem diferenças culturais ao redor do mundo.

3 – Uma única informação pode ser vendida diversas vezes, e para muitas pessoas, a informação sobre si mesma é a única moeda de troca para acessar serviços e conteúdo na internet.

Diante das informações apresentadas, vamos focar em 3 argumentos que podem gerar dúvidas em relação ao sucesso da LGPD, e ao final de cada um, eu explico a minha opinião em relação a descontrução deles:

1º – O mundo digital já está muito grande e complexo, e continua crescendo rapidamente

 

Começamos 2018 com 4,021 bilhões de pessoas online (53% de todas as pessoas do planeta), um aumento de 7% em relação ao ano anterior. As redes sociais são utilizadas por cerca de 3,2 bilhões de pessoas (42% de todo o mundo), de acordo com o último relatório Digital in 2018.

 

Marketing Digital

 

Sete das dez maiores empresas do mundo em valor de mercado em 2018, são da área digital e a somatória dos seus valores é equivalente ao PIB de mais de 142 países combinados, conforme mostra o Panorama Econômico Mundial do FMI, de abril de 2018.

 

10 maiores empresas públicas do mundo

Fonte: ycharts.com September 21, 2018

Diante desse cenário, e considerando ainda que existem países que podem usar os controles regulatórios para aumentar as suas receitas, seria complicado as regulamentações serem mantidas se as consequências fossem negativas para essas empresas.

Minha opinião é que, mesmo com esse crescimento acelerado e o poder concentrado nessas empresas da área digital, que tem como um dos principais insumos, os dados pessoais de seus usuários, elas irão transformar as obrigações legais da LGPD em oportunidades de negócio. Mas como?

Vamos lá, eu explico:

  • Com ampliação do direitos já existentes dos titulares dos dados, como objeção, restrição, portabilidade, decisões automatizadas e exclusão, os novos controles de processamento e consentimento e a transparência nos uso dos dados irá aumentar a confiança dos clientes na empresa.
  • Haverá um fortalecimento da governança de dados, atravé da obrigação de categorização dos dados, da inclusão do ROP (registro de processamento de dados), da criação da posição do DPO (Data Privacy Officer), da implementação do processo de Data Privacy Impact Assessment (DPIA) e da implementação do Privacy by Design e Minimização de dados para os atuais e novos produtos e serviços da empresa.
  • E por final, a redução dos riscos, pela obrigação de melhoria no tratamento dos dados durante todo o seu ciclo de vida, e na gestão de incidentes e contratos com terceiros, por exemplo.

2º – A cultura do “Grátis”

 

“Se você não está pagando por isso, você é o produto”

(Fonte: TV Ad, 1973, Richard Serra)

 

As empresas que adotam o modelo de negócio onde oferecem serviços e conteúdo “grátis” tem uma adoção em massa pelos usuários ao redor do mundo.

Usuários mensais das redes sociais

Fonte: Goobec, 2018

Na realidade, serviços e conteúdo “grátis” não existem, pois de acordo com as próprias empresas, em 2017, 98% da receita do Facebook e 86% da receita da Alphabet, são provenientes de anúncios de segmentação baseados em dados pessoais.

Com essa cultura do acesso a serviços e conteúdo “grátis” na internet adotada em massa pela população mundial, onde na realidade as pessoas estão usando como pagamento suas informações pessoais e muitas vezes nem sabem disso, a implementação de novas ou manutenção das atuais regulamentações sobre privacidade fica comprometida.

Na minha opinião, neste ponto, as empresas irão encontrar meios de explorar o valor comercial da privacidade para equalizar o custo que garante que elas estarão sempre agindo de acordo com todas as leis aplicáveis.

E como já dito no argumento anterior, a transparência nos uso dos dados irá fortalecer muito a reputação da empresa na privacidade dos dados, melhorar a experiência do cliente e consequentemente agregará valor ao negócio.

3º – Regulamentações de privacidade são caras e difíceis de serem implementadas

 

A LGPD possui 10 capítulos e 65 artigos…., ou seja, é complexa…

As empresas são obrigadas a atender várias requisições conforme listadas abaixo, e dependendo no nível de maturidade do ambiente tecnológico, ficará caro para atender.

  • Confirmar existência de tratamento de dados
  • Entregar os dados armazenados ao titular
  • Corrigir dados errados ou desatualizados
  • Anonimizar dados pessoais
  • Bloquear tratamento de dados
  • Eliminar dados
  • Portar dados para outro provedor
  • Informar com quais entidades os dados foram compartilhados
  • Encerrar o tratamento de dados pessoais

As regulamentações são válidas para todos, mas nem todos são iguais, ou seja, elas são válidas tanto para a padaria da esquina quanto para uma gigante de e-commerce como a Amazon.

As empresas são dinâmicas, possuem processos complexos e as informações estão descentralizadas na maioria dos casos, o que impõe um alto nível de dificuldade na adequação às regulamentações.

Aqui o ponto é mais quantitativo, ou seja, é necessário a elaboração de um plano de conformidade com os proprietários dos processos de negócios, utilizando conhecimento e recursos internos ou externos para executar todas as atividades planejadas.

As empresas possuem três opções:

  • Não fazer nada, assumindo um risco alto, com multas pesadas e outros resultados negativos, como danos à reputação, perda de confiança, entre outros.
  • Fazer algo mediano, mitigando os riscos parcialmente, e estar sujeito a advertências, repreensões, multas, resultados negativos, incluindo danos à reputação e outros.
  • Fazer uma adequação completa, para garantir consistência, integridade e correção contínuas, sempre monitorando e respondendo a mudanças regulatórias, mas tendo em mente que em TI o esforço nunca acaba, e portanto esse trabalho não tem fim…

Enfim, eu acredito que as empresas irão transformar os dados em um ativo estratégico e maximizar seu potencial de negócio.

Após a adequação à LGPD, seja em qualquer nível de conformidade, as empresas iráo alinhar a segurança dos dados às políticas de compliance, eliminar proativamente a redundância de dados e consequentemente reduzir o custo com a getsão de dados em geral.

Por fim, outros benefícios que ajudarão a romper as barreiras de custo e dificuldade para implementação da LGPD, são:

  • Criação de bases para a transformação digital;
  • Preparar a empresa para novas regulamentações;
  • Eficácia na demonstração de resultados para auditorias;
  • Melhoria na qualidade dos dados, resultando em eficiência operacional.

Como a LGPD impacta e modifica as ações das empresas brasileiras?

Como a LGPD impacta e modifica as ações das empresas brasileiras?

A LGPD impacta diretamente no processo de dados coletados pelas empresas. Conheça quais são as premissas para a sua empresa estar em conformidade com essa nova legislação.

Considerada um marco na civil da internet, a a Lei de Proteção de Dados Pessoais (LGPD) sancionada em 14 de agosto de 2018, define o tipo e a forma como os dados podem ser coletados, tanto por empresas, como pelo governo e como estas informações poderão ser utilizadas.

Ou seja, as pessoas terão mais controle sobre seus dados pessoais, podendo visualizar, corrigir e excluir estas informações, permitindo quem realmente terá acesso e poderá usufruir.

Mas você sabe exatamente no que esta nova lei impacta nas empresas brasileiras?

E-TRUST, em parceria com a Afonso Fröhlich Advogados Associados, preparou um Guia Completo e Exclusivo abordando os pontos mais importantes para que a sua empresa esteja fique por dentro das consequências e das ações que precisam ser tomadas quando essa Lei entrar em vigor.

Veja em nosso e-Book os pontos mais importantes para que a sua empresa esteja por dentro do que é a LGPD e as conformidades que ela precisa seguir daqui para frente.

Baixe agora o e-book completo sobre LGPD exclusivo para empresas

Quais são os novos direitos que a LGPD dá para você, consumidor?

Quais são os novos direitos que a LGPD dá para você, consumidor?

A LGPD confere ao consumidor novos direitos para você decidir como e quando seus dados pessoais serão utilizados pelas empresas.

Sancionada em 14 de agosto de 2018, a Lei de Proteção de Dados Pessoais (LGPD) define o tipo e a forma como os dados podem ser coletados, tanto por empresas, como pelo governo e como estas informações poderão ser utilizadas.

Ou seja, as pessoas terão mais controle sobre seus dados pessoais, podendo visualizar, corrigir e excluir estas informações.

Mas você sabe exatamente quais os controles que você, como cidadão, terá direito de exercer em relação às empresas com as quais mantiver qualquer tipo de relacionamento? Por exemplo, a compra de um produto através de serviço de e-commerce (loja online)?

A E-TRUST, em parceria com a Afonso Fröhlich Advogados Associados, preparou um Guia Completo abordando os pontos mais importantes para que você fique por dentro. Você terá a oportunidade de entender o que é esta nova Lei de Proteção de Dados Pessoais (LGPD) e de quais direitos você terá daqui para frente.

Baixe agora o e-book completo sobre LGPD para consumidores