Assegurar budget ainda é entrave para privacidade e proteção de dados

Neste dia 28 de janeiro comemoramos o 13º Dia Internacional da Privacidade de Dados e o momento não podia ser melhor para falarmos sobre nossas responsabilidades sobre as informações pessoais de terceiros e de sua proteção. Com a implementação do Regulamento Geral de Proteção de Dados europeu (GDPR), o assunto ganhou uma nova importância, porém as empresas ainda caminham a passos curtos para se adequarem.

Empresas latinas com operação na Europa já deveriam estar atuando em conformidade com a Lei Geral de Proteção de Dados (LGPD) e, independentemente disso, praticamente todos os países da região contam com uma similar. Há também projetos de lei em tramitação no legislativo com o objetivo de implementar regras mais rígidas como à europeia. Este é o caso de Chile, Colômbia e Brasil – sendo este o mais avançado neste sentido.

Entendo que regionalmente ainda há (pouco) prazo para se adequar, mas o que me gera maior preocupação é o risco de multas pela LGPD europeia, uma vez que ela é responsável por 50% dos investimentos diretos no Brasil e por 33,5% dos investimentos estrangeiros diretos no México. Isso sem contar que existem cerca de 30 milhões de brasileiros com ascendência italiana, além dos que buscam pela possibilidade de dupla cidadania portuguesa e espanhola. Uma vez cidadão europeu, a LGPD passa a valer automaticamente para ele.

Em 2018, vimos a Uber receber uma multa de R$ 4,5 milhões do Reino Unido e da Holanda, e este valor soma-se ao acordo com o governo norte-americano totalizando R$ 500 milhões por conta do vazamento de dados de 2016. Na semana passada, a França multou o Google em 50 milhões de euros por violar a lei de privacidade. Mesmo considerando valores proporcionais, uma multa de 4% do faturamento (índice europeu) é extremamente alta para as empresas latino-americanas.

O primeiro passo para qualquer empresa agora deve ser a avaliação de seus processos com relação à coleta, processamento e armazenamento de informações de terceiros. Essa análise – que levará alguns meses para ser concluída dependendo da complexidade da empresa – é a chave para definir prioridades e próximos passos.

Uma segunda análise que precisa ser feita é em relação à proteção destes dados e o quanto este tema precisa ser levado mais a sério. Mesmo com o WannaCry, em 2017, ainda há empresas negligenciando a segurança da informação e a prova disso foram os inúmeros vazamentos de dados que vimos em 2018: Facebook, Tivit e Marriott International – só para citar alguns.

O rico banco de dados criado pelos cibercriminosos foi responsável pelo forte crescimento das campanhas de phishing na América Latina e no Brasil, que aumentaram respectivamente 115% e 110% em comparação com 2017, de acordo com nossos analistas de segurança.

Na média, foram identificados 192 mil ataques de phishing por dia na região e essas mensagens são responsáveis por permitir o acesso às informações pessoais sem o uso de códigos maliciosos. Já os ataques com malware cresceram 14,5% no mesmo período – sendo que Brasil registrou um crescimento de 20%, com uma média de 3,7 milhões de ataques por dia.

Lembre-se que agora a empresa passa a ser responsável pela segurança dos dados e terá que demostrar que sua estrutura está adequada para garantir a integridade das informações. Neste sentido, nossa pesquisa mostrou que 78% dos diretores de segurança da informação (Chief Information Security Officers – CISOs) da América Latina consideram as violações de segurança inevitáveis e as infraestruturas complexas e a mobilidade são as principais preocupações. Para entender este desafio de forma simples, basta ver quantas empresas adotaram o home office ultimamente. Ao acessar arquivos remotamente, fica muito fácil o comprometimento da infraestrutura por um cibercriminoso, já que o ser humano é sempre o elo mais fraco da cadeia.

É claro que existe tecnologia para evitar isso. Uma solução de controle do tráfego web consegue bloquear até 95% das ameaças antes que elas cheguem ao equipamento – em outras palavras, isso limita ou reduz drasticamente o fator humano.

Inclusive, essa tecnologia auxilia a ter maior controle sobre a saída de informações da empresa, permitindo bloquear o compartilhamento (ou vazamento) de certos tipos de arquivos. E com políticas e configuração corretas, é possível aplicar este controle e bloqueio no nível do dispositivo, principalmente os móveis que já são responsáveis por 15% dos casos de compartilhamento indevido de informações.

Tenho certeza que isto não é novidade para nenhum CISO. O grande desafio dos diretores de segurança da América Latina é mudar a percepção da liderança das empresas. Historicamente, só se leva à sério os investimentos em segurança após uma violação ou vazamento de informações drástica. Infelizmente, antes disso, a negociação é sempre pelo menor preço, uma vez que é difícil assegurar verba quando não se pode garantir que não haverá vazamentos.

E é aqui que as regulamentações desempenham seu papel essencial, pois uma legislação em vigência é usada por 38% dos CISOs para justificar budget quando não é possível apresentar um retorno tangível. Espero que, com o esclarecimento dos possíveis danos à empresa e a LGPD, possamos juntos proteger a privacidade e a segurança das informações de clientes, parceiros e fornecedores.

Fonte: Computerworld

28 de janeiro de 2019