O custo da violação de dados

O custo da violação de dados
Foto de Fernando Arcos

Cada vez mais pessoas e empresas vêm tomando consciência das implicações da nova era em que vivemos, na qual as informações podem valer fortunas. E este é o grande motivador do cibercrime. Porém, como lidar com esta realidade ainda é um desafio para muitas empresas. Uma pesquisa realizada nos últimos meses pela Fiesp com 261 empresas de todos os portes, identificou que 36% delas já sofreram algum tipo de ataque cibernético. Dentro deste universo, outros 36% confirmaram que os atacantes obtiveram êxito em suas investidas.

Conforme o Relatório da Atividade Criminosa Online no Brasil, publicado em fevereiro de 2021 pela empresa Axur, 2,8 bilhões de registros foram expostos no ano passado, número que manteve o Brasil, pelo segundo ano seguido, como o campeão mundial em vazamento de dados. Hoje, no contexto em que estamos, é inadmissível usuários de acesso altamente privilegiados, como administradores de sistemas e executivos, não terem, no mínimo, um duplo fator de autenticação em seus acessos.

Da mesma forma, não é aceitável que uma empresa não tenha um processo de gestão de identidades forte, ancorado num software de qualidade. Para que uma pessoa que saia da empresa seja descomissionada de todas as aplicações ou, quando deixa de participar de um projeto específico com acessos especiais, perca esses acessos.

Para tentar evitar os crimes cibernéticos e diminuir os impactos aos titulares de dados pessoais, o artigo 46 da Lei n.º 13.709/2018 (Lei Geral de Proteção de Dados — LGPD) determina que:

“Os agentes de tratamento de dados pessoais devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado, ou ilícito”.

Mas quais são as principais dúvidas que as empresas têm para se adequar a LGDP?

Algumas dúvidas já começam na nomenclatura. Muitos dizem: “vamos implementar a LGPD”, mas, não tem como implementar uma lei, mas sim adequar as empresas às exigências normativas trazidas pela Lei.

💡

Qual tipo de ambiente é ideal para a proteção de dados pessoais?

Outra grande dúvida para os empresários é o tipo de ambiente onde os dados pessoais são protegidos. Muitos acham que apenas dados pessoais que trafegam pelos ambientes virtuais, ou dados lógicos, que estão protegidos, isso também não corresponde à verdade. Todos os dados pessoais, sem exceção, tanto em ambientes lógicos, sistemas e internet, como também aqueles que estão em papéis estão protegidos pela LGPD. Assim, tirando o paradigma que apenas os dados em sistemas estão protegidos, vemos que o processo de adequação à LGPD vai muito além do que entendem as empresas.

Outra dúvida comum é com relação aos dados de CNPJ, esses não estão protegidos, uma vez que não são dados pessoais, mas sim empresariais. Mas, aqui cabe uma ressalva, os contratos assinados por pessoas jurídicas, precisam ser protegidos, enquanto, os dados pessoais dos representantes legais das empresas, como nome, RG, CPF, entre outros, constam expressamente desses contratos e, esses últimos, gozam de proteção legal.

E ainda existe muita confusão com a palavra “tratamento” de dados pessoais, entendendo que tratamento seria apenas o tratamento dado pelo pessoal da tecnologia da informação. Tratamento conforme a LGPD é muito amplo e abrange: “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”. (artigo 5°, inciso X, da Lei 13.709/2018). Dessa forma, qualquer tipo de contato com o dado ou “uso” é considerado tratamento de dados pessoais.

Proteger dados pessoais e sensíveis, estando 100% adequado a LGPD é o objetivo principal do Data Loss Prevention (DLP) da Epsoft. O sistema permite ações como acesso remoto, geração de evidências e relatórios, alertas, SMS, entre outros.

O Data Loss Prevention Epsoft permite à empresa operacionalizar e monitorar as ações realizadas pelos colaboradores na utilização de dados. É uma ferramenta configurável — para o momento que sua empresa está na jornada de adequação a LGPD por subsídios  e evidência — inclusive por imagens, para que você possa ajustar suas ações em relação à segurança de dados.