Medidas de cibersegurança: proteção de dados frente aos ataques cibernéticos

10/09/2021

A Lei Geral de Proteção de Dados, a LGPD, vigente no Brasil desde setembro de 2020, determina regramento específico para o tratamento de dados pessoais, prevendo direitos, deveres e obrigações relacionadas às operações em que ocorram a fluência destes dados.

Entre suas implicações, a lei impõe ao setor empresarial a adoção de medidas técnicas e administrativas, a fim de estabelecer padrões suficientes de segurança, aptos a proteger os dados pessoais, coletados interna e externamente, de acessos não autorizados, situações de eliminações ou destruições culposas ou dolosas, assim como a comunicação, alteração ou difusão de dados que conflitem com a legislação.

A lei adentra em território nacional, ao mesmo tempo em que uma onda crescente dos chamados ataques de sequestro digital (ransomware) torna-se uma assustadora realidade para as empresas do país.

Esses ataques, que por diversas vezes ocorrem por meio de acesso indiscriminado, se espalham pelos servidores da organização e capturam os dados ali encontrados, sendo imposta a condicionante de liberação, mediante pagamento (na maioria das vezes em criptomoedas), sob a ameaça de vazamento dos bens digitais.

Tal cenário decorre de uma realidade ainda mais preocupante. Em pesquisa realizada pela Mastercard ("Barômetro da Segurança Digital") restou demonstrado que, apesar de constantes ameaças, seja através de fraudes ou ataques digitais, poucas das empresas entrevistadas investiram de forma sólida em cibersegurança.

Nesse mesmo sentido, em estudo realizado pela Deloite com 122 empresas, constatou-se que, apesar de 75% das organizações investirem em segurança, os valores ainda são consideravelmente baixos, especialmente quando comparados com os pedidos de resgate, decorrente desses ataques cibernéticos.

Os danos causados por uma invasão de sistemas, que pode paralisar as operações da empresa por dias, não se restringem aos prejuízos monetários, observando se nessas situações extremo impacto reputacional da organização frente a seus clientes, parceiros comerciais, fornecedores e acionistas, que, a depender da extensão do incidente, podem ser irrecuperáveis.

Logo, o setor empresarial deve preocupar-se, desde a concepção de seus negócios e produtos, em oferecer experiências seguras aos seus titulares e colaboradores, com empenho em garantir medidas preventivas e emergenciais, a eventuais incidentes de informações, independentemente do porte da empresa e/ou da volumetria de suas bases de dados.

Dessa maneira, orienta-se pela observação contínua dos seguintes pontos:

— Manter atualizados softwares e sistemas operacionais;

— Utilizar soluções confiáveis de antivírus;

— Usar senhas fortes;

— Não abrir anexos ou clicar em links de remetentes desconhecidos;

— Evitar usar rede wi-fi não segura em locais públicos;

— Avaliações periódicas de vulnerabilidade que abranjam todo o ecossistema da empresa, ou seja, que inclua fornecedores e prestadores de serviço e classifique prioridades de risco;

— Criação de times vermelho (ataque) e azul (defesa).

Ainda nessa esfera, a LGPD não determina parâmetros mínimos, mas deixa claro que tão importante quantos as medidas técnicas são as medidas de conscientização de seus colaboradores e parceiros internos, no intuito de prover orientações sobre o papel que eles desempenham na proteção dos sistemas da empresa, por meio de treinamento continuado.

Parte das medidas de boas práticas de cibersegurança deve abarcar a adoção de política especifica de segurança da informação, atualizada com periodicidade, além da criação de plano de respostas à incidentes, no qual seja pormenorizada as áreas e responsabilidades envolvidas, a fim de mitigar os ricos inerentes aos ataques cibernéticos e descumprimentos legais.

Fonte: Conjur