Neste artigo de Ramicés dos Santos Silva, CISO da Safera Data Protection e membro do comitê International, publicado originalmente em Inforchannel, trata sobre proteção de dados e cultura das instituições.

Levantamento divulgado em junho pela PSafe indicou um aumento de 47% no número de empresas vítimas de vazamentos de dados desde o início da pandemia do novo coronavírus. Não por acaso: a quarentena e a adoção do home office ocorreram em ritmo acelerado e expuseram uma situação comum a incontáveis empresas. Falta à imensa maioria das organizações do País incluir a proteção de dados de clientes, colaboradores e parceiros no dia a dia do negócio. O assunto ainda não ocupa o espaço devido na chamada cultura organizacional.

Não por acaso, portanto, a correria de profissionais dos escritórios corporativos para salas e espaços improvisados, atendidos por conexões de internet domésticas, aumentou enormemente o risco de ataques virtuais. Principalmente porque não havia protocolos estabelecidos, planos de contingência, nem estrutura e tempo suficientes para verificar a situação da proteção de máquinas pessoais e outras “portas” que foram abertas nessa movimentação. Além disso, as próprias pessoas não estavam treinadas adequadamente – e, vale acrescentar, mesmo companhias que investem alto em segurança da informação tem no indivíduo não preparado, mesmo o mais bem intencionado, um ponto fraco na cadeia de proteção de dados.

Group of people working out business plan in an office

Some-se a isso uma certa despreocupação vista entre diversos gestores após a decisão do Congresso de postergar a entrada em vigor da Lei Geral de Proteção de Dados (LGPD). Mas há um equívoco na percepção de que o assunto tenha caído em uma espécie de vácuo legal. Pelo contrário: a Constituição Federal e outros dispositivos legais protegem a privacidade e há punição para casos de vazamento de dados. A Justiça do Trabalho determinou recentemente, por exemplo, que uma das maiores companhias de saneamento do País indenizasse, por danos morais, um ex-empregado do setor administrativo que teve seus dados sigilosos expostos no sistema interno de informação da empresa. Também ganhou visibilidade imediata a exposição de dados de usuários de um aplicativo de prática esportiva.

Mas o que as empresas devem fazer para mitigar os riscos de vazamento ou mesmo, em caso de um incidente ocorrer, minimizar os impactos (danos à imagem, multas ou perdas)? E se além dos dados pessoais isso inviabilizar temporariamente a operação da empresa? Será que essas perguntas já foram encontradas? O fato é que as respostas já deveriam existir mesmo antes de qualquer incidente.

Isso exige a preocupação permanente com o assunto. O passo inicial é estabelecer a chamada Governança, série de processos e procedimentos que garantam a proteção de todos os dados custodiados à empresa. A preocupação com o tema deve ficar clara a partir da alta gestão e permear todos os níveis da empresa – com a implementação de comitês multidisciplinares que tenham como foco a gestão da segurança e proteção dos dados e que garantam a gestão contínua de planos de mitigação. Estamos falando do cuidado com as pessoas, os processos e a tecnologia, o que exige diversas medidas: criação de um plano de capacitação de todos os níveis da empresa com foco em segurança e proteção de dados; conscientização como processo contínuo com comunicação adequada e criativa para gerar interesse de todos; formação de pessoal e até readequação contratual para todos os serviços terceirizados. Palestras, treinamentos, workshops e semanas temáticas são bem vindas na estratégia.

Quanto aos processos é necessário olhar para toda a cadeia de valor, buscando possíveis fragilidades desde a coleta dos dados na empresa até o seu descarte. Também é necessário olhar para questões do dia a dia, como a gestão das identidades digitais (quem são os usuários que acessam nossos sistemas? Como é acompanhado esse acesso ?) Em paralelo, há que se acompanhar com atenção o que ocorre na organização, com auditorias que garantam que os controles implantados na empresa realmente são efetivos, o que pode ser feito com testes de invasão, simulação de e-mails maliciosos entre outras abordagens que devem ser consideradas. Buscar manter um sistema de gestão da segurança da informação com base nas boas práticas de mercado além de contribuir para a melhoria de maturidade em termos de segurança da informação também cria padrões que agilizam a atuação em caso de um incidente. Nessa situação, vale acrescentar é preciso ter sempre um plano de resposta com a descrição das ações a ser implementadas, plano de comunicação e recuperação.

Antecipar os cuidados com a proteção de dados é essencial. A empresa que demonstra ser diligente, que possui políticas claras além de uma obrigação legal pode ser essencial para a gestão de uma crise na ocorrência de algum incidente de segurança com vazamento de dados pessoais. Isso vale tanto para uma eventual ação judicial quanto para questionamento da autoridade nacional de proteção de dados, quando essa estiver em operação.

Infelizmente é comum que apenas a emergência de uma crise faça a organização perceber que não tinha os planos de contingência adequados.Isso ocorre por falta de um plano consistente de continuidade de negócio e recuperação de incidentes; por falta de controles adequados e eficientes na mitigação desses riscos e pela ausência da chamada terceira linha de defesa, que envolve auditorias e testes de efetividades dos controles. Integrar a proteção de dados à cultura da organização é vital para evitar a descoberta na pior das horas de que aquele backup (que custa caro manter) não serve para nada depois de um incidente. Por um descuido qualquer ou falha estrutural, também o arquivo está corrompido ou comprometido.

Por Ramicés dos Santos Silva, CISO da Safera Data Protection e membro do comitê International | CCISO na EC-Council

Publicado em Inforchannel.