Vazamento de dados são associados às ameaças, com a intenção de interromper negócios, espionagem industrial e roubo de dados pessoais ou empresariais. Há ações que podem evitar esse transtorno com respaldo da LGPD.
Brasil é o 4° país com mais ataques cibernéticos
Vazamento de dados no Brasil, o quarto país, com mais ataques cibernéticos no mundo e com um prejuízo às empresas que atinge o patamar de R$ 30 milhões por ano. Esse tipo de atividade é frequente e por isso, tem aumentado a necessidade de investimento em segurança da informação. O megavazamento de dados, ocorrido em 2021, de 223 milhões de brasileiros, o qual incluiu dados de pessoas falecidas, expôs informações pessoais dos cidadãos como o número de CPF, tipo de conta telefônica e número, sexo, entre outros dados. Assim, com a Lei Geral de Proteção de Dados (LGPD) as empresas que não garantirem a segurança e privacidade das informações pessoais dos usuários serão punidas severamente. Portanto, é fundamental que as organizações se preparem para evitar o vazamento e garantir que seus clientes estejam totalmente protegidos.
Vazamento de dados são evitados com 6 ações efetivas
1 – Examine as políticas de segurança de informação de sua empresa.
Antes de mais nada, mudar comportamentos de segurança é um desafio em todas as empresas. A política de segurança de uma empresa jamais será concluída já que requer de atualização contínua à medida que a tecnologia e as estratégias mudam frequentemente. É apresentado no documento, uma declaração mostrando todos os procedimentos de segurança que serão usados na execução e ainda, quais métodos serão utilizados para avaliar a eficácia da política de segurança. É preciso concentrar todos os esforços na transformação de velhos hábitos dos colaboradores. Isso consiste da maneira em que lidam e tratam os dados a que têm acesso.
2 – Defina o DPO (Data Protection Officer) de sua empresa para a segurança de dados.
A preocupação em ter um profissional competente vem crescendo a cada dia já que muitas empresas vão precisar ter um DPO. Do mesmo modo, ele tem a função e responsabilidade de possuir conhecimentos avançados sobre proteção de dados e capacidade de cumprir tarefas relacionadas à segurança após a LGPD. Basicamente, a diferença entre controlador e operador está no poder de decisão. Enquanto o controlador é o responsável pelas informações, o operador é quem, a partir das ordens dadas pelo controlador, atua sobre os dados. Por isso, é essencial que o DPO conheça a legislação, tenha experiência em governança e entenda de segurança da informação.
3- Garanta o consentimento para a coleta e o tratamento de dados.
O usuário deverá saber exatamente da empresa, para que seus dados serão utilizados e, sempre terá o direito da revogação. A LGPD foi criada para que tenhamos um controle maior sobre o que acontece com nossos dados pessoais coletados online. Porém, as empresas, devem respeitar uma das bases legais previstas nessa lei. Trata-se sobre o direito do titular possui sobre seus dados. Isso incluí o pedido, a qualquer momento, que a empresa informe quais são os dados pessoais que ela detém e ainda, conta com o livre arbítrio para decidir que aceita ou se revoga o consentimento.
4-Segurança na Tecnologia da Informação; monitorização em tempo real e aplicação de práticas seguras para evitar vazamentos ou sequestros de dados.
Antes de mais nada, é preciso investir em medidas preventivas e métodos que aumentem a segurança dos sites e sistemas que armazenam bancos de dados. É preciso destacar que apesar dos usuários, ainda não estão conscientizados sobre os riscos que correm e de como seus comportamentos contribuem para as vulnerabilidades. É fato que a maioria já tem a noção de como o vazamento de informações pode ser prejudicial. Devido à proporção das consequências deste tipo de crime, cabe as empresas redobrar os cuidados com os seus profissionais que possuem acesso a essas informações.
A ameaça é real, e precisa de uma ação preventiva para evitar o vazamento de dados.
5- Reexamine os dados pessoais já coletados pela empresa; é necessário solicitar o consentimento sempre aos titulares.
Com o consentimento obtido deve haver a possibilidade de o titular escolher livremente quais as operações ele autoriza ao controlador.
6 – Boas práticas de LGPD junto aos fornecedores; analise se os contratos estão em conformidade com a LGPD. Falhas colocam em risco seus usuários, a imagem de sua empresa e a reputação da marca.
Empresas que rapidamente conseguirem aplicar suas boas práticas ao compliance da lei, têm uma vantagem em relação as outras empresas, já que a chance de aumentar a confiança e credibilidade junto aos clientes e parceiros é quase uma certeza. Afinal, com melhoria nas vendas e melhor posicionamento da marca é fato que o crescimento acontece. Por mais que haja um cuidado com o uso de dados pessoais dentro do negócio, nenhuma empresa está livre de um vazamento. Portanto, o correto é criar um Relatório de Impacto à Proteção de Dados Pessoais e definir as ações a serem tomadas em casos de vazamento de informações. Campanhas de conscientização em Segurança da Informação são ferramentas importantes para reforçar boas práticas e educar as equipes. Além disso, a organização deve informar a Autoridade Nacional e também os proprietários dos dados que tiveram vazamento.
Com o auxílio da equipe interna, de profissionais da área de TI e do setor jurídico é possível mapear e melhorar os processos a fim de evitar falhas de segurança.
Vazaram meus dados!
A LGPD manda que a empresa informe de imediato a autoridade nacional e ao titular, que teve seus dados vazados, pelo incidente de segurança; refere-se também que a ocorrência deverá ser dirigida em um prazo razoável. Porém, ainda não existe definição de tempo, mas certamente isso mudará no futuro. Por enquanto, seguimos as normas internacionais que estipulam um prazo de 72 horas.
Vazamento de dados mais comuns que ocorrem são:
CPF e identidade;
Cartão de crédito;
Informações corporativas;
Processos de fabricação;
Lista de clientes.
Plano de resposta a vazamento de dados
Um conjunto de ações, que visa reduzir o acesso não autorizado a dados e que consiga conter os danos causados, é o que conhecemos como plano de resposta a vazamento de dados. Na elaboração do processo, cada etapa servirá de base para suas políticas e para a segurança. Acompanhe:
Métodos para recuperação de desastre;
Identificação dos dados confidenciais e críticos da sua organização;
Definição de ações para proteção com base na gravidade do impacto de um ataque;
Análise da atual legislação sobre violação de dados;
Avaliação de riscos do seu ambiente de TI e identificação de áreas vulneráveis;
Análise de impacto nos negócios; etc.
Os recursos disponibilizados na nuvem possuem atributos próprios que impulsionam a construção e a execução dos planos.
Violações e roubo de dados
Violações de dados são impedidos quando envolvem noções básicas de segurança bem conhecidas que são:
- Uso de senhas fortes;
- Aplicação de proteções, que inclui processos e políticas de segurança;
- Realização de testes contínuos de vulnerabilidade e penetração;
- Uso de hardware de armazenamento seguro de chaves;
- Aplicação dos patches de software para todos os sistemas;
- Uso de hardware para gerenciamento de chaves e proteção de dados.
A utilização de criptografia de dados, certificados digitais e autenticação estão dentro do conjunto de práticas recomendadas.
Política de Segurança da Informação
A política de segurança de uma empresa jamais será concluída já que requer de atualização contínua à medida que a tecnologia e as estratégias mudam frequentemente.
É apresentado no documento, uma declaração mostrando todos os procedimentos de segurança que serão usados na execução e ainda, quais métodos serão usados para avaliar a eficácia da política de segurança.
Equipe treinada, equipe capaz!
Treinamento e capacitação dos colaboradores é uma atividade poderosa para impedir vazamento de dados.
- Conhecimento sobre situações que podem disponibilizar o vazamento de dados, como práticas usadas pela engenharia social;
- A medida que ações sejam executadas, a equipe é capaz de garantir, que os dados sejam criptografados conforme as políticas e planos de segurança;
- Certificação de que os processos sejam dinâmicos e automáticos. Dessa forma, conseguirão atingir a conformidade das legislações;
- Assegurar a conscientização e a importância da segurança da informação reduz riscos de ataques cibernéticos.
Empresas devem investir em segurança
Empresas devem investir em segurança, bem como em plataformas transparentes com acesso a fiscalização por parte dos titulares e em criptografia de banco de dados. Além, do cumprimento a LGPD através da figura do encarregado de dados.
Em caso de vazamento de dados, a LGPD dispõe um protocolo seguido pelo controlador:
Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
- § 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:
- I – A descrição da natureza dos dados pessoais afetados;
- II – As informações sobre os titulares envolvidos;
- III – A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
- IV – Os riscos relacionados ao incidente;
- V – Os motivos da demora, no caso de a comunicação não ter sido imediata;
- VI – As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
As multas podem chegar a 2% do faturamento da sua empresa, limitada a R$ 50 milhões.
Cidadão recebe proteção da LGPD
Essa lei ampara os cidadãos que se sentirem lesados em caso de vazamento de dados pessoais. Dessa forma, é possível obter uma reparação em juízo por meio de ações individuais ou coletivas. Porém, para ter êxito terá que:
a) comprovar que de fato ocorreu um vazamento;
b) apontar claramente a origem do vazamento;
c) indicar que as medidas de segurança foram insuficientes ou negligentes;
d) provar que houve dano e que não teve culpa na infração.
Vazamento de dados LGPD
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I – Mediante o fornecimento de consentimento pelo titular;
O consentimento está descrito no Artigo 5º, XII, definido por: “manifestação livre, pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”.
- Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
- Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
Impactos da pandemia
O mercado precisou se adaptar rapidamente a essa nova realidade, o que resultou em inúmeras organizações migrando para um ambiente digital.
Segundo, a Rakuten Advertising que realizou em 2020 um estudo apontando que 86% dos brasileiros priorizam as compras por meios digitais e, que essa será a principal forma de consumo para os próximos anos. Como consequência, a LGPD ganha ainda mais força nesse novo contexto digital, garantindo a segurança dos usuários ao estipular regras para evitar vazamentos, manipulação e violações de dados pessoais.
Incidentes de Segurança
Em 2019, o Instituto Ponemon, realizou um estudo constatando que 63% das pequenas e médias empresas tiveram algum tipo de incidente com vazamentodedados. Para a National Cyber Security Alliance, 25% das pequenas empresas decretaram falência após ataques de hackers.
A pesquisa demonstrou que o Brasil é o país com maior chance de ter sua segurança violada, ou seja, 43% das empresas brasileiras podem sofrer ciberataques. Esse é o costume de não investirem pesadamente em Segurança da Informação. Isso, se deve a falta de uma cultura de proteção digital no Brasil. Dessa forma, são alvos fáceis de hackers.
As empresas brasileiras precisam evitar os incidentes de segurança como uma real ameaça. Caso não tenha um protocolo muito bem definido para proteger seus dados e assim, rapidamente reagir a um vazamento, sua organização estará fadada a ter muitos problemas. Portanto, proteja-se!
Prioridade
É preciso ficar claro que garantir a proteção dos dados não consiste em um gasto para a empresa, mas sim em um investimento estritamente necessário. Afinal, a LGPD chegou para reafirmar a obrigação e a responsabilidade que toda organização deve ter quando o assunto é a Segurança da Informação de seus clientes ou usuários.
