Vazamento de dados: pequenas e médias empresas alvos preferidos dos cibercriminos, diz especialista

Grandes marcas, como Netshoes, C&A, Uber, já enfrentaram problemas com vazamento de dados de seus clientes ou funcionários. Porém, esse é um risco que ronda empresas de diferentes portes, inclusive os pequenos e médios negócios. Em entrevista ao Grupo Liberal, Marcelo Pereira, DPO de uma empresa de tecnologia e consultoria especializada em soluções de Governança, Riscos, Compliance e ESG, fala sobre tratamento de dados, discussões sobre o assunto e legislações vigentes. "Dependendo da situação, o vazamento de dados pessoais pode sim destruir a reputação de uma empresa", alerta. Veja a entrevista: 

1-Quais são as principais causas de vazamento de dados no Brasil?

Podemos citar os ataques cibernéticos (que têm aumentado e se sofisticado a cada ano), o erro humano e falhas de segurança. Estes dois últimos agravados pela falta de consciência de empresários brasileiros tanto na falta de adoção de medidas de segurança técnicas (por exemplo, investimentos em infraestrutura de TI), quanto em treinamentos em segurança da informação aos seus funcionários e prestadores de serviços.

Marcelo Pereira (Divulgação)

2- Como as empresas podem se proteger?

O primeiro caminho é buscar a consultoria de uma equipe multidisciplinar, com profissionais especializados em Segurança da Informação (processos e governança), Tecnologia da Informação (Infra de TI & Cybersecurity) e Jurídico (direito digital e LGPD), todos com foco na gestão de riscos. Esta equipe será capaz de dar o segundo grande passo, criar e gerir um programa customizado de governança em privacidade, envolvendo mapeamento de dados, melhoria de processos, elaboração de políticas, treinamentos, revisão de contratos, gestão de riscos, identificação de vulnerabilidades etc.

VEJA MAIS

3- Quais as dicas para as pequenas e médias empresas?

Se engana o pequeno ou médio empresário ao acreditar que ataques cibernéticos tem como foco grandes corporações! Na verdade, as PMEs são os alvos preferidos dos cibercriminosos que enxergam estas empresas como grandes detentoras de dados de negócios e pessoais, com acesso facilitado por força de estruturas de TI defasadas, ambientes inseguros e profissionais sem treinamento.

Mesmo sendo uma PME, é importante buscar a ajuda de uma consultoria especializada que avaliará, dentro da realidade financeira da empresa, as medidas essenciais que precisam ser adotadas para garantir a segurança e, principalmente, o cumprimento à LGPD. A propósito, esta mesma consultoria poderá verificar se a PME se enquadra em um regime diferenciado de adequação à Lei sendo considerada um agente de pequeno porte, o que, caso confirmado, flexibiliza diversas obrigações, resultando em menos investimentos a serem realizados e prazos maiores.

4- O que as empresas devem fazer caso ocorra o vazamento de dados?

A empresa necessariamente precisa colocar em prática o seu Plano de Gestão de Incidentes de Segurança, item obrigatório do programa de governança em privacidade.

Nele, todo o “roteiro” para a gestão daquela crise já está pré-determinado, tal como o acionamento do Gestor de TI da empresa e do DPO, isolamento do ativo afetado, identificação se o incidente envolve dados pessoais, o que complica um pouco mais, tendo em vista a obrigatoriedade de comunicar o incidente à ANPD, em dois dias úteis, quando tal vazamento gerar risco de danos aos titulares, além da adoção de diversas medidas necessárias até a erradicação do incidente. Ao final, um relatório técnico pormenorizado deve ser gerado pela equipe responsável, o que servirá de base para providências posteriores.

Ao contrário do que muitos imaginam, quando do incidente, salvo determinadas exceções, tal situação deve ser mantida em estrita confidencialidade, restrita às pessoas do comitê de gestão de crises, a fim de se garantir o direito fundamental dos titulares de dados e da própria empresa, bem como a preservação das evidências do incidente que, inclusive, poderá ser objeto de análise por autoridades.

Caso a empresa ainda não tenha um programa de governança em privacidade, recomenda-se entrar imediatamente em contato com uma consultoria especializada para a gestão específica daquela crise. De antemão, fica uma dica: não recomendamos o pagamento de qualquer “resgate” em ataques envolvendo sequestros de dados (ransomware), devendo o incidente ser avaliado caso a caso por profissionais competentes.

5- Como essas situações impactam na reputação das empresas?

Dependendo da situação, o vazamento de dados pessoais pode sim destruir a reputação de uma empresa, colocando por terra os esforços de anos na construção da imagem institucional, principalmente se a empresa não atuou com transparência perante o incidente ocorrido e não comunicou os titulares de dados pessoais, instruindo-os quanto às formas de reversão ou mitigação de eventuais danos gerados com o vazamento.

Importante lembrar que além deste grande prejuízo reputacional, a empresa poderá ser multada pela ANPD (até 2% do faturamento), ter seus dados bloqueados ou eliminados, impedindo a utilização, sem prejuízo de ações judiciais individuais propostas pelo próprios titulares de dados afetados, além de ações civis públicas ajuizadas pelo Ministério Público.

6- O que diz a LGPD sobre essas situações e quais os efeitos da Lei para as empresas?

A LGPD determina, em seu art. 46, que as empresas devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Neste sentido, as empresas precisam investir em tecnologia, identificar e gerir seus riscos, mapear seus dados pessoais e operadores, limitar os acessos a estes dados, revisar seus contratos, treinar seus funcionários e fornecedores, enfim, criar e implementar seu programa de governança em privacidade.

A adequação à LGPD acaba gerando um “efeito em cascata”, considerando que as grandes empresas têm exigido das PMEs, quando da celebração de novos negócios, para o fechamento de contratos, que estas empresas demonstrem o cumprimento à lei, sem o qual o negócio não é celebrado. A adequação acaba se tornado requisito essencial que garante a sobrevivência da empresa no seu nicho de mercado.