De acordo com a pesquisa "TIC Empresas 2021", promovida pelo Comitê Gestor da Internet no Brasil, apenas 50% das empresas brasileiras aparentemente têm uma política interna de cibersegurança, com maior proeminência nas médias e grandes empresas. As pequenas empresas ficam para trás também nesse quesito.
O fato chama a atenção para algumas conclusões iniciais. A primeira é que, se a maioria das nossas empresas é de pequeno porte, então a maior parte da malha de negócios deve estar descoberta do mínimo de medidas técnicas e gerenciais de proteção digital. Ou seja, o mercado brasileiro parece ser uma mina de dados a ser explorada por cibercriminosos.
Adicionalmente, tendo baixo calibre econômico, dificilmente as pequenas empresas investem muito em segurança digital, o que as deixa ainda mais vulneráveis do que as médias e grandes organizações. Ou seja, a maioria das empresas no Brasil é alvo fácil para golpes, invasões e vazamento de dados. Afinal, se forem atacadas, as menores tendem a apresentar menor estrutura de defesa e menor poder de reação.
Para piorar, sendo de pequeno porte, são provavelmente mais frágeis para enfrentar crises de segurança – serviço parado, sistema fora do ar, perda de bancos de dados, dentre outros incidentes – e têm menos cacife para bancar a reparação de danos. Ou seja, para a maioria das empresas brasileiras, o quadro de cibersegurança pode facilmente evoluir para o caos!
A verdade é que o gerenciamento de riscos digitais tem se revelado um dos desafios mais críticos para a maioria das organizações, independentemente do porte. Conforme cresce o nível de digitalização dos negócios, aumentam também os riscos ligados à segurança dos dados que estão sob responsabilidade legal de toda empresa.
E, para agravar o quadro, a partir da Lei Geral de Proteção de Dados, os riscos envolvidos com a segurança da informação passaram a ter uma dimensão ainda maior. Além dos impactos econômicos possíveis (como perda de produtividade, prejuízos financeiros, danos à marca etc.), existe agora o risco provável de sofrer penalidades administrativas e responsabilização judicial.
Essa é uma realidade que precisa ser enfrentada seriamente, mas de maneira adequada. Afinal, as medidas de proteção não podem inviabilizar a própria atividade econômica que elas deveriam viabilizar. Não adianta gastar todo o orçamento nisso, e tampouco seria producente amarrar toda estrutura operacional da empresa buscando risco zero.
Isso quer dizer o que parece óbvio: é preciso trabalhar a cibersegurança, sem travar as operações e iniciativas com excesso de restrições, mas também sem descuidar dos impactos negativos que podem advir justamente da falta de controles. É disso que se trata quando falamos da gestão de riscos digitais.
O problema é que, como dito acima, nem mesmo a adoção de políticas básicas de segurança da informação é uma realidade para a maioria das organizações. Quer dizer, sequer há regras, limites e processos claros na maioria das empresas sobre comportamentos de risco e medidas para evitá-los ou minimizar impactos.
Por outro lado, a saída desse quadro pode estar justamente na crescente "ameaça" da LGPD. Sim, a legislação, que traz inúmeras obrigações e responsabilidades, pode ser o divisor de águas para estimular a adoção de boas práticas de cibersegurança no mercado. Como se diz no dia a dia: se não for por bem, vai acabar indo por mal.
A tarefa, certamente, é complexa. Até porque, de um lado, dados pessoais costumam circular por praticamente toda a estrutura das empresas, de maneira pulverizada, em vários ambientes (e-mail, sistemas de terceiros, WhatsApp, servidores internos, redes sociais, planilhas etc.), o que aumenta os riscos de incidentes com essas informações (roubo de credenciais, vazamento de informações, sequestro de bancos de dados).
De outro lado, são variadas as regras estabelecidas pela LGPD sobre como lidar com dados de pessoas. Regras essas que devem ser observadas em cada uma das atividades dentro da empresa. Ou seja, atuar de maneira diversa do que prescreve a lei (com suas permissões, limites, obrigações, direitos etc.) é mais um risco a ser calculado no quadro atual.
Portanto, podemos dizer que as empresas correm pelo menos dois tipos de riscos ligados à proteção de dados: aqueles que podem impactar sua operação, finanças, reputação (riscos de segurança), bem como aqueles ligados às sanções e responsabilidades legais (riscos de conformidade). Além da queda, o coice, como se diz.
De todo modo, não dá para fugirmos dessa realidade. É preciso enfrentá-la. As ferramentas para isso estão ligadas à ideia de gestão de riscos. Isso deve ser realizado de maneira conjunta, pois a própria LGPD prevê obrigações de segurança digital que precisam ser cumpridas pelas empresas, sejam grandes, médias ou pequenas.
Gabriel Fortes, advogado na área de proteção de dados e segurança digital do escritório Fortes Nasar Advogados. Pós-Graduado em Direito Digital e Compliance. MBA em Liderança Estratégica e Gestão Financeira. Mestre em Direito Constitucional. CPC-PD.