A segurança da informação e serviços de privacidade ganham cada vez mais espaço na sociedade, envolvendo não só empresas, indústria da segurança, como também responsáveis pelas áreas de compliance e advogados. O tema ganhou força com a iminência da aprovação lei que trata sobre as regras necessárias para a proteção de dados pessoais no Brasil pelo Senado Federal, após ter sido aprovada na Câmara dos Deputados no dia 29 de maio.
Durante o Data Protection Forum, realizado nesta terça-feira, 19 de junho, promovido pela TI INSIDE, em São Paulo, os participantes discutiram a questão da proteção de dados, privacidade, a nova lei europeia (GDPR) e soluções técnicas e de gestão indispensáveis ao compliance e segurança da informação.
Embora muitas organizações já adotam políticas de segurança de dados e respeitam uma série de regras de compliance atendendo as mais diversas regulamentações nacionais e internacionais, há soluções das mais diversas para proteger os dados.
"O grande desafio é quem tem acesso aos dados, o responsável pelo gerenciamento dos dados e, nesse caso, muitas vezes o vazamento das informações está dentro da companhia porque esse profissional é quem tem todos os logs. Além disso, um hacker pode usar um código que, ao invés de entrar com o login de usuário, ele consegue acessar todas as informações do banco de dados sem que ninguém perceba, se passando pelo gestor do banco de dados por meio do SQL Injector", alerta Cesar de Afonseca, CEO e Fundador da Leadcomm.
A opinião é corroborada pela pesquisa apresentada por Vanessa Fonseca, Cybersecurity Strategy Executive na Accenture Brasil, que constatou que 53% dos incidentes de segurança tiveram origem principalmente pelo fator humano. Os índices de sucesso na identificação dos ataques não são satisfatórios – apenas 2% das companhias entrevistadas foram capazes de identificar a maioria dois ataques (81%). Além disso, 51% delas disseram que levam meses para identificar os ataques, apesar de que 75% das empresas que priorizam a proteção e prevenção em suas estratégias de segurança cibernéticas estão confiantes que suas ações estão atingindo os objetivos. No entanto, menos da metade sabe mensurar o impacto ou identificar potenciais causas de incidentes cibernéticos. "Desconhecem inclusive o potencial prejuízo financeiro causado pela queda do valor das ações, como aconteceu recentemente com Equifax e Facebook, que também demoram para recuperar o patamar até então de valor no mercado. Não é só questão de tecnologia, mas de negócios", enfatiza a executiva.
Além do acesso não autorizado a banco de dados das empresas, outro ponto sensível para proteção de dados – e usado como documento para tratar de litígio na esfera jurídica – é o e-mail. "Com o uso de e-mails crescendo 40% ao ano e sem expectativa de queda, não é uma questão de se – e sim, quando – você precisará produzir registros de e-mails", comenta Everton Cardoso, consultor Sênior da Arcserve, quando lembra que mais de US$ 1 bilhão já foram pagos por empresas que não estavam em conformidade com as regras de compliance, de acordo com estudo da IDC.
Diante da Lei Geral de Proteção de Dados, a indústria de tecnologia se aproxima cada vez mais dos advogados para esclarecer, por meio das ferramentas adotadas pelos clientes, as vantagens de cada tipo de solução. "Ainda não vejo uma sinergia real com os advogados", comenta Celso Oliveira, diretor da Quest Latam, "mas estamos abertos a estreitar essa relação". A SCI, que representa a PK Ware/PK Zip e parte de um grupo de empresas, conta com parceiros na área jurídica inclusive em mercado verticais, garante Oduvaldo Zeferino, especialista em soluções para proteção das informações da empresa.