É comum escutar o mantra de que "Os dados são o petróleo da Era Digital", para enfatizar a dependência que a economia mundial tem dos dados, e o papel estratégico que eles ocupam atualmente para maximizar valor e gerar diferenciação a partir de algoritmos inovadores.
O reinado dos dados é um fato, assim como o do petróleo (até hoje). Vivemos em uma era dominada pelo conceito de que coletar e armazenar grandes quantidades de informações (e usá-las de forma inteligente) é vital para estabelecer diferenciais competitivos. Conceitos de Big Data e Data Analytics são peças-chave nas estratégias de negócio e de tecnologia.
Assim, busca-se coletar o máximo possível de dados sobre os clientes e sobre as interações destes com o negócio. Quem são, dados demográficos, onde estão (local físico e endereço IP), perfil de consumo, cookies, entre outros, e armazená-los por tempo indefinido. O custo de armazenamento tende aceleradamente para baixo. As tecnologias para acessar os dados armazenados com maior rapidez, e tê-los replicados, também evoluíram de modo a facilitar e baratear o processo. E pode-se pensar que mesmo o dado que hoje não tem valor, pode ser monetizado amanhã em algum modelo de negócio inovador. Então, se custa cada vez menos coletar e armazenar, por que não fazê-lo?
Mas é interessante observar que, com a Lei Geral de Proteção de Dados – LGPD, os dados (pessoais) vão se assemelhar com o petróleo ainda um pouco mais: petróleo é perigoso para transportar, processar e armazenar – é tóxico, inflamável e já gerou muitos acidentes graves ao longo da história. Pois agora, tratar dados pessoais será tão perigoso, "tóxico" e "inflamável" quanto manipular petróleo. Assim como ocorre com o petróleo, sua organização deve buscar tratar dados o mínimo possível, e quando o fizer terá que tomar medidas de segurança essenciais.
Uma parcela considerável dos incidentes de segurança de grande escala que ganham manchetes mundo afora envolve o roubo de dados pessoais de clientes e cidadãos – que estão sob custódia por uma empresa ou agência de governo. São aqueles incidentes que derrubam o valor de ações, causam perdas de clientes e processos na justiça, encerram carreiras de executivos de segurança e de tecnologia.
Por trás desses incidentes, encontramos criminosos cada vez mais motivados e melhor equipados. Organizações criminosas ou mesmo agências de inteligência. As motivações são diversas, mas, principalmente, fraude, chantagem ou obtenção de vantagens políticas. Ou seja, a ameaça é real e todas as organizações, especialmente as (muitas) que armazenam dados de milhões de pessoas, são um alvo em potencial.
Com a LGPD, os impactos ao negócio e os riscos aumentam. Seja por penalidades, que podem chegar a R$ 50 milhões, seja por processos de responsabilização, o risco de perda econômica decorrente de um incidente de segurança com roubo de dados pessoais aumentou de forma significativa.
O que fazer então? Antes de qualquer coisa, é fundamental mapear quais dados são atualmente tratados pela empresa. E porquê. A empresa deve deixar de tratar quaisquer dados que não tiverem uma razão de negócios sólida para que sejam tratados. O foco deve estar em evitar riscos desnecessários. Uma vez mapeados os dados, deve-se entender o risco e o impacto de incidentes relacionados a eles, para que os controles de segurança necessários sejam identificados e implementados.
Outro ponto essencial – e requerido pela LGPD – é a implementação de mecanismos que detectem incidentes, permitam ações de resposta ágeis e permitam reportar o que houve às autoridades. Lembrar que a publicidade dos incidentes de segurança agora pode ser requerida, ou seja, esconder incidentes do mercado, consumidores e opinião pública vai ficar cada vez mais difícil. Por isso, uma maior importância não apenas da prevenção, como dos mecanismos de detectar e responder satisfatoriamente. Se é prejudicial que ocorra o incidente, é ainda pior não saber, tentar esconder ou perder o controle da situação. Vide caso Equifax nos Estados Unidos.
Outro ponto é uma camada para proteger bases de dados de acessos indevidos via rede. Há inúmeras soluções no mercado para isolamento dos dados. Algumas, como a microssegmentação, podem ser realizadas de forma simples e ágil. Trata-se de uma solução definida por software, que não requer mudanças na infraestrutura e pode ser implementada de forma incremental e sem ruptura tecnológica. E pode proteger os dados com criptografia fim-a-fim, ou seja, desde um desktop até o servidor dentro do data center da empresa, ou mesmo até servidores virtuais em nuvem pública.
E finalmente, a proteção de acessos indevidos causados por roubos de identidade – roubos e perdas de senhas, senhas compartilhadas, entre outros. Isso é facilmente implementado com o uso de soluções de autenticação forte (multifatorial), incluindo além dos tradicionais usuário e senha algum mecanismo como token virtual, biometria (impressão digital, reconhecimento facial, voz ou íris, por exemplo). Dependendo da natureza dos dados (como dados pessoais sensíveis), diferentes mecanismos podem ser necessários para mitigar os riscos de tratá-los.
No final do dia, é uma decisão de negócio definir qual dado pessoal faz sentido coletar e por quanto tempo armazená-lo. Mas note que a LGPD requer que seja igualmente consistente a análise e decisão acerca dos riscos representados por cada dado armazenado, e protegê-los adequadamente para evitar que os mesmos se tornem o combustível de um grande ciberincidente.
Leonardo Carissimi, diretor de Soluções de Segurança da Unisys na América Latina.