Por mais que possam parecer ser uma questão moderna, as violações de segurança e de privacidade não são nenhuma novidade. Desde que as pessoas começaram a se comunicar, sempre existiram aqueles que queriam, de alguma forma, descobrir o que estava sendo comunicado, seja escutando uma conversa sem que os outros percebessem, seja interceptando comunicações eletrônicas. Da mesma forma, desde que surgiram as empresas, e essas empresas começaram a manter registros de suas atividades, esses dados foram visados por concorrentes e por atores mal-intencionados.
A segurança da informação, portanto, não é um problema novo para as empresas. A relevância deste problema, no entanto, veio aumentando ao longo dos séculos e décadas e, nos últimos anos, cresceu exponencialmente. Isso se deve tanto à explosão na quantidade de dados que as empresas coletam e armazenam, quanto à evolução do papel desses dados dentro das organizações. Na economia dos dados, onde as informações são um dos principais ativos das empresas, a proteção desses dados passa a ser uma obrigação legal e fiduciária para os diretores e representantes das mesmas.
E, embora a conversa naturalmente se concentre na questão dos dados pessoais, a proteção de dados deve, necessariamente, olhar além das informações dos indivíduos. Como já comentamos antes, a economia dos dados não é sobre a venda de dados de pessoas, mas sim da maximização do valor extraído dos dados operacionais das empresas. Informações que vêm das operações têm valor tão grande quanto, ou até maior, do que qualquer dado de cliente. Imagine, por exemplo, uma empresa que desenvolve jogos de videogame e tem o código-fonte dos seus produtos roubado, ou uma empresa de entretenimento que tem scripts de filmes e séries vazados para o público ou concorrentes. Situações como essas, que não envolvem nenhuma informação pessoal, podem trazer mais prejuízos do que o que normalmente entendemos como um “vazamento de dados”.
O foco nas informações pessoais, embora exigido pela LGPD e por outras regulamentações, acaba muitas vezes por se tornar um problema. As empresas criptografam as informações dos seus clientes, protegem esses dados através de sistemas e processos de segurança, e ficam com a sensação de “dever cumprido”, esquecendo de proteger outros tipos de dados. A segurança de informações “de negócio”, que não incluem dados pessoais – como planilhas e documentos, ou mesmo sistemas de apoio, como ERPs – é deixada em segundo plano e sofre com vulnerabilidades simplesmente por uma falta de foco.
Pode parecer besteira, mas informações operacionais podem ser utilizadas para antecipar os resultados financeiros das empresas, levando, por exemplo, a manipulação do valor das ações no mercado. Podem também ser utilizados por concorrentes para obter vantagens desleais. O caso de 2015 da Ticketmaster, que acessou indevidamente dados de um concorrente para roubar clientes, é emblemático. O que é ainda pior é que identificar esse tipo de vazamento é muito mais complexo do que identificar o desvio de dados pessoais. Quando são roubados, dados pessoais são normalmente comercializados através de canais específicos, que podem ser monitorados e acompanhados por pesquisadores, facilitando a identificação de vazamentos. No caso de dados operacionais, o vazamento pode persistir por anos sem ser detectado, aumentando ainda mais o potencial prejuízo.
Portanto, nem sempre o vazamento de dados operacionais ocorre de forma direta, simplesmente porque uma informação não foi protegida corretamente, ou porque um documento ficou exposto em uma pasta que não deveria. Muitas vezes, concorrentes – ou atores mal-intencionados – exploram os sistemas legítimos das empresas para obter dados confidenciais de maneira indevida. Imagine, por exemplo, uma companhia aérea que desenvolveu um algoritmo proprietário para precificar os assentos em um voo, obtendo uma vantagem competitiva no mercado. Um concorrente pode montar um processo para ficar, de maneira automatizada, compilando os preços exibidos para diferentes tipos de clientes em diferentes situações e momentos. Com esses dados, pode usar engenharia reversa para replicar o algoritmo de precificação e, assim, eliminar a vantagem da empresa original, ou até mesmo sempre colocar preços 10% mais baixos, prejudicando as vendas.
Na economia dos dados, o valor não está apenas nas informações, mas também nos produtos que são criados a partir delas. Algoritmos, análises, previsões e outras coisas que tem o seu valor atrelado aos dados nos quais se basearam. E tanto os dados quanto os produtos derivados só têm valor na medida que são exclusivos, ou seja, que não podem ser copiados e duplicados. Assim, a proteção de todos esses elementos é fundamental para as empresas que querem ter sucesso. A segurança da informação, em seu sentido mais amplo, deve fazer parte de um processo integrado de gestão de dados, junto com a governança e a gestão da validade dos dados. As empresas que não enxergarem essa necessidade vão rapidamente perder qualquer vantagem que uma vez tiveram.
Thoran Rodrigues, Fundador e CEO da BigDataCorp.
