Quando falamos em segurança de dados e informações é normal gerar dúvidas, principalmente ao empreendedor que está iniciando seu negócio ou aqueles que possuem os negócios já consolidados.
Quando realmente devo começar a me preocupar com a segurança dos dados e informações da minha empresa?
Qual o custo-benefício de investir na segurança de dados e informações?
Quais profissionais são os indicados para me ajudar nestas questões?
Tenho ferramentas de segurança de TI, estou adequado à LGPD?
Esperamos no conteúdo de hoje esclarecer essas perguntas.
Primeiramente o que é segurança de dados e informações?
Segurança da informação nada mais é do que a união de esforços e medidas voltadas para a defesa dos dados, principalmente aqueles mais sensíveis, de usuários e organizações. Em resumo, a essência da segurança da informação está em manter o acesso aos dados sempre protegido. Isto significa, livre de invasões e outras ações maliciosas que podem comprometer o sigilo, a integridade e o valor das informações.
A segurança da informação protege todas as categorias de dados contra roubo e danos. Isso inclui dados confidenciais, informações de identificação pessoal, informações de saúde, propriedade intelectual, dados e sistemas de informações, tanto corporativas como governamentais. Sem uma estratégia de segurança cibernética, sua organização não pode se defender contra ações maliciosas de violação de dados. O cibercrime e as ameaças digitais exigem cada vez mais que as empresas adotem medidas de proteção.
Dessa forma, empreendedores e gestores não podem deixar a segurança da informação em segundo plano.
Aconselhamos iniciar negócios com orçamento definido para a segurança de dados e informações, como e-mail e antivírus corporativo, softwares licenciados, backup, entre outras melhores práticas. À medida que a empresa cresce já está padronizada, com processos definidos e segura. Esta regra vale para empresas já consolidadas e que não possuíam orçamento para segurança de dados e informações.
Nunca é tarde para melhorarmos nossos processos, nossa estrutura e segurança.
Porque investimos em seguros de bens materiais como carros, construções, equipamentos, produtos, seguro de vida, plano de saúde e não em dados e informações? Os ativos mais importantes de qualquer negócio são 5: pessoas, processos, máquinas/equipamentos, produtos/serviços e dados/informações.
Os pilares da segurança da informação
A segurança da informação se apoia em três pilares: confidencialidade, integridade e disponibilidade.
É recomendado para a segurança digital que seja constituída de várias camadas, capaz de impedir qualquer ataque cibernético. Uma combinação de firewalls, softwares e de ferramentas que ajudará sua empresa a combater malwares que podem afetar sua estrutura de dispositivos, sistemas e dados.
Confidencialidade
Esse conceito se relaciona com a privacidade das informações, isto é, da restrição do acesso. A segurança da informação é pensada e implantada para garantir o total sigilo de dados sensíveis, evitando que ações maliciosas possam expor o seu conteúdo e causar prejuízos para a organização.
Integridade
A integridade está associada à confiabilidade dos dados. Assim, o foco maior está em garantir que as informações se mantenham exatas, livre de alterações e possam ser empregadas de maneira eficiente pela empresa. A integridade é de extrema relevância no cenário empresarial atual, em que as decisões precisam se embasar em dados concretos e precisos. Por isso, qualquer interferência externa pode corromper as informações, conduzindo profissionais a decisões equivocadas e que podem causar perda de competitividade.
Disponibilidade
Este objetiva manter os dados e as informações sempre ativos, acessíveis e disponíveis para serem utilizados, mas também identificar para quem ele deve estar acessível. Qualquer ruptura na disponibilidade de informações e dados das empresas pode inviabilizar decisões, contratos, vendas e outras ações necessárias, além de prejudicar a relação com o cliente.
A importância da segurança da informação
Hoje mais do que nunca, a segurança da informação tem uma grande importância para as organizações.
Ser hackeado não é apenas uma ameaça direta aos dados confidenciais das empresas, também pode arruinar seus relacionamentos com os clientes e até mesmo colocá-los em risco legal. Independentemente do seu negócio ser pequeno ou uma grande multinacional, ele depende de sistemas computacionais todos os dias. Não temos como menosprezar essa realidade.
Cada vez mais empresas estão migrando seu negócio para o ambiente online, não só em relação a vendas, mas toda a sua operação, e isso fez com que no último ano, com a ascensão do home office, houve um expressivo aumento de casos de invasões em empresas brasileiras. Com as novas tecnologias, de carros autônomos a sistemas de segurança doméstica habilitados para internet, os perigos do crime cibernético se tornam ainda mais sérios. Sem políticas e ferramentas adequadas para garantir a segurança, os riscos de acessos indesejados, quebra de sigilo e fraudes nas comunicações são problemas constantes.
Os dados hoje ocupam a posição de verdadeiros ativos para as empresas, sendo eles indispensáveis para a tomada de decisão, para o relacionamento com o cliente e para a gestão empresarial como um todo. É algo tão valioso que merece uma proteção robusta, já que indivíduos mal-intencionados reconhecem o valor desses dados e vão querer se apropriar deles para tirar algum tipo de vantagem. Conforme o relatório da Gartner, o setor de data security vai atingir mais de US$ 170 bilhões até 2022. É fundamental investir em metodologias que garantam essa proteção, blindando os sistemas e as informações da empresa contra qualquer ação externa que possa prejudicá-la.
A LGPD e a segurança da informação
Ter ferramentas de segurança de informação não adequa sua empresa à LGPD (Lei Geral de Proteção de Dados), mas é uma parte importante da lei, onde diz que as empresas deverão adotar boas práticas em segurança de dados e informações e serem seguras. A LGPD é muito além da segurança de dados no que diz respeito a TI, é a segurança de dados no que diz respeito a processos internos.
A privacidade, honra, nome, imagem, intimidade e liberdade são direitos fundamentais de todas as pessoas.
A Emenda Constitucional nº 115, de 10 de fevereiro de 2022, alterou a Constituição Federal para incluir a proteção de dados pessoais entre os direitos e garantias fundamentais e para fixar a competência privativa da União para legislar sobre proteção e tratamento de dados pessoais.
A Lei Geral de Proteção de Dados, LGPD (Lei nº 13.709/2018) tem como objetivo garantir ao cidadão brasileiro direitos sobre a gestão de seus próprios dados em posse de terceiros, sejam eles da esfera pública ou particular.
Os dados pessoais são a representação de uma sociedade e eles devem ser usados de forma leal e segura, conforme as legítimas expectativas. A Lei Geral de Proteção de Dados Pessoais (LGPD) e a Constituição Federal tem a função de garantir que os dados sejam processados de forma lícita, adequada e segura.
A conformidade com a LGPD é algo que vai exigir uma atenção constante na operação do negócio.
Algo fundamental, que é a base de toda e qualquer ação de privacidade, é que todo o time de sua empresa entenda o que é a Lei Geral de Proteção de Dados, a razão pela qual ela foi criada, os direitos de titulares e que possam ser questionadores constantes, tanto de processos internos quanto de potenciais riscos e vulnerabilidades.
A primeira linha de defesa em Privacidade e Proteção de Dados não é tecnológica. É humana. Desde credenciais comprometidas ao ransomware. Do phishing às más configurações de ambientes. Então, o primeiro passo na manutenção da conformidade reside no treinamento constante. Incluindo a comunicação e conscientização das atualizações de políticas internas. Com as capacitações geraremos o pensamento crítico para que toda a atualização de processos e sistemas internos tenha uma análise, um questionamento, sob a ótica de privacidade. E claro, ter à disposição dos colaboradores, um canal aberto para reporte interno de problemas e preocupações, bem como a facilidade de se conectar com o DPO e/ou time de Privacidade.
Ter processos que permitam os novos tratamentos pelos respectivos donos de processos e a atualização de tratamentos existentes, ajudará sua organização a responder melhor às novas necessidades do mercado e de sua empresa. Observar as decisões acerca da LGPD e adotar conceitos de melhoria contínua. Auditar processos continuamente e garantir que evidências sejam geradas.
Por fim, proteger os dados da sua empresa, de seus clientes e de seus colaboradores é obrigatório não apenas diante da lei, mas também como uma forma de se posicionar com seriedade no mercado. Por isso, adotar mecanismos, recursos, ferramentas e uma estrutura de segurança de dados é sempre uma ação bem-vinda e não esqueça de buscar especialistas em segurança da informação.
Nunca estaremos 100% seguros. Leis e regulamentações não são suficientes para manter nossos dados seguros.
Não existe segurança absoluta, mas existem formas de proteção com ferramentas, ações e boas práticas.
As empresas precisam fazer o seu papel: preservar as informações pessoais em seus fluxos e consequentemente surgir o amadurecimento de uma cultura de proteção de dados.
Apesar da iniciativa jurídica e tecnológica, é importante deixar claro que a empresa está trabalhando nessa causa e é um compromisso inicial que deve ser estabelecido e que norteará as lideranças corporativas contribuindo na prevenção de atividades ilícitas.
A empresa torna-se responsável e consciente e passa a tratar dados seguindo o princípio do consentimento, transparência e integridade. Que possa desenhar uma estratégia de segurança da informação, evitando danos e prejuízos.
Fonte: Totvs e Assespro-RS.