Cibersegurança: como manter os dados seguros

Yuichiro Chino/Getty Images
Yuichiro Chino/Getty Images

No Brasil, o prejuízo médio gerado pelo vazamento de informações é de US$ 1,12 milhão

Segundo o levantamento global “Créditos Sociais e Segurança: Adotando o Mundo das Avaliações”, da empresa de cibersegurança Kaspersky, 40% dos brasileiros estão dispostos a expor dados sensíveis para obter vantagens como descontos, serviços personalizados ou melhoria nas classificações dos sistemas de rating. A pesquisa online, realizada com 10.500 pessoas de 21 países, entre janeiro e fevereiro de 2020, mostra o quanto ainda é preciso educar e avançar no tema da segurança de dados e dos perigos de expor informações para agentes desconhecidos.

No caso das pessoas físicas, quando informações sensíveis caem em mãos erradas, o prejuízo é quase sempre financeiro, além de uma enorme dor de cabeça. Já no caso das empresas, além desses, há ainda a possibilidade de interrupção das atividades e outro. que envolve o risco de terceiros. Ou seja, empresas que solicitam dados de clientes e parceiros precisam estar preparadas para tratá-los e manuseá-los, garantindo que a integridade dos usuários seja mantida em sigilo e segurança.

VEJA TAMBÉM: Cibersegurança: entenda os perigos do ambiente digital

Renato Opice Blum, economista e advogado especialista em direito digital da Opice Blum, Bruno e Vainzof Advogados, diz que existem três fatores de vulnerabilidade que oferecem risco para uma empresa e, consequentemente, para seus clientes: “O uso da tecnologia, já que todo programa de computador tem bugs e problemas; a operação humana, que agrega mais uma camada de fragilidade por conta dos erros; e a ação proposital, dolosa”, comenta o advogado. “Nenhuma empresa quer que isso aconteça e as que se preocupam com a proteção dos dados terão menos chances de ter problemas. Por outro lado, vão gastar mais e esse é o preço de sua própria reputação.”

Por que se proteger

Ter os dados vazados ou roubados pode parecer apenas uma possibilidade sem muitos impactos. O pensamento predominante de “por que alguém faria algo justamente com as minhas informações em meio a uma multidão” também contribui para despreocupação e falsa segurança – e é justamente este pensamento que facilita a vida dos cibercriminosos.

Entre os danos para usuários e consumidores é possível destacar o mais leve deles: a venda de dados para empresas que podem bombardear sua caixa de e-mail e para aplicativos de mensagens com propagandas não solicitadas e incômodas. Mas essa é só a ponta do iceberg. As implicações mais sérias envolvem perdas financeiras, com invasões a contas bancárias e compras no cartão crédito, e até o uso dos dados para cometer crimes e aplicar golpes em terceiros com o seu nome. Já pensou ter a dor de cabeça de ser acusado e processado por algo que não fez?

Para as empresas que tiveram dados vazados, além da falta de credibilidade diante de seus consumidores e parceiros de negócios, outras ocorrências envolvem multas que podem chegar a cifras milionárias por parte de órgãos reguladores como o Procon, ações processuais movidas por clientes e até paralisação das operações caso as informações sejam roubadas e criptografadas – neste caso, o negócio fica sem acesso a dados cruciais, o que paralisa suas operações. Um levantamento de agosto deste anos da Cybersecurity Ventures, empresa global de pesquisa de assuntos relacionados è economia cibernética, aponta que os danos dos crimes digitais podem chegar a custar US$ 6 trilhões ao ano até 2021, no mundo. O valor representa a maior transferência de riqueza da história, mais lucrativo do que o tráfico combinado de todas as drogas ilícitas no planeta.

Segundo Rogério Guimarães, diretor de tecnologia e inovação da Crowe, oitava maior rede global de auditoria e consultoria, os problemas “para pessoas físicas são clonagem de celular, cartão e aplicativos”. “O que tem acontecido na pandemia é que as pessoas estão sendo infectadas por vírus que chegam pelo roteador e, ao acessarem o site do banco, caem em páginas clonadas”, diz o especialista que completa: “Na empresa, o perigo é sequestrar o servidor, já que isso pode deixar a operação rendida”.

E AINDA: Por que empresas inovadoras precisam garantir segurança psicológica

Rafael Pizzolato, diretor da empresa de soluções em TI Starti, comenta sobre as consequências que um negócio pode enfrentar ao ser infectado: “Uma companhia que teve os arquivos corrompidos e perdeu dados internos pode levar um bom tempo para recuperá-los. Se ela fica parada durante esse período, o custo pode ser irreversível”, diz. “Todo negócio precisa identificar quais são os dados críticos e onde eles estão. Com base nisso, criar um mapa de risco e implementar estratégias de tecnologia, firewalls de proteção de borda e antivírus de forma gerenciada. Para ter proteção na comunicação, implementar o uso de VPN [Rede Privada de Navegação] e, em caso de ataque com perda de dados, ter as informações disponíveis em mais de uma local de armazenamento para não precisar parar a operação.”

Segundo o “Relatório sobre o prejuízo de um vazamento de dados 2020” da IBM Security, no Brasil, o prejuízo médio gerado pelo vazamento de informações é de US$ 1,12 milhão e o tempo médio para identificar e conter o problema é de 380 dias. Ainda com dados do relatório, o setor financeiro é o maior prejudicado no país e problemas no sistema de segurança é o fator que mais encarece o prejuízo, elevando a média de custos pela invasão e receptação de dados para US$ 1,29 milhão.

Certificado de segurança

Para as operações digitais, que oferecem serviços e produtos por meio de um domínio próprio na internet, o certificado de segurança é o primeiro passo para garantir uma conexão segura e evitar invasões cibernéticas que comprometam os dados dos usuários – outra vantagem do certificado é que ele ajuda a ranquear a página nos sites de busca.

Conhecido como Certificado Digital SSL (do inglês Secure Socket Layer), a aplicação possui diversos modelos que variam de acordo com a sua abrangência, mas a garantia de segurança é a mesma. Ou seja, independentemente da opção utilizada, todas garantem a criptografia dos dados e sua proteção.

Para contratar um certificado digital, basta o interessado entrar em contato com a hospedeira do site – todas as modalidades de certificado garantem a criptografia e o selo de segurança do ambiente.

LEIA AQUI: Quem é o novo bilionário de segurança em nuvem que surgiu com o aumento do home office

Já para o usuário se certificar se o ambiente no qual está navegando é seguro, verificar o selo não basta, uma vez que pode haver falsificação. A forma mais certeira é observar se o “HTTP” na barra de endereço do navegador recebe a letra “s” no final (HTTPs). Em alguns navegadores, também é exibido um cadeado e a palavra “seguro” na barra de endereço ou o nome da companhia com as informações todas grafadas em verde.

Tipos de certificados de segurança

DV SSL – Validação de Domínio: Opção mais acessível, indica para o usuário que ele está navegando por uma página protegida;

OV SSL – Validação de Organização: Garante para o usuário que a empresa é apta para desempenhar suas atividades e tem seu endereço confirmado em bancos de dados públicos para consulta;

EV SSL – Validação Estendida: Oferece a validação dos dados básicos da empresa que garantem sua existência (razão social, CNPJ e localização), o que resulta em transparência;

SSL Wildcard: Esta modalidade garante a segurança de subdomínios do negócio sem valor adicional;

Certificado de Multidomínios: Ideal para grupos detentores de marcas. O modelo oferece a possibilidade de proteger páginas de diferentes domínios mas sob gestão de uma mesma mantenedora.

Legislação

LGPD

Em vigor no Brasil desde 18 de setembro de 2020, a Lei Geral de Proteção de Dados (LGPD) regulamenta o uso e transferência de informações pessoais no país. Em termos gerais, ela exige que o cidadão concorde explícitamente que seus dados sejam coletados, com a opção de corrigir ou excluí-los se assim julgar necessário. Entretanto, não basta apenas a autorização de coleta: o responsável por armazenar e tratar a informação também é encarregado de garantir a total privacidade de tudo a que teve acesso. O prazo para que as iniciativas se adequem às novas políticas de tratamento e privacidade é de 24 meses a partir do vigor da lei.

A nova legislação também proíbe que os dados do usuário sejam usados indiscriminadamente pelas empresas ou qualquer outra iniciativa e de forma ilícita, como cruzar informações de uma pessoa para oferecer produtos, serviços e políticas ou aplicá-las para causar danos e gerar constrangimento ao titular. A penalidade pelo descumprimento da lei vai de advertência a uma multa diária com teto fixado em R$ 50 milhões, junto à proibição total ou parcial do direito de tratar dados.

SAIBA MAIS: Gigantes da internet terão que abrir dados a reguladores antitruste da UE

A lei se aplica a todas as pessoas e segmentos (indústria, comércio, educação, órgãos públicos etc) e envolve dados que sejam capazes de identificar um cidadão – sejam pessoais ou preferências. A exceção está apenas no uso pessoal dos dados, informações para produções acadêmicas e jornalísticas e em casos de segurança pública, nacional e investigações. “A LGPD tem um impacto transversal em quase todas as atividades humanas. Você traz tecnologia, política, marketing e a importância da segurança”, diz Opice, que conclui: “Ela é um sistema jurídico novo, que costumo comparar com o Código do Consumidor, que obrigou as empresas a se reestruturarem e trouxe ao mercado advogados especializados. A proteção de dados também vai abranger o consumo e tudo o que pode significar o sucesso ou a falência de um negócio”.

O que é preciso fazer para estar dentro da lei

Além dos ajustes de plataforma para obter a autorização de coleta de dados, a iniciativa precisa explicitar para qual finalidade deseja ter acesso às suas informações. Na questão de privacidade, a mais sensível, a organização deve identificar onde estão suas vulnerabilidades de segurança, formular um documento de Política da Segurança da Informação (PSI) e trabalhar junto a um parceiro de tecnologia da informação, interno ou não, para executar ferramentas de proteção aos sistemas e garantir a segurança da coleta aos fins.

Lei de Crimes Cibernéticos (Lei Carolina Dieckmann)

Apesar de ser conhecida pelo caso da atriz que teve seu computador invadido e arquivos de fotos compartilhados na internet, a lei não se aplica apenas a este fim. Sancionada em 2012, prevê de penalidades de multa à detenção por invasão de computadores, roubo de senhas, violação de dados de usuários e divulgação de informações privadas.

Marco Civil da Internet

A lei regula os direitos e deveres dos usuários da internet e determina a privacidade e proteção das informações, que apenas pode ser quebrada com ordem judicial.

A maior alteração que a legislação trouxe para as atividades digitais foi a possibilidade de retirada de um conteúdo das redes mediante decisão judicial ou de forma direta com a fonte de compartilhamento em casos de vazamento de imagens íntimas. Opice Blum comenta que “o marco apresenta dois incisivos para proteger a privacidade em mais de 300 hipóteses e a estipulação de um tempo muito tênue em caso de investigações”.

Como agir diante de um crime cibernético

A resolução de um crime cibernético requer dois passos: o legal e o tecnológico. Antes de tudo é preciso atuar onde o dano foi causado. Se o caso foi de roubo de uma senha de banco, por exemplo, entrar em contato com a instituição responsável para frear as consequências é a primeira medida. Se o problema foi invasão e receptação de informações, buscar um profissional de tecnologia da informação para diagnosticar e corrigir as falhas é fundamental – seja no âmbito pessoal ou empresarial.

VEJA TAMBÉM: Senado exclui de MP adiamento da vigência da Lei Geral de Proteção de Dados

O segundo passo é registrar um boletim de ocorrência com as devidas evidências coletadas e atuar junto a um advogado para a resolução processual do caso e reparação de eventuais danos causados – financeiros ou não.

Veja, na galeria de imagens a seguir, 10 dicas de Rafael Pizzolato e Renato Opice Blum para garantir a segurança dos dados em casa e nos negócios:

  • DADOS PESSOAIS

    10000 Hours/Getty Images
  • 1. Desconfie de tudo que for diferente

    Esteja atento a links e ofertas com vantagens desproporcionais e a páginas estranhas ou não oficiais, com escassez de informações sobre seu mantenedor.

    NoSystem Images/Getty Images
  • 2. Atualização

    Mantenha os softwares e aplicativos sempre atualizados porque, normalmente, as atualizações acontecem para promover a correção de bugs de segurança.

    Sebastian Leesch/EyeEm/Getty ImagesV
  • Trump proíbe transações com aplicativos chineses por suposta ameaça à segurança de dados dos usuários americanos.

    Jirsak/Getty Images
  • 4. Não repita senhas ou trabalhe com o óbvio

    Não, o óbvio não é apenas usar elementos batidos como sobrenome, data de nascimento ou nome de familiares. Também é usar a mesma senha para todas os aplicativos e sites ou contar com adaptações pobres com mudança de um caractere ou símbolo. Uma vez que o criminoso descobre uma de suas senhas e o raciocínio utilizado para formulá-la, fica fácil burlar todas as outras na base da tentativa e erro.

    Uma boa saída para ter senhas improváveis e diferentes sem perder o acesso às contas por esquecimento é ter um aplicativo seguro de gerenciamento de senhas. A ferramenta faz a gestão dos seus acessos por meio de uma senha única determinada para o gerenciador – existem opções gratuitas e pagas deste tipo de aplicação.

    Kornburut Woradee/EyeEm/Getty Images
  • 5. Pesquise antes de clicar ou comprar

    A regra geral é não clicar em tudo que recebe e vê. Uma forma de saber se o site é confiável e o que aquele link quer oferecer é apenas passar o mouse sobre o endereço de destino. Além de uma prévia da informação que contém nele, é possível identificar o domínio e a quem ele pertence. Lembre-se: desconfie de tudo.

    Outra forma de se proteger é pesquisar sobre as reclamações de produtos ou serviços oferecidos por um site em plataformas de reclamação e órgãos reguladores.

    Iunshulee Kieanthong/EyeEm/Getty Images
  • EMPRESA

    Luis Alvarez/Getty Images
  • 1. Privacidade e consentimento

    Com a LGPD, mais do que nunca é preciso estar aliado à tecnologia para garantir a privacidade e o uso correto das informações. Neste período de adequação, é preciso atualizar as plataformas com políticas de privacidade e uso de dados claras.

    anyberkut/Getty Images
  • 2. Identifique onde estão seus dados sensíveis

    Esteja atento ao ambiente onde suas informações e dados circulam. A partir deste ponto, identifique as vulnerabilidades e trabalhe junto a um parceiro de tecnologia da informação para traçar uma estratégia, corrigir as falhas e implementar as ferramentas necessárias. Lembre-se: os danos de um vazamento são maiores do que o investimento em segurança.

    Tara Moore/Getty Images
  • 3.Cópias de segurança

    Em caso de vazamento de dados, para que a operação da empresa não seja paralisada por uma eventual criptografia de informações por parte dos criminosos, é preciso ter o essencial para o funcionamento no negócio atualizado e disponível em outras plataformas, como na nuvem. Rafael Pizzolato sugere que o mais seguro é ter os dados disponíveis em pelo menos três locais de armazenamento diferentes.

    NicoElNino/Getty Images
  • 4. Acesso restrito

    O acesso restrito deve ser cultural e tecnológico. Para que seja mantida a privacidade interna e dos usuários, é preciso que cada área da empresa tenha acesso apenas ao necessário. Por exemplo: o setor de compras não deve ter acesso às informações pessoais dos funcionários que devem ser tratadas apenas pela área de recursos humanos.

    Do lado tecnológico, trabalhar dados sensíveis por meio de uma VPN é uma forma de evitar que a empresa sofra por conta de uma invasão ao computador de um funcionário em regime de home office, que esteja usando uma rede doméstica vulnerável.

    Yuichiro Chino/Getty Images
  • 5. Segurança como cultura

    Não basta garantir todos os equipamentos necessários para que os dados estejam seguros se não há uma política interna de privacidade. A cultura da preservação deve partir dos mais altos escalões para os mais baixos, de maneira que os funcionários não forneçam informações sensíveis de uma operação.

    As políticas internas devem descrever com clareza o que deve ser mantido em sigilo e prever penalidades para quem vaza informações externa ou internamente.

    Luis Alvarez/Getty Images

DADOS PESSOAIS

Siga FORBES Brasil nas redes sociais:

Facebook
Twitter
Instagram
YouTube
LinkedIn

Siga Forbes Money no Telegram e tenha acesso a notícias do mercado financeiro em primeira mão

Baixe o app da Forbes Brasil na Play Store e na App Store.

Tenha também a Forbes no Google Notícias.

Copyright Forbes Brasil. Todos os direitos reservados. É proibida a reprodução, total ou parcial, do conteúdo desta página em qualquer meio de comunicação, impresso ou digital, sem prévia autorização, por escrito, da Forbes Brasil ([email protected]).