Segurança dos dados na atual sociedade da informação líquida: como lidar?

Enquanto dormimos, graves incidentes de segurança acontecem, alertou Marcos Sêmola, sócio de cibersegurança da Ernest Young, durante palestra no IT Forum, realizado nesta semana pela IT Mídia, na Praia do Forte, Bahia. Entretanto, para CIOs e diretores de tecnologia que estão atentos às atuais complexidades de manter as informações de seus clientes, o sono deles nunca mais será tranquilo. Em tempos de uma sociedade da informação líquida, onde todos os dados estão pulverizados em aplicativos e outros tantos serviços digitais, a teia das vulnerabilidades é, praticamente, infinita.

“A informação, esse ativo valiosíssimo para os negócios, está cada vez mais fluida, cada vez mais ultrapassando os perímetros originais. Ela está se espalhando em ambientes e containers pulverizados. Isso significa que o desafio de proteger o ativo do nosso negócio é cada vez mais difícil, mais desafiador”, ressaltou.

Para apresentar uma perspectiva ao problema, Sêmola cita a previsão de que até 2020 serão 50 bilhões de dispositivos conectados. Se de um lado negócios poderão criar uma série de oportunidades para gerar valor para tais dados, de outro, gera também oportunidades para o cibercrime. “Nas mãos das pessoas erradas, essa informação pode criar um problema. Estamos falando de computadores, wearables, maquinários de pequeno e grande porte”, complementa ao dimensionar a chamada hacker economy.

Reputação em jogo

Segundo pesquisa da EY, um evento de quebra de segurança pode gerar uma perda de US$ 3,62 milhões e o volume de dados comprometidos gerar US$ 1,9 bilhão. Para além dos prejuízos financeiros, um vazamento de dados mancha reputações de empresas sólidas e questiona a confiança de clientes e usuários.

Sêmola lembrou da iminente Lei Geral de Proteção de Dados (LGPD) brasileira, que entra em vigor em fevereiro de 2020. As novas regras vêm responsabilizar as companhias em relação aos dados de seus clientes e penaliza aquelas que falharem, incluindo penalidades de até 2% do faturamento anual. Multas dessa dimensão podem ser a pedra no caixão de muitas empresas.

Sêmola recorre à fábula dos sete camundongos cegos ao se deparar com um elefante para comparar com a visão que as empresas precisam ter hoje dos riscos de segurança as quais estão expostas. “Nossas empresas hoje são elefantes, ativos muito novos. Para enxergar os riscos, é preciso que todos se unam para enxergar o problema todo”, ressaltou.

O trabalho de cuidar da cibsersegurança das informações exige, segundo o executivo, um estado de plena atenção, ou melhor, constante “insônia”. “Esses líderes estão em desconforto contínuo. Eles conhecem os desafios e os efeitos colaterais dessa jornada de transformação digital que está acontecendo agora. Eles enxergam os diferentes componentes físicos, tecnológicos, humanos e processuais e por causa disso, por seu entendimento, suas reações serão mais assertivas”, destacou.

Segurança por design

José Luiz Rossi, CEO da Serasa Experian, também participou do painel sobre cibersegurança no IT Forum. A Serasa, brincou Rossi, se tornou um produto de desejo dos hackers. Afinal, a companhia é uma empresa de big data com dados de mais de 200 milhões de brasileiros.

“Se alguém quiser informações de brasileiros, nada melhor que a Serasa, pois está tudo em um lugar só”, disse Rossi. E por ter consciência dessa responsabilidade, o executivo informou que a cibersegurança passa por uma série de redundâncias na companhia. Além da área de TI, há um time de 50 funcionários dedicados a ela. “Não existe risco zero. Sabemos que estamos continuamente suscetíveis, pois hackers têm interesse nesses dados”, contou.

A Serasa Experian conta com cerca de 2,5 mil funcionários. E por saber que o elo mais fraco da cadeia de segurança é, no final do dia, humano, a empresa busca treinar constantemente colaboradores sobre o tema. “Temos de desenvolver a habilidade de conhecer o nosso risco”, pontuou. Segundo Rossi, há na Serasa Experian um comitê dedicado à crises. “Quando acontece um vazamento de dados de outras empresas, tomamos como exemplo como se fosse com a gente, para que saibamos como reagir”, revelou.

Funcionários recebem treinamento teórico, testes práticos e, inclusive, testes de phishing – que se aproveitam da desatenção para sequestrar informações via ataques por e-mail. “É um processo contínuo de adequação”, aconselhou o executivo.

Cibersegurança é prevenção. E para Sêmola, da EY, as empresas precisam incorporar um arquiteto de segurança na hora de desenvolver suas soluções. “Estamos caminhando para um momento dos negócios e da sociedade, que não é mais opcional. O produto tem que nascer com segurança”, concluiu.