Vazamentos de dados têm de ser uma preocupação de todos nós

A venda de dados pessoais é um tema recorrente em grande parte do noticiário. Mas, de fato, o que significa isso? Antes de entender o impacto desse assunto tão presente no dia a dia, é necessário dar um passo atrás e entender o que significa cibersegurança. Para grande parte das pessoas, essa palavra está associada a remover vírus do próprio PC e evitar clicar em e-mails de SPAM ou, em outro extremo,  parece sinônimo de um mundo mágico de filme de ação, em que agentes secretos precisam ser envolvidos para desvendar algum dado misterioso.

O que grande parte das pessoas não sabe, contudo, é que a cibersegurança está presente na vida de todos. Até mesmo daqueles que não têm computador. Quer um exemplo? Hoje, para garantir um sistema eficaz de medição de energia ou de entrega de água, por exemplo, computadores são envolvidos – e, portanto, tem de haver certa segurança para que os comandos executados não sejam burlados e as tarefas sejam cumpridas da maneira correta.

E, é claro, para quem tem acesso à internet – 57,8% da população brasileira, segundo o IBGE – as regras de não clicar em e-mails suspeitos e instalar antivírus nos computadores ainda continuam mais do que válidas em termos de cibersegurança. Nesse ambiente, entretanto, uma outra preocupação surge (e é retratada frequentemente no noticiário): como garantir que empresas a quem você concede dados possam de fato proteger essa informação?

Aí está um grande dilema. Até pouco tempo atrás, empresas não tinham regras específicas para seguir em relação à “prestação de contas” a respeito dos dados que mantinham, um cenário que mudou com a aprovação da GDPR na Europa e trouxe como consequência a aprovação da Lei Geral de Proteção de Dados no Brasil, em meados de maio.

A aprovação da lei representa um primeiro passo importante para trazer luz ao tema e, principalmente, para evidenciar a importância da segurança no mundo online como forma de prevenir danos maiores.

Atualmente, nome completo, telefone, e-mails e outros dados são oferecidos por preços irrisórios na internet. As consequências primárias desse tipo de coisa já estão significativamente mais difundidas: golpes usando phishing por meio de SPAMs são tão populares que diversas “boas práticas” já foram difundidas como maneira de evitar isso.

Mas afinal, como se proteger contra esse tipo de ameaça? Falando em aspecto individual, adotar algumas das melhores práticas de proteção de dados – autenticação de dois fatores e manter todos os sistemas operacionais atualizados, por exemplo – já pode diminuir muito as chances de invasões e roubo de informações valiosas, como senhas de bancos e outros dados pessoais que podem gerar prejuízo aos usuários.

Partindo para um espectro um pouco maior, empresas devem se preocupar com a proteção de dados – já que pelo menos 90% das informações que armazenam são de caráter confidencial.

Paradoxalmente, a cultura de proteção dessas informações em grande parte das organizações ao redor do mundo é relativamente recente, e, em muitas delas, a cibersegurança ainda é vista como um item secundário. De acordo com nossas pesquisas, a metodologia necessária para manter os ataques longe passa por quatro fases principais: análise, modelo documental de gestão dos dados, categorização e por último, a gestão e rastreamento de dados em todo o seu caminho pela empresa.

O primeiro passo tem como foco atingir os objetivos de otimização de processos, localização e categorização de informações “desestruturadas” dentro da companhia. Para isso, é necessário acessar a localidade de cada arquivo em diferentes documentos, processos e sistemas da companhia, fazer uma avaliação dos dados afetados pelo GDPR e fornecer um diagnóstico completo da situação atual da empresa.

A segunda etapa diz respeito à elaboração do “mapa” que vai mostrar a estrutura hierárquica de divisão das informações envolvidas no GDPR em diferentes tipos e subtipos, definição de um esquema de        metadados, descrição detalhada das características de cada documento. Com isso, será possível ter um conhecimento completo sobre os dados gerenciados por cada parte da empresa.

Em seguida, o tratamento de dados vai definir características para cada tipo de dados. Na prática, será possível agrupar as informações em um ciclo de vida de acordo com o tipo de cada documento, aplicar sistemas de busca e localização, além de estabelecer mecanismos mais claros quanto ao consentimento relacionado à privacidade dos dados que circulam dentro da empresa. Com isso, é possível ter mais conhecimento sobre o consumidor e orientação clara sobre a proposta de valor relacionada à empresa.

A quarta etapa diz respeito ao fato de que a gestão e o rastreamento de dados trazem como principais resultados a aplicação de estratégias diferenciadas de retenção do consumidor, aumento da confiança dele em relação à marca, o que gera diferenciação da marca em relação às demais.

Mudando um pouco o enfoque para um âmbito de governo, recentemente, a aprovação da GDPR (a Lei Geral de Proteção de Dados), que visa justamente regular a atuação de órgãos públicos e privados em relação aos dados que possuem, representa uma inicativa importante para que organizações e órgãos públicos possam repensar suas iniciativas de cibersegurança e reforçar as iniciativas contra esse tipo de crime.

Somente com o compartilhamento de informações a respeito de fraudes virtuais será possível realizar uma ação eficaz de proteção de dados. Estamos vivendo uma nova era, em que para conhecer as vulnerabilidades e se proteger é necessário atuar em mecanismos de defesa e em ações ofensivas, de modo a tentar descobrir possíveis falhas e corrigi-las rapidamente.

Mais do que fraudes bancárias, o roubo de informações valiosas pode gerar consequências cada vez mais sérias. Atentados terroristas e iniciativas de desconstrução da democracia podem ser apoiadas por dados obtidos de forma ilegal e gerar um preço caro demais para a sociedade pagar. Independentemente de estar conectado ou não, é fundamental ter a consciência de que os computadores controlam grande parte da nossa vida – do fornecimento de água aos equipamentos militares – e deixar essas informações à deriva é como deixar de cuidar das nossas próprias vidas.

 

(*) Wander Cunha é diretor da Minsait, empresa de Transformação Digital da Indra