Um conteúdo Bússola

Marcelo de Sá: A segurança de dados não pode mais tirar seu sono

Até que ponto a privacidade do cidadão é de fato dele?
Os dados pessoais se tornam cada vez mais públicos (MF3d/Getty Images)
Os dados pessoais se tornam cada vez mais públicos (MF3d/Getty Images)
M
Marcelo de Sá Publicado em 26/10/2022 às 18:00.

É difícil imaginar uma grande empresa hoje que não esteja exposta a riscos na segurança de dados. Na esteira da transformação digital, os ataques cibernéticos avançam a cada ano, tirando a paz de executivos e trazendo novas e urgentes preocupações para o mundo dos negócios.

O aumento drástico de ransomware – um tipo de software malicioso que criptografa dados, tornando inacessíveis arquivos e documentos de uma rede ou servidor, tem chamado a atenção de especialistas em segurança cibernética. Não por ser novidade, sua primeira aparição tem mais de 30 anos, mas pela forma com que vem sendo aplicado e pelo nível de criptografia usada, cada vez mais complexa.

O último ataque recente, noticiado pela imprensa, foi o caso da TV Record. Após ter seu sistema central invadido por hackers, que ‘sequestraram’ conteúdos armazenados - entre eles reportagens, quadros televisivos e programas de entretenimento do canal –, os criminosos criptografaram o material e impossibilitaram o acesso a eles, prejudicando a programação da TV e atrapalhando o fluxo operacional da companhia.

A Record informou que nenhuma informação sigilosa teria sido acessada. De toda forma, os cibercriminosos pediram um valor milionário pelos dados da emissora: R$ 25 milhões para liberar a chave que recupera os conteúdos. Caso o pagamento não fosse realizado, a ameaça era de publicar todo o conteúdo na internet. E, assim como em um sequestro tradicional, o grupo hacker limitou um prazo para a emissora efetuar o pagamento. O valor mencionado acima era com desconto!

Outra vítima famosa de ciberataque foi a Samsung, que no início de 2022 viu seu sistema ser atacado por hackers que ameaçavam vazar dados pessoais de clientes, caso o “resgate” não fosse efetuado. Incidente parecido, também ocasionado pela falta de segurança de dados, aconteceu à varejista de moda Renner, que ficou com o site fora do ar por alguns dias, deixando de faturar todo valor que seria realizado pelo seu e-commerce.

Esses foram alguns exemplos que tiveram grande repercussão, mas muitos outros crimes dessa mesma natureza aconteceram nos últimos dois anos. A falta de investimento em protocolos de segurança levou o Brasil a ser o país da América Latina com mais casos de sequestro de dados, sendo saúde, serviços financeiros e setor público os segmentos mais afetados. Somente em 2021, foram registrados pelo menos 39 ataques por ransomware.

O crescente número de ataques cibernéticos impulsionam investimentos em segurança de dados, não só no Brasil, mas em todo o mundo. Estima-se que o mercado global de segurança cibernética supere a marca de US $266 bi até 2027, com soluções baseadas em nuvem como as mais utilizadas.

Práticas ESG

Por razões óbvias, a área financeira é uma das mais visadas por hackers que praticam ataques cibernéticos. Não por acaso, muitos diretores financeiros passaram a se familiarizar com questões ligadas à segurança de dados, que até pouco tempo atrás ficavam quase que exclusivamente a cargo do setor de TI.

Esse movimento aconteceu quando praticamente todas as áreas da empresa começaram a ter integrações diretas com as novas tecnologias e passaram a utilizar dados em operações diárias, principalmente a alta gestão, em processos de tomada de decisão. Por isso, CFOs mudaram o foco dos investimentos para proteger o que a organização tem de mais valioso: seus dados.

Usados como critério de análise para a decisão, tanto do mercado financeiro como do público em geral, os dados de uma empresa hoje representam seu DNA - um mapa contendo informações relevantes e singulares. Arrisco dizer que a tecnologia transformou o poder corporativo em dados e garantir que isso esteja seguro é uma das prioridades na era SaaS. Isso porque o 5G ainda está no início de sua implantação no Brasil. Imagine a intensidade dos ataques com aumento enorme na velocidade de conexão e no fluxo de dados.

Nos Estados Unidos e em países da Europa, as autoridades entendem que o pagamento aos hackers não garante a decriptação dos dados e sistemas, muito menos que as informações não venham a ser vazadas ou comercializadas. Também levantam a hipótese que os pagamentos podem ser usados para futuros ataques e práticas criminosas. Em vez de negociar com os hackers, os órgãos de segurança recomendam a adoção de medidas de segurança severas, que protejam dados e sistemas e mitiguem os efeitos de eventuais ataques.

Ainda não há obrigatoriedade no Brasil de relatórios que apresentem dados de segurança alinhados às práticas ESG, mas é bem possível que isso aconteça em breve e fique sob a responsabilidade da gestão financeira. Vale lembrar que o fator de governança abrange a estrutura de gestão corporativa e as políticas da empresa em relação à conformidade, padrões e divulgações. Isto é, as empresas precisam garantir o cumprimento das leis que regulam a coleta e o processamento de dados.

Oferecer segurança e cuidado com qualquer tipo de dado que identifique ou torne uma pessoa identificável, sem o devido consentimento, é o principal objetivo da Lei Geral de Proteção de Dados (LGPD), que prevê multas e sanções a empresas que descumprirem as regras.

Se a precaução de CFOs era investir em posturas ambientais, questões de diversidade e relacionadas à justiça social, hoje as atenções se voltam para a segurança cibernética, uma vez que adotar uma abordagem de ESG nesse tema costuma promover a confiança digital nas organizações.

Escolhas seguras

O processo de migração de uma série de serviços e produtos para a nuvem fez com que a sociedade mudasse a forma como enxerga a segurança de dados. Hoje, as pessoas têm consciência que essa pauta não se restringe somente ao meio empresarial. Vazamento de dados e falta de privacidade virou uma preocupação de qualquer pessoa com pelo menos alguma “identidade digital”.

Para as organizações, proteção deixou de ser questão de escolha. Uma empresa corre sério risco se tiver um sistema muito vulnerável, especialmente se ele comanda operações de seu core business. Não só pelo alto custo que os ataques cibernéticos podem gerar, mas também pelos negócios perdidos durante o período entre o ataque e o restabelecimento do ecossistema e também de imagem, acarretando até afastamento de potenciais investidores.

As organizações precisam, em conjunto, parar de ignorar a responsabilidade social na mitigação de riscos envolvendo dados apenas por questão financeira e ultrapassar a fronteira da esfera privada para proteger também as informações sensíveis à sociedade como um todo.

É preciso olhar com mais atenção para nossas atividades diárias e perceber o que deixamos de rastros digitais pelo caminho, para que isso não possa vir a nos prejudicar no futuro. Em um mundo onde tudo é baseado em dados, a informação é um bem precioso, ainda mais nesses tempos em que a tecnologia se tornou tão onipresente e praticamente uma extensão do nosso corpo.

Não dá mais para perder o sono com um tema tão sensível e totalmente possível de prevenir. Passou da hora de acordar para sua urgência.

*Marcelo de Sá é CFO do Grupo Petrópolis, fabricante das marcas de cerveja Itaipava, Petra, Black Princess, Cacildis, Crystal, Lokal e Weltenburger Kloster, do refrigerante it!, do energético TNT e da água mineral Petra

Siga a Bússola nas redes: Instagram | Linkedin | Twitter | Facebook | Youtube

Veja também