Tendências e Inovações na área de Gestão de Riscos e Segurança Cibernética

Foto: Shutterstock

A LGPD (Lei Geral de Proteção de Dados) entra em vigor em agosto de 2020 para regulamentar o tratamento de dados pessoais de usuários por empresas. A Lei 13.709, sancionada pelo Presidente da República em agosto de 2018 visa regulamentar o tratamento de dados pessoais dos usuários por empresas do setor público ou privado, estabelecendo multas que podem chegar a R$ 50 milhões, sem contar o prejuízo às marcas na eventualidade de uma crise de segurança cibernética na proporção da que grandes empresas de tecnologia vem enfrentando recentemente.

O prazo, até o segundo semestre do próximo ano para a entrada em vigor da nova lei, visa proporcionar às empresas e órgãos do governo fôlego para implantar as políticas, estruturas e controles necessários à eliminação de brechas tecnológicas para diminuir, e idealmente evitar, qualquer tipo de vazamento por parte de sistemas ou funcionários que possuam acesso aos dados pessoais de usuários.

Para mitigar riscos de prejuízos em decorrência dessas normas, os executivos responsáveis por TI e segurança de redes/dados nas empresas de qualquer porte precisarão priorizar investimentos em adequações sistêmicas, operacionais e culturais na organização a fim de que ela e seus colaboradorres estejam preparados para o compliance digital a ser demandado pela nova lei.

Para isso, faz-se necessário o planejamento coordenado entre vários departamentos, inicialmente TI, Compliance e Jurídico, para um diagnóstico abrangente da atual situação da empresa frente às novas exigências de proteção de dados passando, em seguida, pelas áreas de marketing, comercial, administrativo-financeira e de atendimento ao cliente.

Além disso, será necessário também o levantamento das necessidades mercadológicas e adequação da estratégia comercial à nova política de dados quanto à captura e tratamento de informações dos usuários mesmo antes de se tornarem clientes da empresa, e.g.as etapas de coleta de dados de prospects por campanhas de marketing, e seu posterior compartilhamento com a área de vendas.

Após a fase diagnóstica e de levantamento de necessidades em todas as áreas, a cúpula da empresa deve se envolver na elaboração e implementação de políticas, diretrizes, metas e gerenciamento de ações voltadas para a proteção geral de dados, além de prever planos de emergência para gestão de crises de segurança e quebra de privacidade de dados. Investir em programas de treinamento sobre a nova legislação e tratamento de dados por todos os funcionários, bem como em tecnologias inovadoras para capacitá-los a cumprir com as exigências da nova lei de forma ágil, consciente e segura, será um dos passos em direção ao compliance.

Dado esse cenário, o que se deve esperar em termos de tendências e inovações na área de segurança cibernética no Brasil?

Na visão da BRG, haverá mais investimento por parte das empresa em infra estrutura e tecnologia de compliance: É fato que as empresas estarão cada vez mais realizando auditorias em seus sistemas existentes e investindo em novas tecnologias de proteção cibernética para lidar com as ameaças constantes de ataques e roubos de informações sensíveis e valiosas, bem como riscos de vazamentos e acesso não autorizado aos sistemas de dados da empresa.

Maior foco em IoT (Internet-of-things) ou Internet das Coisas: Proteções como firewalls e anti vírus podem estar protegendo a rede e os computadores da empresa, porém, com o uso cada vez mais integrado de dispositivos móveis e canais de atendimento por seus clientes, a empresa precisa se certificar de que nenhum ponto de contato com os sistemas de TI esteja desprotegido.

Planos de contingência de crises cibernéticas e quebra de privacidade de dados se farão cada vez mais necessários: Isso significa que as empresas precisam se precaver mas também se antecipar e prever quais providências serão tomadas em caso de um ataque à base de dados da empresa, através de dossiês com os procedimentos operacionais para minimização dos danos e as providências cabíveis para sanar o problema de imediato. Portanto, por mais sólida que a segurança cibernética de uma empresa possa parecer, vale a pena ter um plano para lidar com violações a fim de reagir de forma planejada e rápida no reparo dos danos aos usuários, estancando assim os prejuízos financeiros para a empresa diante da nova lei.

 

O seguro cibernético se tornará algo muito popular: As empresas em geral estão seguradas contra roubos, inundações e incêndios. Da mesma forma, com a nova lei, será prudente estarem cobertas contra prejuízos decorrentes de ataques cibernéticos. O seguro cibernético é uma área em crescimento em diversos países e se tornará comum no Brasil também, já que as empresas devem priorizar a segurança de dados, mas ao mesmo tempo considerar que no ambiente tecnólogico, inovações e riscos estão em constante evolução. Dessa forma, levar em conta a proteção de um seguro específico para esse tipo de prejuízo é fundamental para que a empresa esteja de fato protegida.

 

Aumento considerável da demanda por serviços de consultoria na área de Gestão de Riscos e Segurança Cibernética à medida que se aproxima a data de entrada da lei em vigor. Ao mesmo tempo, a capacitação de profissionais nessas áreas demanda recursos e tempo de experiência, sendo menos complexo para empresas com foco na prestação desse serviço reunir competências e metodologias comprovadas na solução de crises passadas e elaboração de planos preventivos.

A Diretora Geral da BRG Brasil, responsável pelas áreas de Investigações Globais e Inteligência Estratégica, Denise Debiasi, ressalta que a consultoria tem atendido cada vez mais empresas interessadas no planejamento para o compliance digital do que efetivamente na contingência de crises decorrentes de quebra de segurança de dados. Segundo ela, isso demonstra a preocupação dos dirigentes de empresas em se antecipar a um pico de demanda por esses serviços que possa provocar uma eventual escassez de assessorias especializadas para tratar do assunto de forma eficaz e dentro do prazo exigido.

Em decorrência disso, a própria BRG Brasil vem conciliando especialidades da área de gestão de riscos com as de segurança cibernética a fim de oferecer um serviço completo da revisão de todos os controles e processos da empresa até a construção de estratégia e plano de ação que envolvam o mapeamento de dados sensíveis e sua proteção de forma abrangente e integrada.

Segundo os especialistas da BRG Brasil, projetos de consultoria e assessoria na implementação de um plano estratégico para o compliance digital devem necessariamente passar pelas seguintes etapas de trabalho conjunto:

  • Mapeamento de riscos de tratamento de dados pessoais pelos sistemas e processos da empresa. Nesta etapa mapeia-se o processo de como, quando e onde todos os dados pessoais de funcionários, clientes e fornecedores são coletados, onde esses dados ficam armazenados, quais as proteções existentes, etc.
  • Implementação de ações corretivas como alternativas de armazenamento mais seguras, categorizção de dados (pessoais e sensíveis), identificação e nomeação de quem irá manipular os dados (controlador, operador e encarregado), nomeação do Data Protection Officer, responsável por assegurar o tratamento adequado dos dados, desde o seu recebimento até seu armazenamento ou eventual descarte.
  • Reestruturação das políticas e acordos de confidencialidade, destacando que a coleta de dados pessoais, seja de forma física ou pela internet, precisa ser consentida de forma expressa e inequívoca pelo usuário, sendo ou não por escrito. Da mesma forma, será necessário definir quais setores e pessoas da empresa precisam ter acesso ao banco de dados, em vários níveis, e como eles devem ser utilizados.
  • Integração das áreas de TI/segurança da informação, jurídica e de compliance para que sejam adotadas as melhores práticas de adequação à nova Lei de forma holística na empresa.
  • Implementação de sistemas que garantam a privacidade dos dados coletados, seja ela Privacy by Design (pensada desde a concepção do sistema) ou Privacy by Default (privacidade por padrão, que deve ser entendido como configurações de privacidade no modo mais restrito possível). As medidas técnicas devem estar aptas a proteger os dados contra acessos não autorizados, de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. A legislação ainda estabelece que as organizações devem contar com medidas para prevenir a ocorrência de danos aos dados tratados devendo comprovar que atendem esses requisitos.
  • Disseminação de um programa de educação e conscientização dos funcionários da empresa para as exigências da nova lei e impactos operacionais decorrentes. Os funcionários precisam saber evitar vazamentos e ter noção das responsabilidades e consequência do mau uso dos dados por parte da empresa e dos responsáveis por pela manipulação de informações pessoais dos usuários.

Para maiores informações sobre os serviços de consultoria em Gestão de Riscos e Segurança Cibernética, entre em contato com a BRG Brasil pelo email ddebiasi@thinkbrg.com