Compliance digital e segurança na internet

compliance

Tem-se falado e escrito muito ultimamente sobre compliance digital, segurança na internet, preocupações com acessos indevidos ou vazamento de dados. Notícias quase cotidianas dando conta problemas dessa natureza e a entrada em vigor no último dia 25 de maio do GDPR (Regulamento Geral de Proteção de Dados da União Europeia) contribuem para o aumento dessas discussões.

A preocupação não é para menos. Segundo estudo da Ponemon Institute/IBM (2017 Cost of Data Breach Study), as causas de violação de dados foram divididas em três grandes grupos: ataques maliciosos ou criminosos; falhas no sistema e erros humanos. O mais impressionante é a participação de cada grupo: 44%, 31% e 25% respectivamente. Ou seja, mais da metade do problema é de dentro e não de fora, como era de se esperar. Deve ser considerado ainda que, neste estudo, hackers ou criminosos internos (empregados, contratados ou terceiros) são considerados igualmente como responsáveis ​​por ataques maliciosos ou criminosos.

Ou seja, o problema interno pode ser, conforme o caso, percentualmente ainda maior. Nesse prisma verifica-se que o incidente de vazamento pode decorrer de um colaborador desatento ou de um colaborador mal intencionado.

Outros dados interessantes da pesquisa (p. 12):

“Brazilian companies that had a data breach involving less than 10,000 records averaged a cost of R$ 2.02 million. Data breaches involving 50,000 or more records had an average per capita cost of R$ 6.73 million.”

São, realmente, valores que não podem ser desprezados. Sem contar o quanto a imagem da empresa pode ficar arranhada perante seus clientes, fornecedores e concorrentes.

Programas de compliance.

Compliance (ou programa de integridade) nas empresas é, possivelmente, o melhor caminho para diminuir os riscos de danos (financeiros diretos e à imagem). Programas de integridade realizados por profissionais preparados e que consigam não apenas entender, mas, principalmente, fazer o elo entre a legislação vigente e os meandros tecnológicos e de TI, além de compreender o negócio do cliente, tornaram-se indispensáveis.

O VP da SRI Internacional, Robert Pearlstein, em entrevista ao Portal Consumidor Moderno (https://bit.ly/2M1GpNi), disse que

“O grande desafio da internet no momento é a questão segurança, que deve ser pensada em larga escala. Todos devem ter essa preocupação e não apenas governos ou empresas. O que temos hoje é o que americanos chamam de velho oeste selvagem, uma espécie de terra sem lei. Independentemente do tipo de internet que apareça no futuro, penso que o ponto de partida é pensar na segurança. A segurança será a inovação em uma nova rede mundial.”

Os programas de compliance na área digital poderão mitigar os perigos comentados por Robert Pearlstein, ainda que oriundos da equipe interna (seja por negligência, seja intencional, como visto acima).

Preparação multidisciplinar.

A preocupação, porém, não deve ser apenas com a equipe de TI das empresas. Com a evolução da tecnologia e das relações trabalhistas, todo o corpo de colaboradores deve estar integrado e sintonizado com o programa de integridade. Todos devem saber o que podem e o que não podem fazer. É a única maneira de diminuir as chances de uma invasão, sequestro ou vazamento de dados sensíveis das empresas.

O relatório Ponemon/IBM também trata desta complexidade:

“Disruptive technologies, access to cloud-based applications and data as well as the use of mobile devices (including BYOD and mobile apps) increase the complexity of dealing with IT security risks and data breaches.”

Como a própria filosofia de compliance ensina, a educação deve se dar em todos os escalões e setores da empresa.

Evitando prejuízos.

Assim, associados aos prejuízos inerentes ao vazamento de dados, per si, a nova legislação europeia sobre o tema e o projeto de lei de proteção de dados em tramitação de dados no Congresso Nacional demandam a atenção das empresas nesse sentido.

Criar e estimular a cultura de integridade traz benefícios a curto, médio e longo prazos, indiscutivelmente. As empresas devem estar preparadas para a transformação digital, afinal. Clicando aqui, você pode entender melhor.

De fato, não dá mais para as empresas deixarem essa preocupação em segundo plano, independentemente de seu tamanho.