Na Europa, estima-se que cada euro gasto com proteção de dados retorna em média outros cinco euros. Proteção representa crescimento. Quem mostrar-se confiável diante das ciberameaças, certamente, terá seu valor de mercado aumentado.

Recentemente, dados pessoais de 223 milhões de brasileiros foram vazados. Para quem estuda cibersegurança, o episódio não é uma surpresa. Grupos de hackers que atuam na Deep Web vinham manifestando a intenção de sequestrar dados. Como as penalidades previstas na LGPD (Lei Geral de Proteção de Dados) ainda não estão em vigor, essa ação se intensificou e tais vazamentos, em grande medida, tendem a ser apenas uma amostra do que ainda pode acontecer. 

Se a digitalização dos negócios é inevitável, os ataques à cibersegurança também são. É unânime entre os especialistas do ramo que a questão não é mais “se” a empresa será atacada, mas “quando”. Engana-se quem pensa que apenas as empresas de grande porte são alvos dos criminosos. Em um mundo onde os dados adquirem cada vez mais valor, qualquer organização que faça uso deles é um alvo em potencial. Por isso, a gestão em TI precisa envolver todas as lideranças corporativas na tarefa de proteger esses ativos.

As lições de 2020 trouxeram mudanças profundas, mas a segurança da informação ainda é um tabu nas empresas. É verdade que muitas entenderam que precisam investir na proteção de dados e redes e estão disponibilizando orçamentos mais significativos para isso. Aos poucos, a questão orçamentária vem deixando de ser o principal impeditivo para adotar boas arquiteturas de segurança. Porém, resta uma transformação por fazer, muito mais profunda e pragmática, e que não envolve necessariamente dinheiro.

Sistemas são manejados por pessoas, e não é raro que essas queiram adotar o caminho mais simples em vez do mais seguro. É preciso que todos os colaboradores entendam que o sigilo é importante, que estar seguro é fundamental, mesmo que isso implique certa dificuldade nos processos de trabalho. Adotar senhas complexas e trocá-las constantemente, negar determinadas permissões, bloquear o uso de portas USB e pen drives são algumas medidas indispensáveis, mas que encontram grande resistência por uma questão cultural.

A educação faz parte da mudança desse cenário, uma vez que as pessoas seguem mais facilmente as normas quando entendem seu propósito. Porém, o momento não é de sutilezas. Essa nova postura precisa se disseminar de maneira “top down”, ou seja, requer um apoio muito forte da direção. Nesse caso, deve-se seguir o preceito “vamos educar”, mas também adotar a premissa de “vamos obrigar”. O risco existe e não é pequeno.

“Petróleo” mal explorado

O modelo de negócios baseado em dados nada tem de novo, mas muitas empresas ainda não sabem ganhar dinheiro com o uso da informação. São dois os cenários que observo com mais frequência: a empresa que se vale de dados em seus negócios, mas não tira benefício financeiro deles, e as que os utilizam de forma massiva, mas não lhes dão a proteção adequada. Nesse último caso, novamente, as razões são operacionais e culturais: por realizar procedimentos que capitalizam em cima dos dados, dificilmente a gestão adota mecanismos importantes de proteção, já que não quer correr o risco de “atrapalhar” ou limitar  tais procedimentos.

O problema, portanto, é de inteligência de dados. Para resolvê-lo, é preciso desenvolver soluções que busquem dados mais anonimizados, fazer maior uso de criptografia na base para que os dados mais valiosos não sejam comprometidos em caso de vazamento e utilizar mais mascaramento nas informações mais sensíveis. Quanto mais as bases forem anonimizadas e criptografadas, menor os investimentos em proteção, pois os vazamentos causarão menos danos. Em outras palavras, é importante não se limitar aos mecanismos de proteção, mas incluir, ainda, o controle de armazenamento.

Na Europa, onde a GDPR está consolidada, estima-se que cada euro gasto com proteção de dados retorna em média outros cinco euros. Proteção representa crescimento. As empresas que adquirirem uma cultura de segurança e privacidade de dados têm a tendência de serem mais bem vistas pelos clientes.  Aqui no Brasil, a LGPD já é uma força importante para convencer as empresas a se adequarem a uma nova mentalidade, mesmo que as punições ainda não estejam em vigor.

O vazamento recente dos dados de 230 milhões de brasileiros serviu de alerta. Caso se confirme que os dados foram vazados de um determinado serviço de proteção ao crédito, é natural esperar que as empresas procurarão outros serviços que demonstrem mais segurança e menos exposição do cliente. Mas esse caso particular foi apenas um exemplo: os riscos, como já disse, são grandes e iminentes. Quem mostrar-se confiável diante dessas ameaças certamente terá seu valor de mercado aumentado.

Leia mais:

LGPD e armazenamento em nuvem: o desafio das responsabilidades compartilhadas

Águas passadas movem moinhos: as lições de 2020 para planejar 2021