A China introduziu novas leis de proteção de dados em 2022 e vários países devem fazê-lo em 2023. Os requisitos regulatórios criam uma colcha de retalhos de regras que as empresas multinacionais devem cumprir para garantir a segurança e privacidade das informações, bem como a proteção da propriedade intelectual. Companhias multinacionais lutam para manter conformidade e alto nível de segurança em todos os países que atuam.
Os regulamentos surgem à medida que as empresas, habilitadas em parte pelos avanços na análise de inteligência artificial, encontram mais maneiras de usar os dados que coletam: para operar com mais eficiência, gerenciar seus riscos, aprimorar os serviços ao cliente, criar e oferecer suporte a novos modelos de negócios e muito mais.
E essa não é preocupação apenas dos grandes players. Médias e pequenas empresas também precisam de uma estratégia de proteção dos dados.
Hoje, essa é uma das prioridades estratégicas dos gestores de TI. Conforme o Global Digital Trust Insights de 2023, metade dos líderes não se sentem confiantes na governança e segurança dos dados de suas organizações.
Neste artigo, mostramos porque a proteção de dados é tão relevante para empresas de qualquer porte e segmento.
Claranet: Proteção de dados - segurança para todos os negócios
Proteção de dados: uma pauta global
As empresas e o mundo mudaram muito nos últimos três anos. Ao lidar com os impactos imprevisíveis de uma pandemia, os gestores levaram suas empresas para além de sua zona de conforto: locais de trabalho remotos; ambientes em nuvem; fluxos de trabalho e cadeias de abastecimento quase totalmente digitais. O ponto é que, para cada avanço, surgem novos riscos cibernéticos de modo que a proteção de dados é uma pauta global.
Ainda segundo o estudo Global Digital Trust Insights de 2023, os executivos sênior acompanham as ameaças crescentes e se preocupam por não estarem totalmente preparados para enfrentá-las. Menos de 40% dos entrevistados do estudo dizem ter mitigado totalmente os riscos.
Na prática, os gestores sabem que precisam avançar na estratégia de proteção de dados com foco em cinco capacidades cibernéticas: identificar, detectar, proteger, responder e recuperar. Para tanto, tão importante quanto investir em tecnologia de ponta para proteção de dados é capacitar a equipe. Entenda o porquê no exemplo.
Violação de dados
Basta um clique errado em um email e pronto: uma violação de dados começa. Acontece, por exemplo, quando um funcionário abre um documento em um e-mail de phishing, ativando um malware.
Uma das consequências é a interrupção do serviço e o desligamento quase total das redes.
Mas por que esse tipo de violação acontece? O que deu errado?
O software antivírus executava regras desatualizadas que não detectavam malware incorporado no anexo malicioso. A falta de autenticação multifator permitiu que os invasores obtivessem acesso inicial.
Despercebidos na rede corporativa, os cibercriminosos realizaram o reconhecimento da rede e, por fim, comprometeram uma conta de administrador de domínio. Com esse acesso privilegiado, lançaram o malware que desligou grande parte da infraestrutura principal de TI e comprometeu os backups.
Além do tempo e do impacto financeiro de um incidente como esse, as violações de segurança também colocam em risco seu relacionamento com seus clientes. Quando eles confiam seus dados a você, esperam que você cuide deles. Por isso é tão importante desenvolver as melhores práticas de proteção de dados desde o início.
LGPD: uma ferramenta legislativa que visa garantir a proteção de dados
Criada pela Lei Federal 13.709/18, a Lei Geral de Proteção de Dados entrou em vigor em agosto de 2020, complementando o Marco Civil da Internet.
Baseada na GDPR – Regulamento Geral sobre Proteção de Dados da União Europeia, que teve seu marco inicial em 2018, a LGPD prevê a proteção dos dados de qualquer cidadão em território nacional quando utilizados por terceiros, sejam eles pessoas físicas ou jurídicas.
Na prática, a LGPD é um instrumento legislativo que visa impedir o aproveitamento indevido de informações captadas por empresas.
A lei é aplicada a todos os setores da economia e possui aplicação extraterritorial. Ou seja, toda empresa que tiver negócios no país deve se adequar. O descumprimento da lei pode gerar pesadas multas e restrições impostas pela ANPD.
A proteção de dados e a LGPD: o custo da não-conformidade é alto
Além de gerar prejuízo na imagem e na reputação da marca, quando a empresa se depara com uma violação de dados, ela precisa lidar com as penalidades cabíveis em caso de não-cumprimento da LGPD.
Aplicação de multas
As multas poderão chegar a até 2% do faturamento da empresa, grupo ou conglomerado no Brasil no último ano de exercício, excluídos os tributos, e limitada ao total de R$50 milhões por infração.
Pagamento de indenização
A empresa e parte controladora ou operadora dos dados está sujeita ao pagamento de indenização por danos patrimoniais, morais, individuais ou coletivos sofridos pelo titular, ou titulares dos dados.
Proteção de dados dos seus clientes: 10 dicas para colocar em prática
-
1. Entenda com quais dados você lida
Deixe claro para o cliente quais informações você coleta, para que são usadas, onde são armazenadas e se são repassadas a terceiros.
Lembre-se de que os dados podem ser acessados nos telefones e laptops de seus funcionários e contratados, bem como em seu sistema de computador centralizado.
Em tempos de home-office e anywhere-office, é indispensável ter uma ferramenta que permita acompanhar o nível de segurança das informações, independente de onde o usuário estiver.
Saber tudo isso ajudará você a entender o que precisa ser protegido e a elaborar o perfil de risco de cada usuário.
-
2. Entenda as leis às quais você está sujeito
Seja claro sobre as leis que se aplicam ao seu negócio na região em que você Embora o tipo de dados que você lida signifique que pode haver algumas nuances aqui, uma boa regra é seguir as regras de processamento de dados da LGPD para os dados coletados, pois geralmente são considerados os mais rigorosos. Além disso, se você e armazenar dados do titular do cartão, precisará certificar-se de que está em conformidade com o PCI.
-
3. Proteja sua rede wi-fi e senhas
Se operar em um escritório ou espaço físico, tenha sua própria rede wi-fi, em vez de usar uma rede pública ou compartilhar com outras empresas. Configure a rede com opções separadas para funcionários e convidados.
Além disso, ao configurar a rede, opte pelo protocolo de segurança WPA2 (acesso protegido sem fio 2), que oferece criptografia e exige senhas mais longas. O recomendado é alterar a senha da sua rede wi-fi com frequência.
De preferência, sempre senhas longas - com símbolos, números e letras maiúsculas - e atualizadas a cada 90 dias ou menos. Você também pode implementar a autenticação multifator em pontos críticos.
-
4. Incentive o uso de uma VPN, se necessário
Se os colaboradores precisam acessar o servidor da empresa enquanto usam qualquer tipo de wi-fi público, como em um café ou espaço de coworking, certifique-se de que eles usem uma VPN (rede privada virtual). Na prática, este tipo de rede cria uma espécie de túnel que ninguém pode acessar, seja qual for a rede em que o usuário está.
-
5. Instale as ferramentas certas
Em alguns casos, a tecnologia antimalware e antispyware é incorporada a dispositivos como laptops e celulares. De todo modo, verifique e confirme se as ferramentas estão ativadas.
Coloque um firewall para atuar como uma barreira, impedindo a entrada de forças hostis e o vazamento de dados confidenciais. As ferramentas de segurança de e-mail que sinalizam links externos e os marcam como phishing também são muito importantes, já que os e-mails são um meio comum de ataque.
Por fim, o software de criptografia garante que seus dados sejam criptografados. Assim, se as barreiras de proteção de dados falharem, você terá uma linha final de defesa.
-
6. Nomeie um oficial de proteção de dados
Dê essa responsabilidade a um profissional. Ele irá monitorar a conformidade, o treinamento e a auditoria e fazer a ligação com os órgãos reguladores. Além disso, se e quando os clientes interessados em privacidade entrarem em contato, eles desejarão falar com o profissional responsável por supervisionar a proteção e a segurança dos dados.
-
7. Comunique-se com seus clientes
Os clientes têm o direito de saber por que a empresa coleta seus dados, quem mais pode vê-los e por quanto tempo os reterá. Isso deve ser declarado no que é chamado de aviso de privacidade, e você pode adicioná-lo ao seu site de acordo com seus termos e condições.
Para isso, seja claro sobre o que a lei exige que você diga. É importante ainda ter uma política de cookies clara e um aviso que permita aos clientes optar por não participar, se assim o desejarem. No futuro, forneça um portal simples onde os clientes possam acessar, editar e controlar seus dados.
-
8. Eduque sua equipe sobre a proteção de dados
Todos os colaboradores devem ter noções de segurança de senha, saber como detectar golpes de e-mail, relatar violações e cuidar de dispositivos físicos. A empresa pode, inclusive, criar um boletim informativo sobre boas práticas de segurança cibernética. O responsável pelo envio deve garantir que os destinatários tenham optado por recebê-lo ativamente.
-
9. Proteção de dados: faça backup sempre!
Mesmo que seu sistema seja o mais seguro possível, você ainda corre riscos. É absolutamente essencial que você crie backups de seus dados, que pode ser automatizado em alguns sistemas de nuvem, ou ainda feito um disco rígido. Faça backup regularmente, sempre! Se você fizer isso diariamente, o máximo de dados que você pode perder é um dia.
-
10. Prepare-se para o pior e atualize os sistemas
Construa um plano de ação em resposta a um ataque cibernético. Se isso acontecer, você precisará do suporte de especialistas externos, por isso vale a pena estabelecer contato com um especialista em segurança de dados.
Além disso, observe sempre as novas normas regulatórias e atualize seu sistema e sua política de proteção de dados. Os sistemas de cibersegurança devem ser atualizados regularmente, pois os hackers constantemente mudam de tática e a regulamentação está em constante evolução.
Da mesma forma, se você começar a coletar dados diferentes ou mais confidenciais, precisará rever sua abordagem.
Proteção de dados para 2023: como e porque a cibersegurança é vital para qualquer negócio?
Especialmente para empresas que usam sistemas de gestão, como ERP, CRM e WMS, ter uma política consistente de proteção de dados é ainda mais importante.
Em um hospital, por exemplo, o vazamento de dados de prontuários médicos pode ser desastroso. Entre as instituições financeiras, a preocupação também é latente.
Para ambos os setores e muitos outros, a Claranet oferece soluções de proteção de dados, que preservam a integridade das informações e ainda ajudam a oferecer experiências personalizadas, com compliance e segurança.
Contar com um parceiro de tecnologia confiável, como a Claranet, faz toda a diferença para empresas que desejam aumentar e garantir a proteção de dados.
Conclusão
A proteção de dados é um tema abrangente e amplo, com muitas variáveis. Isso porque as regulamentações específicas diferem conforme a política do país e o tipo de dado. Contudo, existem princípios básicos que a gestão de TI deve seguir, incluindo responsabilidade, transparência e confidencialidade.
O consumidor está ciente dos perigos do uso indevido de dados. Se ignorar as normas da LGPD e as boas práticas de proteção de dados, você perderá a confiança dele.
Para se manter competitivo e fornecer tranquilidade ao cliente, você precisa de uma política de proteção de dados consistente, eficaz e ágil. Invista nas melhores ferramentas e boas práticas, revise sua estratégia à medida que as coisas mudam e esteja pronto para reagir com rapidez e calma no caso de um desastre.
Entre em contato com a Claranet e saiba como podemos ajudar na estratégia de cibersegurança da sua empresa.