O que é e como evitar vazamento de dados
Todos os dias milhões de pessoas fornecem seus dados pessoais no meio digital, para acessarem serviços e compras online.
Inclusive, não existe nenhuma dúvida de que dados de pessoas usuárias e clientes se tornam, cada vez mais, um patrimônio para as empresas. Especialmente diante do valor estratégico que eles representam.
Junto ao valor de acessar os dados pessoais, as empresas passam a correr o risco de sofrer ataques que coletam e expõem indevidamente esses dados.
Quer dizer, em contraponto ao bônus surge o ônus: as empresas recebem uma nova responsabilidade de garantir a segurança desses dados, sob pena de sanções graves.
Infelizmente, esses ataques estão se tornando cada vez mais comuns. O relatório da Kaspersky apontou que, durante a pandemia, empresas sofreram mais que o dobro de tentativas de ataques cibernéticos em comparação ao ano de 2019.
Além disso, a Apura Cyber Intelligence constatou que, pelo menos, 69 empresas brasileiras foram alvo de ataques de vazamento de dados no primeiro semestre de 2021.
Um estudo da IBM mostrou que, em 2021, o custo médio da violação de dados no Brasil foi o maior em 17 anos: aumentou de USD 3,86 milhões para USD 4,24 milhões.
No entanto, se as boas práticas para segurança de dados não podem evitar completamente esses riscos, podem, ao menos, mitigar os danos de um vazamento.
Esse artigo vai te mostrar as principais boas práticas de segurança de dados, para proteger sua empresa de um ataque desse tipo.
Mas, já te adianto, além de uma exigência legal (que pode, inclusive, causar sanções em razão de descumprimento), a adequação à LGPD é a principal forma de proteger sua empresa. Afinal de contas, essa legislação nasceu justamente com esse objetivo. Vamos lá?
O que é vazamento de dados?
Em termos simples, o vazamento de dados é um tipo de ataque cibernético em que acessam, de forma indevida, dados pessoais ou dados profissionais.
Nessas situações de vazamento de dados, não há só exposição de dados pessoais (até de dados pessoais sensíveis!), mas também existe o risco de divulgação para outras pessoas, com as mais diversas intenções.
O vazamento de dados pode acontecer com informações básicas – como CPF, telefone, endereço -, mas podem evoluir para dados mais complexos, como senha e dados bancários, por exemplo.
Nesse ponto, pode-se perceber que os danos desses ataques podem ser de duas formas diferentes: em uma perspectiva individual e coletiva.
Na camada individual, pessoas físicas sofrem danos com a exposição de seus dados pessoais e de informações pessoais sigilosas.
Em uma perspectiva coletiva, muitos casos de vazamento de dados acontecem a partir de ataques cibernéticos a empresas que têm um banco de dados de seus clientes.
Principais causas de vazamento de dados
Existem diversas possíveis causas de vazamento de dados. Mas, de forma geral, essas causas podem se dividir em três formatos diferentes:
- Ataques externos aos sistemas da empresa
- Vazamento intencional por pessoas internas
- Falhas no sistema
Sem dúvida, a maior incidência de vazamentos de dados acontece por ataques externos. Alguns tipos de ataques são malwares, ransomwares e phishing. Ou seja: recursos com más intenções.
Além disso, outros casos de vazamento de dados acontecem por más intenções de pessoas internas às empresas, como vingança de colaboradores insatisfeitos com as condições de trabalho.
Mas podem simplesmente acontecer por falhas de comunicação de segurança ou erros humanos não intencionais.
Isso significa que um plano eficiente para evitar vazamento de dados deve levar em consideração todos esses tipos de causas. Ou seja: deve abranger pessoas, processos e tecnologia.
Como evitar o vazamento de dados da empresa
Como você já sabe, não existem medidas que eliminem 100% dos riscos de vazamento de dados.
No entanto, existem boas práticas e hábitos de gestão de dados que auxiliam a reduzir bastante esse risco.
1. Utilizar servidores e tecnologias seguras
O primeiro passo, sem dúvida, é se certificar de usar servidores e tecnologias seguras.
Então, preste atenção para:
- Usar firewall forte
- Usar senhas complexas
- Usar antivírus de qualidade
- Fazer backup regularmente
- Usar certificados digitais
- Manter softwares e programas atualizados;
- Proteger dispositivos móveis
- Usar proteções em sistemas de nuvem
2. Investir em criptografia
A criptografia é uma das melhores formas de evitar invasões e roubo de dados. Isso porque ela garante que os dados importantes do banco de dados da sua empresa não estejam facilmente acessíveis.
Sem dúvidas, isso dificulta as ações dos ataques e de erros involuntários. Já que cria uma barreira efetiva para proteger os dados.
3. Criar políticas de segurança para toda a empresa
Um passo importante para a segurança dos dados é orientar todas as pessoas colaboradoras da empresa.
Afinal de contas, nem o software mais poderoso consegue evitar uma causa frequente de vazamento de dados: erros involuntários de pessoas.
É necessário que todas as pessoas saibam quais comportamentos podem expor os dados da empresa aos ataques cibernéticos.
Por esse motivo, é necessário criar uma política clara de segurança e realizar treinamentos constantes para os funcionários.
4. Criar políticas de cookies, termos de uso e política de privacidade
Outra forma de proteger sua empresa de vazamento de dados é criar políticas de cookies, termos de uso e política de privacidade.
Vamos entender melhor o que significa cada um desses documentos.
Política de privacidade
A Política de Privacidade é um documento que serve para informar às pessoas usuárias do site como suas informações pessoais serão coletadas, armazenadas e compartilhadas com outras empresas.
Ou seja, ela é o contrato que estabelece a relação entre a pessoa usuária e o provedor. A parte mais importante é que é uma ferramenta que dá possibilidade de o usuário aceitar ou não o uso de seus dados, o que pode evitar problemas jurídicos futuros.
Além do mais, a Política de Privacidade deve se adequar à LGPD, visto que a responsabilidade pelos dados pessoais de usuários é um dever da empresa.
Tenha atenção ao fato de que a Política de Privacidade deve atender às necessidades e às demandas específicas da empresa, sob pena de cair em disfuncionalidade. Então, evite pegar modelos prontos na internet.
Política de cookies
A Política de Cookies é um documento que compreende todas as informações necessárias ao usuário sobre os cookies da plataforma.
Assim, na Política de Cookies deve constar:
- quais são os cookies do site;
- qual é a função de cada um;
- como é possível desabilitá-los; e
- pedir o consentimento do usuário para que sejam usados.
A Política de Cookies é essencial para que o armazenamento de algumas informações – essenciais para a empresa proprietária do site e para os usuários – esteja conforme prevê a LGPD.
Termos de Uso
Os Termos de Uso indicam as regras que as pessoas usuárias devem respeitar ao usar o site. De forma geral, é um documento que compreende a obrigação das pessoas de verificarem as informações disponíveis no site e um aviso de isenção de responsabilidade.
Os pontos essenciais dos Termos do Uso são:
- Breve descrição do produto ou serviço;
- Capacidade para uso do app, como idade mínima;
- Quais as responsabilidades do usuário;
- Responsabilidades da empresa;
- Disposições sobre propriedade intelectual e direitos autorais.
- Citar peças-chave sobre a privacidade, incentivando também a leitura da
- Política de Privacidade;
- Preço e formas de pagamento;
- Informações quanto a entrega dos produtos;
- Direito de arrependimento e troca.
5. Adequar-se à LGPD
Não tem como fugir de criar iniciativas de compliance na empresa. Essa ideia de conformidade consiste em, de forma geral, alinhar um conjunto de políticas e práticas para adequar a empresa às principais normas e leis de proteção e uso de dados.
Nesse ponto, deve-se ter atenção especial à Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/18), que estabelece os regulamentos sobre registros e uso de dados. O objetivo principal da LGPD é proteger os direitos fundamentais de liberdade e privacidade de pessoas físicas e jurídicas.
É por isso que, por exemplo, a LGPD estabeleceu um tratamento distinto aos dados pessoais sensíveis, que dizem respeito à origem racional, convicção religiosa, opinião política, filiação de sindicato, dados referentes à saúde ou vida sexual e genéticos.
A LGPD, em uma forma esquemática, descreve dez princípios relativos ao tratamento dos dados, na internet:
- Da finalidade: a obtenção dos dados deve ter um fim específico.
- Da adequação: tais fins devem se relacionar ao propósito da empresa.
- Da necessidade: deve-se coletar apenas o mínimo possível dos dados.
- Do livre acesso: o usuário deverá ter a possibilidade de acessar os dados que cada empresa tem sobre ele.
- Da qualidade: deve-se atualizar os dados com recorrência.
- Da transparência: a empresa deve tratar o usuário com clareza.
- Da segurança: deve-se tomar as medidas necessárias para a proteção dos dados.
- Da prevenção: deve-se utilizar meios para prevenir qualquer eventual vazamento de dados.
- Da não discriminação: a empresa não pode discriminar os usuários pelos seus dados.
- Da responsabilização: a empresa deve se responsabilizar pelo tratamento dos dados.
Esses princípios regem as políticas que as empresas precisam adotar para utilizar os dados.
Como você já deve saber, empresas em desconformidade com a LGPD podem sofrer graves punições, como multas, advertências e até suspensão das atividades.
Bom, já deu pra perceber que, quando se tratam de estratégias para segurança de dados, são muitas possibilidades. Não tem como fugir. Sua empresa precisa se adequar à LGPD, além de instituir Política de Privacidade e Termos de Uso.
Nesse caso, é fundamental contar com conhecimentos técnicos e aprofundados. Para garantir a sua segurança jurídica, recomenda-se conversar com uma assessoria jurídica personalizada.
A assessoria irá entender quais são as suas necessidades específicas e fornecerá recomendações úteis ao seu negócio.
Quer saber mais sobre LGPD? Acesse um ebook com os principais erros e acertos de gigantes empresariais para proteger seu negócio!
Escrito por Beatriz Coelho, redatora e mestra em Direito.