Em 2019, o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (Cert.br ) registrou 875.697 incidentes de segurança. Os dados de 2020 e 2021 ainda não foram divulgados oficialmente, mas relatórios de empresas privadas sugerem um aumento de até 60% nos registros de incidentes, especialmente, nesses tempos de isolamento social, quando as pessoas foram forçadas a digitalizar a vida, seja para fins de teletrabalho, ensino remoto ou compras e vendas pela Internet.
De acordo com o advogado especialista em Direito Digital e Privacidade. Pós-graduado em Direito Digital e Compliance pelo IBMEC, Victor Prata, as invasões acontecem de diversas formas e estão relacionadas, principalmente, a falhas humanas dos colaboradores que, muitas vezes, não são devidamente instruídos em relação às práticas de segurança da informação e às obrigações em relação à proteção de dados pessoais.
“No momento, os ataques mais comuns no Brasil são os de phishing, no qual o invasor envia um link malicioso ou um e-mail suspeito oferecendo um desconto inesperado. A partir deste momento, embora o computador possa ter toda a tecnologia de segurança disponível, o usuário clica no link e ‘abre a porta’ para o hacker acessar o dispositivo”, esclarece.
Para Victor Prata, além do investimento em infraestrutura técnica de segurança da informação, treinamento de pessoal em relação ao uso seguro dos dispositivos (computadores, celulares, roteadores, entre outros), é fundamental a criação de políticas internas como Política de Segurança da Informação e Plano de Resposta a Incidente; estruturação de contratos com empregados, clientes e fornecedores em relação ao uso de dados.
“Para a estruturação da segurança da informação, é necessário que a empresa faça a contratação de serviços VPN, servidores de e-mail confiáveis, softwares legítimos, uso de antivírus, segurança em nuvem e servidores seguros”, afirma.
Elo frágil
Com uma postura parecida, o sócio do escritório Prado Vidigal Advogados, especializado em direito digital, privacidade e proteção de dados, Luis Fernando Prado concorda que, em matéria de segurança da informação e proteção de dados, o elo mais frágil quase sempre é o agente humano. “Portanto, a principal recomendação é investir em treinamentos e medias constantes e reiteradas de conscientização de pessoal, com o objetivo de mitigar a possibilidade de violações de dados pessoais e segredos empresariais”, explica.
Para ele, essa capacitação das equipes é uma medida que, em regra, não exige investimento tão elevado (se comparada a outros controles aplicáveis), e que tende a diminuir significativamente riscos.
“Além disso, devem as empresas analisar, com auxílio de profissionais especializados, se as regras internas e tecnologias utilizadas são proporcionais ao porte, faturamento e complexidade da organização. Atitudes simples, como manter sistemas atualizados, são cruciais para diminuir as chances de que algo indesejado aconteça”, completa.
Victor Prata enfatiza que os crimes cibernéticos, em verdade, muitas vezes, costumam ser os mesmos crimes praticados de forma off-line, porém praticados com o advento da Internet e de dispositivos digitais como celulares, computadores ou dispositivos de IoT.
“Os crimes de falsificação ideológica que ocorre na Internet através do roubo de dados pessoais para criação de cartões de crédito ou de contas digitais é um dos mais comuns”, esclarece, mas lembra que o furto, onde o invasor acessa o celular ou computador da vítima e faz transferências bancárias ou via conta digital, também é muito frequente. “Infelizmente, outro crime bastante comum é a extorsão, no qual o invasor acessa arquivos, fotos e vídeos da vítima e exige pagamento como mediante a ameaça de divulgação das informações”, completa.
LPGD
O professor de Direito e assessor jurídico do Tribunal de Justiça da Bahia responsável pela LGPD, Danilo Santana lembra que a Lei Geral de Proteção de Dados é um marco no meio jurídico e, como tal, inovou ao definir regras para o tratamento de dados.
A lei considera como dados toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração
Nesse contexto, a falha no tratamento de dados pelo controlador e/ou operador, significa dizer, aquele quem define e quem realiza o tratamento, respectivamente, pode gerar sanções para as empresas, desde a reparação de danos individuais ao titular dos dados, a chamada indenização, até sanções administrativas, como multas.
“Importante dizer que, a própria lei define, o vazamento não será punido quando comprovada culpa exclusiva do próprio titular do dado ou de terceiros ou que não houve violação à legislação que rege a proteção de dados, ou que o tratamento de dados pessoais foi realizado por outra pessoa”, esclarece, ressaltando que assim deve ser analisada a origem do vazamento para a definição de quem será a responsabilidade.
Victor Prata lembra que no sentido da LGPD, os colaboradores da empresa e os consumidores, enquanto pessoas naturais, deverão ter os seus dados protegidos, tendo em vista que depositaram a confiança de que os respectivos dados seriam armazenados e gerenciados corretamente por aquela empresa. “É de extrema importância que as empresas disponibilizem dispositivos corporativos (como celulares, computadores e roteadores) dotados de sistemas operacionais e programas legítimos, disponibilizem VPN segura para acesso aos servidores e comunicação interna”, finaliza.
Fonte: Correio 24 Horas