Os aspetos legais da cibersegurança e ciberdefesa

artigo-security-aspectos-legais

Atualmente, os dados são os ativos mais importantes de qualquer organização.

Isso fez com que as estratégias de proteção de dados, ou ao menos a necessidade de sua existência, ganhassem protagonismo nas empresas, visto que elas significam mais do que uma tendência ou política de TI, e sim uma atividade vital para a manutenção da empresa e sua competitividade no mercado.

Estamos vivendo na Era da Informação, logo não é de se espantar que os dados sejam considerados ativos tão valiosos. Além de seu valor estratégico, também são materiais para planejamentos de negócios, marketing e relacionamento com o cliente, a criação de novos produtos e oferta de serviços, dentre diversos outros fatores essenciais para uma empresa de sucesso.

Ainda, os clientes estão muito mais conscientes em relação à segurança de suas informações e não voltariam a se relacionar com companhias que falharam em protegê-las devidamente. Ou seja, não é apenas uma questão de realizar pesquisas e estudos dos bancos de dados, mas também de saber cuidar daqueles aos quais tiveram acesso, sobre o risco de perder clientes.

 

Proteção de Dados e suas regulamentações

O debate ganhou forças inéditas há alguns anos com o caso do Edward Snowden e voltou a receber fôlego com novas notícias de empresas que sofreram vazamento de informações, entre elas o caso brasileiro da Netshoes, que afetou quase 2 milhões de cadastros no início do ano, e o atual escândalo do Facebook, com mais de 400 mil perfis invadidos só no Brasil, pela Cambridge Analytica. As notas trazem luz a possibilidade inerente de que informações confidenciais poderiam ser facilmente acessadas caso as companhias não tenham planejamento adequado para a proteção de dados.

Isso ocorre a cada dia mais pois, devido a importância dos dados das empresas, elas acabam se tornando alvos constantes desta forma de ataque e podem expor informações importantes de seus clientes. Ainda, pessoas dentro destas empresas podem vazar as informações, intencionalmente ou não.

Para evitar o vazamento de dados — e saber lidar da melhor forma — é preciso ter um plano de proteção de dados regido por estratégias básicas e seguindo as regulamentações necessárias para respeitar os aspectos legais da cibersegurança e ciberdefesa no Brasil, que não pode se resumir apenas a soluções tecnológicas, políticas internas e táticas afins em planos de TI. Os aspectos legais são fundamentais para uma política de segurança de informação mais eficiente em tempos atuais.

Ainda, é importante conhecer a Lei 12.965/14, o Marco Civil da Internet, e o que ela delimita, o que inclui pontos como a proteção aos direitos autorais, o uso legítimo de dados e seu consentimento, preservação da privacidade, dentre outros.

Segundo a lei, é vetada a venda ou compartilhamento das informações pessoais de clientes e parceiros para empresas terceiras — nacionais ou internacionais — sem o consentimento prévio. Até mesmo o uso de cookies deve, por lei, ser avisado ao usuário e pedir seu consentimento.

Algumas das formas de se adequar ao Marco Civil da Internet é exatamente através de uma política de proteção de dados, que inclua ações como a adoção de um sistema de banco de dados seguro e atualizado e que previne o vazamento de dados, por exemplo. Não esqueça de disponibilizar uma Política de Privacidade e Termos de Uso no site da sua empresa.
Semelhante à lei brasileira, existe outra regulamentação que merece atenção: GDPR, o Regulamento Geral de Proteção de Dados (General Data Protection Regulation), da União Europeia. As empresas brasileiras que realizam negócios na UE ou oferecem serviços a cidadãos europeus, seja física ou virtualmente, precisam se atentar ao GDPR e suas particularidades.

A norma busca a proteção de informações pessoais e dados sensíveis dos cidadãos. Caso a empresa seja uma autoridade pública, esteja envolvida em monitoramento em larga escala de dados dos usuários ou se processa grandes volumes de informações pessoais dos usuários, ela deve contratar um DPO (Data Protection Officer) para o compliance na proteção de dados pessoais. As empresas que não se adaptarem a norma podem sofrer sanções previstas na lei incluem multas de até 10 milhões de libras. (Saiba mais sobre como a GDPR impacta as empresas no Brasil).

A cibersegurança deve, sempre, respeitar a privacidade para garantir a segurança da informação.

De modo geral, a melhor iniciativa é construir uma boa política de proteção de dados seguindo alguns passos, como:

  • utilizar o Big Data e a AI para prevenir ataques, focando na defesa para evitar ameaças;
  • conhecer bem o material protegido, com a noção de quais dados são os mais sensíveis e merecem maior proteção;
  • adoção da autenticação de dois fatores nos sistemas internos;
  • utilização de sistemas de proteção para o Cloud Computing e IoT;
  • difusão da mesma visão de segurança de dados por toda a empresa.

Saiba mais sobre segurança da informação:

Principais desafios da área de TI em segurança
Os avanços em segurança cibernética e privacidade de dados
O que é uma plataforma de gerenciamento e segurança de endpoints

Posts Relacionados

Comentários