Para evitar aplicações de multas pesadas pela regulamentação GDPR, por exemplo, deve-se implementar ferramentas de proteção de mercado, realizar treinamento para usuários e tomar todos os cuidados com o desenvolvimento de aplicações

Há muito tempo o mundo em que vivemos é movido a dados.  A comunicação tem sido o motor evolutivo da sociedade desde a invenção da escrita. Entretanto, desde o início deste ano essa pauta tem ganhado muito mais relevância e força neste processo. O assunto “proteção de dados” ganhou as páginas dos jornais por conta do emblemático caso do Facebook, cujos dados de milhões de seus usuários foram utilizados para fins políticos por meio de uma empresa britânica.

No entanto, esta discussão já deveria estar na pauta das companhias há pelo menos uma década, pois trata-se de um tema sensível e, mais do que nunca, agora, estar em compliance com o GDPR (General Data Protection Regulation), a recente legislação europeia em vigor desde maio passado, pode significar a diferença entre fechar as portas ou seguir com suas atividades.

Não é exagero! O Brasil é um grande parceiro comercial da Europa e estamos expostos a esta legislação. Imagine que sua empresa fique sujeita à aplicação de multas de 4% de seu faturamento ou a 20 milhões de euros em caso de vazamento ou uso de dados de cidadãos europeus.

Para evitar isso, deve-se implementar as ferramentas de segurança de mercado, realizar treinamento para usuários e tomar todos os cuidados com o desenvolvimento de aplicação. Atualmente, a gestão de vulnerabilidade com aplicações de patch e as ações proativas e preventivas em bloquear ataques prováveis têm trazido maior efetividade para a segurança da empresa.

Os dados de terceiros que ficam sob sua responsabilidade devem ser tratados com transparência. As regras devem ser claras para o cliente de como os dados serão utilizados para que, então, o cliente dê a autorização sobre este tratamento. Além disso, deve-se desenvolver mecanismos para esconder do acesso público os dados pessoais dos clientes utilizando apenas dados secundários na geração de gráficos ou para uso em Machine Learning.

E não é só o GDPR

O GDPR foi o fomentador de uma série de mudanças no mundo no que tange a discussão de dados. No Brasil, por exemplo, o projeto de Lei número 53, da Câmara dos Deputados, que regula a proteção dos dados pessoais e define as situações para coleta e tratamento desses dados tanto por empresas quanto pelo Poder Público, foi aprovado pelo Senado no último dia 10 de julho e agora aguarda pela sanção do presidente Michel Temer. A lei prevê sanções como multas de até 2% do faturamento da empresa envolvida até um limite de R$50 milhões. Dependendo do setor em que atua, a adequação a esta nova realidade pode ser um importante diferencial competitivo no mercado.

Não basta se defender

As empresas interessadas em entrar em conformidade com as novas legislações de proteção de dados devem investir não só em aplicações de defesa, como também em ferramentas que façam o diagnóstico de seus ambientes, a fim de prevenir eventuais problemas. Somente desta forma as companhias garantem que os atacantes não tenham acessos indevidos e comprometam os mecanismos de segurança desenvolvidos nas aplicações.

É importantíssimo testarmos a segurança da aplicação e da infraestrutura em vários cenários e gerar regras e assinaturas para sistemas de Firewall, WAF e IPS.

Evidentemente ninguém é “obrigado” a se especializar nestas soluções complexas de segurança. Para isso, as empresas podem buscar por serviços gerenciados especializados que lhes dê apoio nesse movimento de se manter em conformidade e proteger os dados dos cidadãos.

Adicionalmente, é conveniente mostrar aos visitantes de seu site que sua companhia está aplicando o que há de mais moderno na segurança de sistemas e dados. Atualmente há “selos” virtuais que garantem aos usuários que a navegação é segura.

O volume de dados gerados no mundo nos últimos anos criou uma necessidade de adequação instantânea seja por parte das pessoas ou das empresas. O GDPR começou muito bem e será aprimorado com o tempo. Entretanto, a adaptação cultural é lenta e depende de gerações novas assumirem a posição das antigas, com novos hábitos e concepções.

Uma empresa que “permita” vazamento de dados de clientes hoje, além do problema de legislação com multas pesadíssimas, sofrerá imediatamente um desgaste imenso de sua reputação, ambos muito ruins. A multa do GDPR traz um alerta às empresas que eventualmente possam achar que o dano à sua imagem não seja relevante.

Por outro lado, a quantidade de empresas que hoje dependem diretamente da proteção dos dados dos clientes (como as Fintechs) está aumentando exponencialmente, e nestes casos, sim, a imagem é uma questão de vida ou morte.

* Rodrigo Jonas Fragola é CEO da OGASEC

Fonte: Security Report