Por Alexandre Tamura e Julia Bersan* – À medida que o mundo empresarial se torna cada vez mais dependente de tecnologia, os incidentes de segurança da informação se tornaram uma ameaça significativa para as organizações. Ataques cibernéticos, como o ransomware agora não são meros problemas técnicos, mas uma preocupação de grande relevância para reguladores do mundo todo.
Segundo dados divulgados pela Fortinet, empresa de software, produtos e serviços de cibersegurança, o Brasil é o segundo país mais atingido por ataques cibernéticos na América Latina, ficando atrás apenas do México.
Ainda conforme a pesquisa, em 2022 o país testemunhou uma impressionante marca de 103 bilhões de tentativas de ataques, registrando 16% a mais em relação ao ano anterior. Além disso, aproximadamente 86% desse total está relacionado ao ransomware, indicando motivação financeira substancial por trás dessas ações.
Esses dados revelam que, à medida que a tecnologia avança, os cibercriminosos se adaptam rapidamente a novas práticas diante às vulnerabilidades. Essa posição coloca não apenas as empresas em risco, mas também a privacidade e a segurança das informações de clientes e parceiros.
Nesse aspecto, os reguladores, como a Comissão de Valores Mobiliários (CVM), Banco Central do Brasil (BCB) e a Superintendência de Seguros Privados (SUSEP) têm adotado uma postura proativa em relação à segurança cibernética, estabelecendo diretrizes rigorosas que as empresas listadas devem seguir. Tudo isso com o objetivo de garantir a proteção da confidencialidade, integridade e disponibilidade dos dados.
Assim, utilizar ferramentas especializadas é fundamental para o monitoramento da segurança das informações em tempo real, tendo como foco indicadores de riscos para a mitigação de ameaças e melhoria dos controles. No entanto, é relevante que as empresas tenham comandos efetivos, que sejam adequados ao tipo de mercado de atuação, bem como ao porte e complexidade da operação.
Além disso, estes controles precisam levar em conta o fluxo de comunicação interna, pois nem sempre um incidente começará na infraestrutura de TI e, assim, não será gerado um alerta nos monitoramentos de tecnologia. Portanto, além dessa logística, deve-se ter o treinamento e a conscientização dos funcionários.
Isso porque é de extrema importância que os colaboradores não caiam em armadilhas como phishing, ou seja, e-mails falsos que permitem o roubo de informações que podem resultar em invasões na infraestrutura de TI. Logo, para que episódios como estes não ocorram, as organizações devem estimular a comunicação efetiva em torno destes incidentes, além de promover a atenção da gestão de terceiro.
Nesse contexto, é de extrema importância que os usuários comuniquem às áreas de governança corporativa a mínima suspeita de um eventual ataque cibernético, bem como informar qualquer falha ou erro operacional, em que dados de pessoas naturais, clientes, inclusive da empresa, entre outros, possam ter sido tratados de forma irregular. Afinal, de nada adianta os investimentos internos se os prestadores de serviço não adotam os mesmos padrões que a contratante.
É contundente que as empresas abordem determinadas questões desde o momento da contratação, com a formalização de termos de confidencialidade (non-disclosure agreement – NDA), que são elaborados com rigor para garantir que todas as partes entendam as responsabilidades e os riscos associados à gestão de informações sensíveis. Além disso, deve priorizar a due dilligence (em português, ‘diligência prévia’) com os fornecedores, o que envolve avaliar a capacidade de proteger dados e informações confidenciais da empresa.
A partir dessas medidas, as organizações podem reduzir significativamente os riscos relacionados à segurança da informação e garantir que os dados permaneçam protegidos, independentemente de onde residam no ecossistema corporativo. Essa abordagem não apenas protege, mas também amplia a confiança de clientes e parceiros de negócios.
*Alexandre Tamura e Julia Bersan atuam na área de Data Privacy da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação e proteção e privacidade de dados.