Cibersegurança nas empresas brasileiras: uma leitura provocativa

Data:

Cibersegurança nas empresas brasileiras: uma leitura provocativa | Juristas
Gabriel Fortes

De acordo com a pesquisa “TIC Empresas 2021”, promovida pelo Comitê Gestor da Internet no Brasil, apenas 50% das empresas brasileiras aparentemente têm uma política interna de cibersegurança, com maior proeminência nas médias e grandes empresas. As pequenas empresas ficam para trás também nesse quesito.

O fato chama a atenção para algumas conclusões iniciais. A primeira é que, se a maioria das nossas empresas é de pequeno porte, então a maior parte da malha de negócios deve estar descoberta do mínimo de medidas técnicas e gerenciais de proteção digital. Ou seja, o mercado brasileiro parece ser uma mina de dados a ser explorada por cibercriminosos.

Adicionalmente, tendo baixo calibre econômico, dificilmente as pequenas empresas investem muito em segurança digital, o que as deixa ainda mais vulneráveis do que as médias e grandes organizações. Ou seja, a maioria das empresas no Brasil é alvo fácil para golpes, invasões e vazamento de dados. Afinal, se forem atacadas, as menores tendem a apresentar menor estrutura de defesa e menor poder de reação.

Para piorar, sendo de pequeno porte, são provavelmente mais frágeis para enfrentar crises de segurança – serviço parado, sistema fora do ar, perda de bancos de dados, dentre outros incidentes – e têm menos cacife para bancar a reparação de danos. Ou seja, para a maioria das empresas brasileiras, o quadro de cibersegurança pode facilmente evoluir para o caos!

A verdade é que o gerenciamento de riscos digitais tem se revelado um dos desafios mais críticos para a maioria das organizações, independentemente do porte. Conforme cresce o nível de digitalização dos negócios, aumentam também os riscos ligados à segurança dos dados que estão sob responsabilidade legal de toda empresa.

E, para agravar o quadro, a partir da Lei Geral de Proteção de Dados, os riscos envolvidos com a segurança da informação passaram a ter uma dimensão ainda maior. Além dos impactos econômicos possíveis (como perda de produtividade, prejuízos financeiros, danos à marca etc.), existe agora o risco provável de sofrer penalidades administrativas e responsabilização judicial.

Essa é uma realidade que precisa ser enfrentada seriamente, mas de maneira adequada. Afinal, as medidas de proteção não podem inviabilizar a própria atividade econômica que elas deveriam viabilizar. Não adianta gastar todo o orçamento nisso, e tampouco seria producente amarrar toda estrutura operacional da empresa buscando risco zero.

Isso quer dizer o que parece óbvio: é preciso trabalhar a cibersegurança, sem travar as operações e iniciativas com excesso de restrições, mas também sem descuidar dos impactos negativos que podem advir justamente da falta de controles. É disso que se trata quando falamos da gestão de riscos digitais.

O problema é que, como dito acima, nem mesmo a adoção de políticas básicas de segurança da informação é uma realidade para a maioria das organizações. Quer dizer, sequer há regras, limites e processos claros na maioria das empresas sobre comportamentos de risco e medidas para evitá-los ou minimizar impactos.

Por outro lado, a saída desse quadro pode estar justamente na crescente “ameaça” da LGPD. Sim, a legislação, que traz inúmeras obrigações e responsabilidades, pode ser o divisor de águas para estimular a adoção de boas práticas de cibersegurança no mercado. Como se diz no dia a dia: se não for por bem, vai acabar indo por mal.

A tarefa, certamente, é complexa. Até porque, de um lado, dados pessoais costumam circular por praticamente toda a estrutura das empresas, de maneira pulverizada, em vários ambientes (e-mail, sistemas de terceiros, WhatsApp, servidores internos, redes sociais, planilhas etc.), o que aumenta os riscos de incidentes com essas informações (roubo de credenciais, vazamento de informações, sequestro de bancos de dados).

De outro lado, são variadas as regras estabelecidas pela LGPD sobre como lidar com dados de pessoas. Regras essas que devem ser observadas em cada uma das atividades dentro da empresa. Ou seja, atuar de maneira diversa do que prescreve a lei (com suas permissões, limites, obrigações, direitos etc.) é mais um risco a ser calculado no quadro atual.

Portanto, podemos dizer que as empresas correm pelo menos dois tipos de riscos ligados à proteção de dados: aqueles que podem impactar sua operação, finanças, reputação (riscos de segurança), bem como aqueles
ligados às sanções e responsabilidades legais (riscos de conformidade). Além da queda, o coice, como se diz.

De todo modo, não dá para fugirmos dessa realidade. É preciso enfrentá-la. As ferramentas para isso estão ligadas à ideia de gestão de riscos. Isso deve ser realizado de maneira conjunta, pois a própria LGPD prevê obrigações de segurança digital que precisam ser cumpridas pelas empresas, sejam grandes, médias ou pequenas.


Você sabia que o Portal Juristas está no FacebookTwitterInstagramTelegramWhatsAppGoogle News e Linkedin? Siga-nos!

Notícias, modelos de petição e de documentos, artigos, colunas, entrevistas e muito mais: tenha tudo isso na palma da sua mão, entrando em nossa comunidade gratuita no WhatsApp.

Basta clicar aqui: https://bit.ly/zapjuristas

Gabriel Fortes
Gabriel Fortes
Advogado na área de proteção de dados e segurança digital do escritório Fortes Nasar Advogados. Pós-Graduado em Direito Digital e Compliance. MBA em Liderança Estratégica e Gestão Financeira. Mestre em Direito Constitucional. CPC-PD ©.

Deixe um comentário

Compartilhe

Inscreva-se

Últimas

Recentes
Veja Mais

Concessionária de energia é condenada a indenizar usuária por interrupção no fornecimento

A 33ª Câmara de Direito Privado do Tribunal de Justiça de São Paulo manteve a condenação de uma concessionária de energia ao pagamento de R$ 10 mil por danos morais a uma usuária que ficou sem fornecimento de energia elétrica por quatro dias, após fortes chuvas na capital paulista em 2023. A decisão foi proferida pelo juiz Otávio Augusto de Oliveira Franco, da 2ª Vara Cível do Foro Regional de Vila Prudente.

Homem é condenado por incêndio que causou a morte do pai idoso

A 3ª Câmara de Direito Criminal do Tribunal de Justiça de São Paulo confirmou a condenação de um homem pelo crime de incêndio que resultou na morte de seu pai idoso. A decisão, proferida pela Vara Única de Conchal, reduziu a pena para oito anos de reclusão, a ser cumprida em regime fechado.

Remuneração por combate a incêndio no Porto de Santos deve se limitar ao valor do bem salvo

A 9ª Vara Cível de Santos condenou uma empresa a pagar R$ 2,8 milhões a outra companhia pelos serviços de assistência prestados no combate a um incêndio em terminal localizado no Porto de Santos. O valor foi determinado com base no limite do bem efetivamente salvo durante a operação.

Casal é condenado por expor adolescente a perigo e mantê-lo em cárcere privado após cerimônia com chá de ayahuasca

A 13ª Câmara de Direito Criminal do Tribunal de Justiça de São Paulo (TJSP) confirmou a condenação de um casal pelos crimes de sequestro, cárcere privado e exposição ao perigo à saúde ou vida, cometidos contra um adolescente de 16 anos. A decisão, proferida pela juíza Naira Blanco Machado, da 4ª Vara Criminal de São José dos Campos, fixou as penas em dois anos e quatro meses de reclusão e três meses de detenção, substituídas por prestação de serviços à comunidade e pagamento de um salário mínimo.