Cibersegurança nas empresas brasileiras: uma leitura provocativa

Data:

Cibersegurança nas empresas brasileiras: uma leitura provocativa | Juristas
Gabriel Fortes

De acordo com a pesquisa “TIC Empresas 2021”, promovida pelo Comitê Gestor da Internet no Brasil, apenas 50% das empresas brasileiras aparentemente têm uma política interna de cibersegurança, com maior proeminência nas médias e grandes empresas. As pequenas empresas ficam para trás também nesse quesito.

O fato chama a atenção para algumas conclusões iniciais. A primeira é que, se a maioria das nossas empresas é de pequeno porte, então a maior parte da malha de negócios deve estar descoberta do mínimo de medidas técnicas e gerenciais de proteção digital. Ou seja, o mercado brasileiro parece ser uma mina de dados a ser explorada por cibercriminosos.

Adicionalmente, tendo baixo calibre econômico, dificilmente as pequenas empresas investem muito em segurança digital, o que as deixa ainda mais vulneráveis do que as médias e grandes organizações. Ou seja, a maioria das empresas no Brasil é alvo fácil para golpes, invasões e vazamento de dados. Afinal, se forem atacadas, as menores tendem a apresentar menor estrutura de defesa e menor poder de reação.

Para piorar, sendo de pequeno porte, são provavelmente mais frágeis para enfrentar crises de segurança – serviço parado, sistema fora do ar, perda de bancos de dados, dentre outros incidentes – e têm menos cacife para bancar a reparação de danos. Ou seja, para a maioria das empresas brasileiras, o quadro de cibersegurança pode facilmente evoluir para o caos!

A verdade é que o gerenciamento de riscos digitais tem se revelado um dos desafios mais críticos para a maioria das organizações, independentemente do porte. Conforme cresce o nível de digitalização dos negócios, aumentam também os riscos ligados à segurança dos dados que estão sob responsabilidade legal de toda empresa.

E, para agravar o quadro, a partir da Lei Geral de Proteção de Dados, os riscos envolvidos com a segurança da informação passaram a ter uma dimensão ainda maior. Além dos impactos econômicos possíveis (como perda de produtividade, prejuízos financeiros, danos à marca etc.), existe agora o risco provável de sofrer penalidades administrativas e responsabilização judicial.

Essa é uma realidade que precisa ser enfrentada seriamente, mas de maneira adequada. Afinal, as medidas de proteção não podem inviabilizar a própria atividade econômica que elas deveriam viabilizar. Não adianta gastar todo o orçamento nisso, e tampouco seria producente amarrar toda estrutura operacional da empresa buscando risco zero.

Isso quer dizer o que parece óbvio: é preciso trabalhar a cibersegurança, sem travar as operações e iniciativas com excesso de restrições, mas também sem descuidar dos impactos negativos que podem advir justamente da falta de controles. É disso que se trata quando falamos da gestão de riscos digitais.

O problema é que, como dito acima, nem mesmo a adoção de políticas básicas de segurança da informação é uma realidade para a maioria das organizações. Quer dizer, sequer há regras, limites e processos claros na maioria das empresas sobre comportamentos de risco e medidas para evitá-los ou minimizar impactos.

Por outro lado, a saída desse quadro pode estar justamente na crescente “ameaça” da LGPD. Sim, a legislação, que traz inúmeras obrigações e responsabilidades, pode ser o divisor de águas para estimular a adoção de boas práticas de cibersegurança no mercado. Como se diz no dia a dia: se não for por bem, vai acabar indo por mal.

A tarefa, certamente, é complexa. Até porque, de um lado, dados pessoais costumam circular por praticamente toda a estrutura das empresas, de maneira pulverizada, em vários ambientes (e-mail, sistemas de terceiros, WhatsApp, servidores internos, redes sociais, planilhas etc.), o que aumenta os riscos de incidentes com essas informações (roubo de credenciais, vazamento de informações, sequestro de bancos de dados).

De outro lado, são variadas as regras estabelecidas pela LGPD sobre como lidar com dados de pessoas. Regras essas que devem ser observadas em cada uma das atividades dentro da empresa. Ou seja, atuar de maneira diversa do que prescreve a lei (com suas permissões, limites, obrigações, direitos etc.) é mais um risco a ser calculado no quadro atual.

Portanto, podemos dizer que as empresas correm pelo menos dois tipos de riscos ligados à proteção de dados: aqueles que podem impactar sua operação, finanças, reputação (riscos de segurança), bem como aqueles
ligados às sanções e responsabilidades legais (riscos de conformidade). Além da queda, o coice, como se diz.

De todo modo, não dá para fugirmos dessa realidade. É preciso enfrentá-la. As ferramentas para isso estão ligadas à ideia de gestão de riscos. Isso deve ser realizado de maneira conjunta, pois a própria LGPD prevê obrigações de segurança digital que precisam ser cumpridas pelas empresas, sejam grandes, médias ou pequenas.


Você sabia que o Portal Juristas está no FacebookTwitterInstagramTelegramWhatsAppGoogle News e Linkedin? Siga-nos!

Notícias, modelos de petição e de documentos, artigos, colunas, entrevistas e muito mais: tenha tudo isso na palma da sua mão, entrando em nossa comunidade gratuita no WhatsApp.

Basta clicar aqui: https://bit.ly/zapjuristas

Gabriel Fortes
Gabriel Fortes
Advogado na área de proteção de dados e segurança digital do escritório Fortes Nasar Advogados. Pós-Graduado em Direito Digital e Compliance. MBA em Liderança Estratégica e Gestão Financeira. Mestre em Direito Constitucional. CPC-PD ©.

Deixe um comentário

Compartilhe

Inscreva-se

Últimas

Recentes
Veja Mais

Entenda a Diferença entre Decaminho e Contrabando

Descaminho e contrabando são crimes aduaneiros, mas são diferentes....

Construção irregular em área de preservação permanente deve ser demolida e vegetação recuperada

Construções em áreas de preservação permanente (APP) que envolvam a remoção de vegetação só podem ser autorizadas em casos excepcionais, como em situações de utilidade pública, interesse social ou baixo impacto ambiental. Em casos de degradação, é necessário que a área seja restaurada ao máximo, inclusive com a demolição de edificações existentes e recuperação da vegetação nativa.

Empregador deve indenizar família de vítima morta por funcionário em supermercado

A 2ª Câmara de Direito Civil do Tribunal de Justiça de Santa Catarina (TJSC) reconheceu a responsabilidade civil indireta do empregador em um caso de homicídio praticado por um funcionário durante o horário de trabalho e em razão de suas atribuições de segurança. Com isso, foi determinada a indenização e o pagamento de pensão ao filho menor da vítima, morto em 2019 após uma discussão com o funcionário, nas dependências de um supermercado no litoral norte de Santa Catarina.