Boa parte dos executivos de TI já tem consciência da importância em se implantar soluções e políticas de segurança da informação e as razões que determinam a urgência dessas decisões, considerando que a correta definição do momento certo de se fazer os investimentos pode significar a diferença entre segurança e vazamento ou sequestro dos dados.
Afinal de contas, não é apenas uma questão de saber se seus colaboradores, redes, software e sistemas estarão sob ataque em algum momento. É uma questão de saber quando, com que frequência e em que grau.
Além de ser uma postura inteligente, estar preparado é reconhecer que um simples ataque pode causar danos irreversíveis, seja nas operações do dia-a-dia, no preço das ações ou na reputação da marca, criando dores de cabeça para todos os níveis de executivos da empresa.
Infelizmente, essa urgência nem sempre se traduz em investimentos oportunos. No mundo real, onde os orçamentos e os diretores financeiros ditam o que pode ou não ser feito, o investimento em segurança da informação muitas vezes fica atrás de outras prioridades corporativas e necessidades de áreas que são consideradas mais estratégicas ou críticas para o sucesso da empresa, apesar do fato de que, sem uma forte estratégia de segurança, toda a corporação se expõe não só às ameaças atuais, mas também àquelas imprevisíveis e sempre crescentes.
Isso pode colocar sua empresa em risco, mesmo que você esteja trabalhando duro para evitar isso.
Não se trata mais de uma opção
Pelo menos três marcos regulatórios recentes e de grande importância estão impactando a forma com que empresas de todos os tamanhos deverão estruturar suas estratégias e seus investimentos em segurança cibernética, para estarem em conformidade com o novo ambiente legal.
Conformidade não precisa ser uma palavra assustadora, mesmo ao encarar os desafios para atender as exigências no prazo determinado. Na verdade, traçar uma estratégia consistente para a conformidade pode trazer benefícios de longo prazo e vantagens competitivas para a sua organização.
Os marcos legais são:
European Union General Data Protection Regulation (GDPR), que entrou em vigor em 25/05/2018. A GDPR define o que são dados pessoais de modo abrangente e coloca o indivíduo no centro da proteção de dados. Essa Lei dá ao cidadão europeu o direito de saber e decidir como seus dados pessoais são usados, armazenados, protegidos, transferidos e apagados. A GDPR se aplica a empresas do mundo todo que trabalham com dados pessoais de cidadãos da União Europeia.
Lei Geral de Proteção de Dados (LGPD), sancionada em 14/08/2018, entrará em vigor em 15/02/2020. Dispõe sobre o tratamento de dados por pessoa física ou jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que: (1) a operação de tratamento seja realizada no território brasileiro; (2) a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no Brasil; ou (3) os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
De forma muito resumida, as organizações precisarão do consentimento das pessoas antes de acessar e processar seus dados. Terão que fazer de forma transparente e serão obrigadas a garantir a segurança de tudo que armazenam e processam.
Resolução Nº 4.658 do Banco Central, de 26/04/2018, já em vigor, dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.
Embora a conformidade com as novas leis represente desafios, incluindo a necessidade de realocação de recursos financeiros para investimento, ela pode ser encarada como uma oportunidade sua organização adotar uma abordagem holística, inteligente e automatizada de segurança da informação, para garantir dados confiáveis, protegidos e controlados.
Para atender à regulamentação em tempo hábil, as empresas precisam ter um processo estruturado de segurança em andamento. Se a sua organização ainda não possui um processo pronto, tem um mas ainda não iniciou sua implementação ou tem um que não está conforme, é imprescindível que você comece sua jornada o mais rápido possível.
O que podemos concluir é que, devido à transformação digital por que estão passando, as organizações inevitavelmente se expõem a maiores riscos cibernéticos e a uma dependência cada vez maior de sua TI. Violações e interrupções são ameaças cada vez mais constantes.
Embora as violações e interrupções sempre tenham sido dolorosas, o impacto nos negócios está crescendo exponencialmente. Se as organizações estiverem off-line, os fluxos de receita serão reduzidos e sua reputação estará em risco. Uma opção a ser descartada. Com os incidentes de segurança continuando a aumentar, fica claro que os invasores estão encontrando novas possibilidades de agir para obter lucro, mesmo com as instituições priorizando a proteção de seus ativos digitais.
Muitas empresas aumentaram os investimentos em segurança, mas esses investimentos geralmente seguem uma abordagem que utiliza apenas a tecnologia como base para construir suas defesas. Cada vez mais, as organizações perceberão que também precisam detectar outras brechas existentes e responder rapidamente a elas.
Além dos aspectos técnicos, é preciso começar a adotar processos de negócios que aprimorem a segurança e também implementar o treinamento do usuário final, para atenuar os erros humanos.
Em resumo, as empresas devem estruturar sua estratégia de segurança da informação para incluir etapas proativas, que incluam tecnologia, processos e educação. Não há dúvida de que as empresas estão levando a segurança mais a sério, mas agora precisam perceber que a segurança moderna exige uma mentalidade diferente e não apenas mais do mesmo.