Cividanes: Baixo investimento e a (in)segurança da informação nas empresas
*Por Rafael Cividanes
O megavazamento de dados descoberto no início deste ano, que expôs informações pessoais de 223 milhões de CPFs de brasileiros, 40 milhões de CNPJs e 104 milhões de registros de veículos, embora ainda não tenha a sua origem conhecida, nos permite fazer algumas considerações e tirar algumas conclusões sobre a situação da segurança da informação no Brasil.
Considerado o maior vazamento de dados da história do país — e um dos maiores do mundo — o caso continua sendo motivo de muita preocupação e ensejando, inclusive, a necessidade de adoção de medidas de segurança mais eficazes para proteção de dados pessoais por parte de empresas privadas, órgãos públicos, autarquias e até mesmo entidades sem fins lucrativos.
A tendência é que os ataques e vazamentos como os ocorridos no início do ano se repitam e se tornem cada vez mais sofisticados, o que pode colocar ainda mais em risco a privacidade e a segurança digital dos brasileiros. Esse cenário vai exigir não só maior conscientização da população, como também mais investimentos das empresas. Nesse aspecto, vale salientar o baixo investimento das empresas brasileiras em segurança cibernética. A prova disso está um estudo divulgado recentemente, realizado pela Marsh a pedido da Microsoft, o qual aponta que 56% das empresas brasileiras investem apenas 10% ou menos de seus orçamentos em TI em cibersegurança.
Um ponto que deve ser destacado é que com a adesão aos serviços de nuvem, muitas empresas reduzem drasticamente seus orçamentos em cibersegurança. Elas acreditam erroneamente que, como os dados de seus clientes estão sob a guarda de um terceiro — um provedor de nuvem, por exemplo —, serão eximidas de responsabilidades caso ocorra um vazamento. Cito exemplo recente que ilustra bem essa situação. Uma base de dados muito grande, da ordem de milhões de dados, pertencente a uma grande operadora brasileira de telefonia, foi exposta. O vazamento ocorreu por falha de uma empresa terceirizada que tinha acesso à base de dados da operadora. Um subconjunto dessa base estava totalmente desprotegido e possibilitou a exposição. Questionada, a operadora alegou que não era culpa dela.
O que essas empresas se esquecem é que a segurança em nuvem é no modelo de responsabilidade compartilhada, em que o provedor de nuvem responde pelo hardware do datacenter (backup, disaster recovery, etc.) e sistemas operacionais, enquanto o cliente é responsável pela configuração e gerenciamento da segurança, bem como pelas atualizações e patches de proteção, configuração do firewall e por todo o gerenciamento de seus dados, entre outras obrigações.
No que diz respeito à população em geral, é oportuno destacar que a falta de uma reação mais incisiva em relação à privacidade e proteção de seus dados tem contribuído justamente para que as organizações releguem a segundo plano os investimentos na prevenção de ataques e proteção de dados. Embora a Lei Geral de Proteção de Dados (LGPD), que deve entrar em vigor, de fato, em agosto próximo, quando começarão a ser aplicadas multas em casos de violações, exija que as organizações protejam dados pessoais dos cidadãos brasileiros, a sociedade precisa desempenhar um papel mais proativo para que essa segurança seja garantida.
Nos últimos anos, temos assistido a um rápido processo de digitalização da sociedade brasileira que tem impactado positivamente organizações de todos os portes e setores da economia. Mas, para que esse avanço seja sustentável, a segurança tem de ser encarada como um item indispensável, que não pode ser negligenciado. Do contrário, teremos vazamentos de dados cada vez mais graves, que, além de perdas financeiras, podem resultar em prejuízos à imagem e à reputação das pessoas e empresas. Em um cenário ainda mais preocupante, empresas podem deixar de existir por conta de impactos negativos irreversíveis resultantes de ataques cibernéticos.
*Rafael Cividanes é diretor de Cibersegurança na Kryptus, empresa especializada em criptografia e segurança da informação.