*Por Guilherme Guidi* e Eugênio Corassa**
O vazamento de dados continua sendo um bicho-papão para qualquer empresa, inclusive para as startups. Não é incomum ver notícias de grandes empresas que são alvos de ataques e incidentes cibernéticos. Essas notícias se tornaram, no mínimo, mais comuns com a entrada em vigor da LGPD, que impôs às organizações regras e obrigações com relação á governança de dados, incluindo de segurança da informação. A preocupação com o tema inclusive levou o governo a lançar uma consulta pública sobre o combate ao ransomware no Brasil, um tipo de ataque extremamente perigoso que compromete dados e pode interromper a operação de uma empresa.
Num contexto cada vez mais data driven, em que a proteção dos dados é igualmente essencial para a confiança dos clientes e para o sucesso do negócio, vazamentos de dados podem representar um obstáculo. Embora um incidente de segurança da informação seja algo inevitável para qualquer empresa em algum momento de seu ciclo de vida, isso não significa que o tema possa ser ignorado.
Assim, vamos tentar responder algumas perguntas sobre vazamento de dados: O que é? Como lidar para prevenir, remediar e se preparar para o futuro? Porque esse tema é importante e como a minha startup deve enfrentá-lo? Ficou curioso(a)? O nosso texto é para você que está pensando se deixa de lado segurança da informação e paga para ver.
No fim das contas, o que é um vazamento de dados?
O vazamento de dados é um dos mais conhecidos tipos de incidente de segurança e violação de dados, e ocorre quando dados são indevidamente acessados, coletados e divulgados ou repassados a terceiros. Esse incidente pode ter as mais diversas origens, desde falhas ou invasão de sistemas, políticas de segurança deficientes, configurações incorretas de armazenamento, até ataques de hackers e cibercriminosos. Vazamentos podem ser resultado sim da ação de criminosos, mas frequentemente são associados a erros humanos e exposição acidental de dados.
Dá-se um maior destaque para esse tipo de incidente em razão dos potenciais impactos para os clientes, como fraudes, tentativas de golpes e uso indevido dos dados. Além disso, esses incidentes podem gerar uma perda de credibilidade para a empresa, especialmente quando não lidam com o problema com o devido cuidado e/ou quando tentam esconder e menosprezar o ocorrido.
Incidentes, como o vazamento de dados, também podem representar um custo para as organizações. A IBM, gigante da tecnologia, estima que o custo médio global de uma violação de dados é de 4,88 milhões de dólares.
Mesmo que nem todo incidente resulte num dever de pagar indenizações aos seus clientes, o fato de que qualquer empresa, entidade ou organização está sujeita a sofrer um incidente chama atenção: a questão não é “se”, mas sim é “quando”.
Por que e quando se preocupar com o tema?
A capacidade de lidar com um incidente de segurança e, naturalmente, com um vazamento de dados, está diretamente associada à maturidade da empresa com relação a segurança da informação e gerenciamento de crise. Dessa forma, normalmente a preocupação surge quando o incidente acontece, mas geralmente não antes disso.
A velha história de que “um grama de prevenção vale mais que um quilo de cura” é aplicável aqui, no entanto. Estar minimamente preparado é muito mais fácil (e barato) do que bater de frente com o imprevisto. Vazamentos por si só podem causar impactos significativos para empresas, seja pela perda de informações ou pela interrupção de atividades essenciais. Quando há o comprometimento de dados pessoais, no entanto, especialmente de dados pessoais sensíveis (como dados de saúde) a atenção deve ser redobrada, pois o potencial prejuízo também cresce significativamente.
A 23andMe, que faz análise de DNA para identificação de dados de ancestralidade, foi alvo de um ataque que resultou no vazamento de dados sensíveis de quase 7 milhões de pessoas. A empresa, que já vinha sofrendo com uma desaceleração no mercado e com problemas internos, acabou fechando um acordo para pagamento de R$ 165 milhões por vazamento dos dados de seus clientes.
Esse não foi o primeiro e nem o último acordo firmado com empresas que foram alvo de vazamentos. No Brasil também temos casos semelhantes, como o da Netshoes, que fechou um acordo de R$ 500 mil com o Ministério Público.
Antigamente, as empresas não consideravam custos com vazamento de dados, mas a tendência é que nas fusões e aquisições esse valor seja levado em conta. Grupos econômicos que já tem uma maturidade maior em proteção de dados podem pensar duas vezes antes de adquirem ou investirem em startups que tenham sofrido incidentes e não tenham tomado as medidas adequadas para mitigação dos riscos, pelo fato de que podem ser condenadas e/ou responsabilizadas no futuro pelo descumprimento da LGPD.
Ou seja, para uma startup ser levada a sério, é preciso se preparar para lidar com crises. Para startups que já entraram em uma fase de tração e/ou scale up, o melhor momento para começar a pensar o tema foi ontem, e o segundo melhor momento é hoje (e talvez amanhã possa ser tarde demais).
Como se preparar para um vazamento de dados?
A melhor forma de lidar com um vazamento, para começar, é diminuir a chance de ele acontecer. Algumas medidas recomendadas são:
- Reforce a segurança cibernética e faça auditorias regulares: use firewalls, criptografia e sistemas de detecção de intrusões adequados ao volume e sensibilidade dos dados. Além disso, faça check-ups regulares para mapear, revisar e eliminar dados desnecessários, além de identificar riscos existentes no seu ecossistema de dados.
- Capacite a equipe: treine colaboradores em boas práticas de segurança e nos requisitos da LGPD para evitar erros humanos, como uso inadequado de senhas e cliques em links maliciosos.
- Invista em governança de dados: estabeleça governança de dados, planos de resposta a incidentes e procedimentos eficazes para lidar com a proteção de dados na organização. A depender do cenário, pode ser interessante investir em um Encarregado pelo Tratamento de Dados (ou Data Protection Officer, no inglês) para manter a higidez da governança interna. Já escrevemos sobre o DPO e você confere aqui.
Notícias Relacionadas
Artigo
3 obituários de Growth no early stage
No early stage, quando os recursos são escassos e cada decisão pesa no futuro da empresa, alguns erros são fatais
Artigo
Cláusula de earn-out: solução ou armadilha?
*Por João Gurgel e Pedro Vidigal Definir o preço de uma empresa é, frequentemente, um dos maiores desafios em uma negociação de compra e venda. Não é raro que operações de M&A sejam interrompidas ou até fracassem porque comprador e vendedor não conseguem chegar a um consenso. De um lado, o comprador busca reduzir ao […]
Em resumo, essas medidas são fundamentais para prevenir vazamentos, pois reduzem vulnerabilidades técnicas, evitam erros humanos e garantem o uso responsável dos dados. Mas não só isso. Se o vazamento de fato acontecer, esse cuidado preventivo pode reduzir seu prejuízo, seja diminuindo o impacto do vazamento, seja reduzindo o valor das penalidades ou indenizações (afinal, você foi diligente).
Sofremos um vazamento de dados, e agora?
Se a sua startup examinou e implementou os passos anteriores, é provável que tenha sido capaz de identificar o incidente e este foi reportado diretamente aos responsáveis internos, como times de TI/SI, diretoria ou responsáveis pela tomada de decisão. E agora, o que fazer?
- Avaliar o incidente: utilize ferramentas de monitoramento e logs de segurança para identificar rapidamente acessos ou transferências não autorizadas. Após a detecção, determine o escopo do vazamento, avaliando quais dados foram comprometidos, quem foi afetado e como o incidente ocorreu.
- Conter o vazamento: imediatamente, bloqueie o acesso ao sistema comprometido e corrija as vulnerabilidades exploradas. Garanta que novas violações sejam impedidas com medidas adicionais de segurança.
- Notificar as autoridades e os usuários: em alguns casos, de acordo com a LGPD, pode ser obrigatório notificar a Autoridade Nacional de Proteção de Dados e os usuários afetados de forma transparente e objetiva. A ANPD tem um guia sobre o tema que pode ser acessado aqui.
- Implementar planos de contingência e continuidade de negócios: se o vazamento comprometer sistemas ou serviços essenciais, crie soluções temporárias para manter as operações da sua startup funcionando enquanto resolve o problema. Considere também contratar especialistas em gestão de crises cibernéticas para apoiar a recuperação.
E depois de resolvido o vazamento, vida que segue?
A recuperação de um vazamento de dados é uma oportunidade para fortalecer a governança e prevenir a ocorrência de novos incidentes semelhantes. Algumas medidas aplicáveis são:
- Realize uma investigação completa: identifique a causa raiz do incidente e avalie como as falhas ocorreram, incluindo vulnerabilidades técnicas, erros humanos ou falhas em processos. Use os resultados para atualizar práticas e ferramentas de segurança.
- Reforce a segurança e revise as políticas: aplique correções nos sistemas e reforce controles, como autenticação multifator e atualizações de software. Revise políticas internas e contratos com fornecedores e colaboradores para evitar futuras falhas. Pode ser interessante também aplicar práticas de auditoria regulares, especialmente para startups que lidam com mercados mais críticos, como o financeiro e o da saúde.
- Documente o incidente e melhore o plano de resposta: crie um relatório detalhado sobre o incidente, abordando lições aprendidas e ajustes necessários no plano de resposta a crises.
Começar antes dos concorrentes pode ser um diferencial
Apesar dos desafios, startups podem se tornar referências em proteção de dados ao adotar uma abordagem centrada no usuário. Transparência, ética e inovação na gestão de dados podem ser diferenciais competitivos e atrair mais confiança no mercado.
Empresas que se posicionam de forma proativa em relação à proteção dos dados não apenas reduzem riscos de incidentes, mas também se destacam como players responsáveis e preparados para crescer em um ambiente cada vez mais exigente.
O vazamento de dados pessoais é um risco que nenhuma startup pode ignorar. Contudo, com prevenção adequada, resposta rápida e um compromisso genuíno com a proteção dos dados, é possível superar crises e fortalecer a posição da empresa no mercado.
Startups são conhecidas por sua resiliência e criatividade, características que também podem ser aplicadas à proteção de dados. Transforme os desafios em aprendizado e mostre ao mercado que sua empresa está preparada para lidar com as demandas do mercado cada vez mais digital.
Quer saber mais? Fale conosco e teremos o maior prazer em atendê-lo(a).
Para saber mais sobre o Freitas Ferraz Advogados, consulte nosso site e não deixe de nos acompanhar no LinkedIn e no Instagram!
* Guilherme Guidi é head de Direito Digital do Freitas Ferraz Advogados, Doutor e Mestre em Direito pela USP e Professor da PUC-Minas.
** Eugênio Corassa é Mestre em Direito pela UFMG e advogado associado de Direito Digital do Freitas Ferraz Advogados.
O Freitas Ferraz nasceu com o propósito de combinar excelência técnica, experiência e dinamismo na assessoria jurídica empresarial. Atendemos organizações nacionais e internacionais de diferentes setores de mercado, atuando nas áreas mais importantes do ambiente de negócios. Com uma equipe de profissionais altamente qualificada, prezamos por um ambiente de trabalho de intensa colaboração, o que contribui para a retenção de nossas pessoas e atração de novos talentos, multiplicando a cultura de meritocracia do Freitas Ferraz. Visamos uma parceria de longo prazo com nossos clientes, baseada na confiança de uma atuação ética, estratégica e eficiente, contribuindo para a viabilização dos negócios e do crescimento das empresas e instituições que atendemos
