Empresas devem trabalhar em conformidade com a LGPD

É preciso promover conscientização sobre a lei e capacitar funcionários para trabalharem em conformidade com a LGPD

* Por Priscila Meyer

A pandemia do novo coronavírus mudou a forma como encaramos as pessoas, o trabalho e as interações humanas. A internet e a digitalização entraram em nossas vidas e nos aproximaram – mesmo que virtualmente – enquanto precisávamos estar longe. Por outro lado, a quarentena elevou o número das ações dos cibercriminosos a patamares nunca antes imaginados, e fez com que o assunto segurança da informação e privacidade de dados se tornasse um dos mais críticos para a alta direção das empresas.

O ano de 2020 também ficará marcado pelo início da vigência da LGPD. E isso exige que as empresas não apenas gerenciem e protejam melhor os dados para evitar multas e penalidades significativas, mas garantam ao mercado transparência em seus controles como fator crucial para reputação de suas marcas. O que vemos com frequência, entretanto, são violações de dados expondo informações pessoais de milhões de pessoas. 

Diante desse contexto, a 5ª Pesquisa Nacional Eskive sobre Conscientização em Segurança da Informação, que envolveu 300 profissionais de segurança das principais empresas brasileiras, revela um cenário embrionário no cuidado com os dados dentro das companhias, em que o fator humano, principal vulnerabilidade para ataques, está negligenciado, deixando as empresas passíveis das multas milionárias da LGPD. 

O surgimento da área de conscientização nas empresas

O aumento do número de golpes durante a pandemia utilizando artifícios para enganar as vítimas, como campanhas enganosas de solidariedade, fez com que a importância do papel do usuário na proteção dos dados ficasse muito mais evidente.

O princípio da responsabilidade como tema fundamental na LGPD também mostrou que os usuários precisam ser treinados quanto à importância da proteção e privacidade das informações. Estes fatores impulsionaram as empresas no entendimento acerca da necessidade de prover a seus usuários conhecimentos necessários sobre proteção de dados e investir em profissionais capacitados para desenvolver um programa de conscientização contínuo.

A pesquisa mostra que 66% das companhias dedicam de 1% a 25% de todo o tempo do time de segurança da informação em programas de conscientização, e apenas 6% das empresas possuem um profissional dedicado. Apesar de uma tendência de crescimento, vemos um baixo esforço para garantir o amadurecimento de um programa que garanta que todos os agentes da companhia sejam capazes de evitar vazamentos. 

Apoio da alta direção

Obter apoio e patrocínio da alta administração é, talvez, o aspecto mais importante para o programa de conscientização em segurança da informação dentro das companhias. A pesquisa mostrou um aumento de 11% no apoio da alta direção nesse tipo de iniciativa, deixando evidente que o papel do usuário na proteção das informações entrou na agenda dos executivos em 2020.

Diante do papel significativo que os fatores humanos desempenham para proteger os negócios, a imagem e a estratégia da empresa, apesar do apoio da alta direção ter aumentado, espera-se uma liderança mais ciente quanto à priorização dos investimentos de treinamento de conscientização de segurança.

O que leva as empresas a investirem em um programa de conscientização

Minimizar riscos de incidentes; LGPD, exigências regulatórias e de auditoria; e segurança como estratégia de negócio são as três principais causas que levam as empresas a investirem em um programa de conscientização, respectivamente.

Além disso, as ameaças à segurança da informação que as companhias consideram mais relevantes relacionadas aos comportamentos dos usuários incluem o crescimento de ataques de phishing (9%) e uma maior preocupação em relação ao uso inadequado do e-mail profissional (16%), ao uso de grupos de trabalho em aplicativos de mensagens instantâneas (4%), à visitas a sites maliciosos (11%) e ao compartilhamento indevido em redes sociais (3%). Por conta do cenário atual, pode-se perceber que os resultados foram impulsionados por dois principais fatores: o aumento no trabalho remoto e os requisitos impostos pela LGPD.

LGPD: uma lei que mudou a privacidade para sempre

Apesar da vigência da LGPD, há uma grande desconexão entre a percepção das pessoas sobre privacidade e o que elas devem fazer para garantir que seus dados pessoais estejam protegidos. Com isso, as empresas assumem a responsabilidade que vai muito além do que é simplesmente exigido por lei, desenvolvendo uma cultura que envolve ensinar às pessoas porque devem se preocupar com a proteção da privacidade e as implicações concretas que as violações podem ter nos indivíduos e na organização.

Os últimos meses foram marcados por imensos desafios para quem tem a tarefa de proteger as informações das organizações. O crescimento do número de ataques, o cenário de pandemia, o aumento de exigências regulatórias, o início da LGPD e as expectativas dos consumidores em relação ao nível de proteção de dados exigem das organizações pessoas cada vez mais preparadas e com habilidades que impulsionam a excelência em privacidade e segurança cibernética. Nunca ficou tão evidente a necessidade de um programa de consciência para enfrentar estes desafios envolvendo todos os funcionários para que recebam treinamentos apropriados para proteger os dados que lhe forem confiados.

* Priscila Meyer é sócia-fundadora da Flipside, líder no continente em conscientização corporativa em segurança da informação, e CEO do Eskive, primeira plataforma brasileira de monitoramento de vulnerabilidade humana e metrificação de programas de conscientização, ambos idealizadores da 5ª Pesquisa Nacional Eskive sobre Conscientização em Segurança da Informação

Deixe uma resposta