O vazamento de informações estratégicas e confidencias, especialmente pela invasão e a quebra de sigilo, podem prejudicar tanto as pessoas físicas como as jurídicas. No caso de empresas, o vazamento de dados pode comprometer todo o andamento de inúmeros processos, transações comerciais e financeiras. Pode até mesmo impedir a continuidade do negócio em si.

Não é sem razão, assim, que a preservação das informações essenciais ao negócio tem sido objeto de preocupação ao longo de toda a evolução industrial, comercial e, mais recentemente, tecnológica. Projetos, desenhos, fórmulas, planejamentos estratégicos, planos de negócios, rol de clientes, etc. são ativos essenciais. E se é verdade que evolução tecnológica trouxe vantagens na aceleração da difusão de conhecimento e de resultados, é igualmente verdadeiro que trouxe no seu bojo também uma maior exposição ao risco de vazamentos.

É incontroverso que ataques, invasões e outros tipos de cibercrimes estão constantemente se aprimorando e sendo cada vez mais frequentes. Conforme nossa dependência da tecnologia aumenta, também cresce concomitantemente a necessidade de proteção das nossas informações.

Com a nova dinâmica e velocidade de expansão, como por exemplo pelas redes sociais, o vazamento de uma informação sensível (pessoal ou corporativa) pode contribuir, via de regra, para a criação de uma imagem negativa da instituição, seja ela pública ou privada.

No caso da pessoa física, mesmo no contexto corporativo, cabe citar na legislação brasileira a recentemente promulgada Lei Geral de Proteção de Dados (Lei 13.709/2018). Em conjunto com a regulamentação complementar, ela visa normatizar exatamente o adequado tratamento e preservação de dados pessoais. Imprescindível que as empresas estejam adequadas, pois serão múltiplas as consequências negativas do vazamento de dados pessoais vinculados aos seus colaboradores, clientes, fornecedores, etc. (sansões públicas e privadas, multas, advertências, danos à reputação, etc).

A tarefa de identificar, medir, controlar e administrar os riscos do vazamento de informações estratégicas passa a ser fundamental para a sobrevivência das organizações. A alta direção da empresa deve ser a responsável pelo estabelecimento desta política de riscos. Cabe a ela estabelecer e difundir normas precisas, com níveis de permissão de acesso para as diferentes matrizes hierárquicas (verticais e horizontais), incluindo os prestadores de serviços contratados.

Um Sistema de Gestão de Segurança da Informação (SGSI), deverá ser adotado, abrangendo todos os processos e fluxos operacionais da empresa. Cabe destacar, por oportuno, que houve uma clara evolução do tripé usual da segurança da informação (CID – confidencialidade, integralidade e disponibilidade). Ela foi revista e conta atualmente com no mínimo seis elementos: confidencialidade, utilidade, posse legal, integridade, autenticidade e disponibilidade.

Para a implementação de um SGSI, será imprescindível ainda que ele esteja alinhado com o Programa de Compliance e permeie todo o seu arcabouço: normas de segurança da informação; código de conduta de colaboradores (incluindo fornecedores e terceiros); política de redes sociais; regras de perfil de acesso de usuários; termos de uso; etc… Será por meio de uma correta gestão de riscos que a empresa poderá antecipar imprevistos, analisar seus impactos e estudar o que fazer para evitá-los ou contorná-los. Inúmeras empresas adotam protocolos de crises, abrangendo o eventual e indesejado vazamento de informações. Uma rápida e adequada resposta ao incidente de vazamento minimizará os seus efeitos.

A Norma ABNT NBR ISO/IEC 27005:2008 – Tecnologia de Segurança – Técnicas de Segurança – Gestão de Riscos em Segurança da Informação, servirá como uma ótima referência no desenvolvimento da sua gestão.

Para um aprofundamento do aqui brevemente tratado, sugerimos recente obra que muito bem abrange estes e outros importantes aspectos de segurança da informação: Segurança Digital – Proteção de Dados nas Empresas” coordenado pela Patrícia Peck Pinheiro e publicado pelo Grupo Editorial Nacional/Atlas.

Em síntese, a gestão de riscos em segurança da informação se aplica a todo e qualquer tipo de negócio, independente do ramo de atividade, visando minimizar a ocorrência de ameaças a um dos seus maiores ativos, qual seja, a informação como recurso essencial para que sejam atingidos os objetivos corporativos.

 

Marcos Gabrijelcic Fraga

Membro da Comissão de Ética e Compliance da FEDERASUL

26 junho de 2021.