Home / Artigo / O que as empresas têm a aprender com os casos recentes de vazamentos de dados?

O que as empresas têm a aprender com os casos recentes de vazamentos de dados?

Grandes incidentes suscitam, mais do que reflexões, a necessidade de tomar decisões

Na semana passada, grandes empresas foram pautas de destaque para veículos de comunicação graças a vazamentos de dados volumosos de clientes. As protagonistas das matérias foram a British Airways, uma das gigantes companhias aéreas britânicas, e a Ypê, marca nacional de produtos de higiene e limpeza consolidada, que tiveram, respectivamente, 300 mil clientes e 1,2 milhão de usuários impactados por roubo de dados pessoais. Entenda os casos: Correio Braziliense e Tecmundo.

Embora estejam em momentos diferentes do incidente – enquanto a British Airways já recebeu a multa estabelecida pela GDPR de, nada menos do que 183 milhões de libras esterlinas, o equivalente a cerca de R$ 897 milhões, a Ypê solucionou a vulnerabilidade e deve seguir com o processo de comunicação com os titulares –, ambas foram expostas aos seus consumidores de modo que a punição vai além dos danos financeiros (diretos e indiretos), comprometendo reputação e imagem.

E a sua corporação, está preparada para esse tipo de incidente e suas consequências? Mais do que isso, está preparada para EVITÁ-LOS?

Esses e outros casos inspiram a seguinte constatação: está na hora de convergir a atenção dos departamentos da sua empresa para a Lei Geral de Proteção de Dados Pessoais (LGPD), que entrará em vigor em 2020 e atuará de forma similar à GDPR, inclusive aplicando multas tão rigorosas quanto a que foi decidida para o caso da companhia aérea e expondo de forma potencializada tais falhas para os clientes.

Não sabe por onde começar? Vamos aos primeiros passos em direção à segurança do seu negócio!

  • Entenda o que é a Lei Geral de Proteção de Dados Pessoais, que irá impactar em muitas práticas empresariais, implicando em mudanças significativas, a exemplo da inserção de um profissional – Data Protection Officer (DPO) – responsável pela coleta e tratamento adequados dos dados pessoais, cuja principal característica é identificar um indivíduo. Acesse a Legislação completa, clicando aqui. Você também pode conferir mais informações sobre essa lei em nosso blog: O que diz a Lei de Proteção de Dados? LGPD e GDPR; Lei de Proteção de Dados: Estratégia Digital e o que “esqueceram” de te contar; Proteção de dados: a quem interessa?
  • O assunto é muito mais TI – Tecnologia da Informação – do que parece! Apesar de lei, quando falamos sobre proteger DADOS, um dos maiores custodiantes dentro das empresas é a TI. Portanto, dar condições, apoio, suporte e verba para seu TI “sair do lugar” é um grande passo. Dados e informações estão em grandes ERPs, CRM, Marketing, Vendas e outras aplicações, possuindo conexões com outras áreas, dentro e fora da empresa/ entre parceiros, então, procurar orientação de consultorias em Segurança da Informação, Cyber Security, Processos e Riscos é o mais prudente. Atualizar apenas website, contratos e termos de aceites de clientes não vai resolver…
  • Não tenha medo de admitir que sua empresa possui fragilidades em termos de ciber segurança. É melhor identificá-las com antecedência e corrigi-las do que esperar pelo pior no auge da teimosia ou negligência.
  • Capacite os integrantes da área de Tecnologia da Informação com cursos que ampliem e aprimorem seus conhecimentos em prol de processos 100% adequados à LGPD e, principalmente, seguros para todos os stakeholders – as providências devem ser assertivas para evitar, bem como combater crimes cibernéticos. Saiba mais sobre a Pós-Graduação em Cyber Security e cursos sobre Data Privacy.
  • Você realmente está detectando todos os acessos a dados sensíveis? Pelo menos sabe onde estão e com quem compartilha? Prepare-se para projetos como este de “caça às bruxas”, ops, dados! Mais do que classificar a informação, é necessário inventariá-la, entender o fluxo, conformidades e riscos de ACESSO e/ou VAZAMENTOS, além de estar preparado para gerenciar crises.
  • Envolva todas as áreas da empresa no processo de adaptação às exigências da legislação, uma vez que os dados pessoais, muitas vezes, são aplicados em diversas atividades. Portanto, é necessário criar uma cultura de conscientização quanto ao uso dos mesmos.
  • Selecione parcerias estratégicas para que todas as etapas (jurídicas, técnicas e comunicacionais) sejam cumpridas com excelência. Assim, sua empresa estará no rol de corporações aprovadas, não só pela LGPD, mas também pelos consumidores e clientes, que irão se sentir seguros ao transmitir suas informações. A Consultoria de LGPD oferecida pela DARYUS contribui ativamente para que sua empresa atinja os mais altos parâmetros de adequação à lei.

Assista abaixo uma entrevista em que abordei alguns direcionamentos para as empresas começarem a se adaptar à Lei Geral de Proteção de Dados a partir de AGORA:  

Faça agora o que a British Airways não conseguiu e proteja o que há de mais importante para sua corporação: credibilidade e reputação, conquistadas com tanta dedicação e tempo, mas que, diante de um ciberataque, assemelham-se a um castelo de cartas prestes a desmoronar em segundos.

 

Sobre Jeferson D'Addario - CBCP, MBCI, CRISC

mm
Consultor sênior há mais de vinte anos em TI, gestão de riscos e continuidade de negócios, ganhador do prêmio SECMASTER 2006 na categoria “Melhor Contribuição para o Desenvolvimento de Mercado”. Possui mais de 35 projetos de Continuidade de Negócios para empresas líderes no Brasil e Exterior nos últimos dez anos. Certificado como CBCP pelo DRII-USA, MBCI pelo BCI-UK, CRISC pela ISACA, ISO 27001 lead auditor (BSI). Formação em Economia e TI. Foi o responsável por trazer e desenvolver os primeiros cursos de continuidade de negócios oficiais do DRII – Disaster Recovery Institute International para o Brasil em 2005. Desde 2010 é instrutor oficial do DRII e representante executivo para o Brasil. É Membro da ISACA-SP, sendo colaborador na tradução do COBIT 4.1. Possui ampla experiência em Gestão de TIC (ITIL e ISO 20.000) e Govenança de TIC (COBIT, ISO 38500), tendo sido gerente e diretor de TI em empresas nacionais, e participado de projetos de implementação e certificação. Criador, coordenador e professor da Pós-graduação em GTSI - Gestão e Tecnologia em Segurança da Informação, curso DARYUS aplicado na Faculdade Impacta Tecnologia (FIT) – SP/SP, desde 2003, atualmente na turma 15. É sócio-diretor e fundador da DARYUS Consultoria e Treinamento, e atualmente CEO do Grupo DARYUS. Possui ampla experiência em gestão empresarial de negócios, pessoas, educação, gestão de crises, comunicação empresarial, relacionamento executivo e gestão financeira, apoiando executivos de grandes empresas no Brasil em projetos de consultoria. Palestrante, articulista e colaborador em eventos nacionais e internacionais relacionados a GRC, TI, Continuidade e Gestão Empresarial. Foi reconhecido pela Infragard – Califórnia em 2010 pela contribuição na área de segurança da informação para o Brasil. Já lecionou anteriormente para IPEN – Instituto de Pesquisas Nucleares – USP – SP e Instituto Trevisan – SP.

Confira tambem

Regulamento: Bolsa de Estudo 2º semestre de 2019

As regras do sorteio estão descritas a seguir: 1 – Da participação: 1.1 – Para concorrer …

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *