As consequências financeiras de uma violação de dados e as novas leis federais de privacidade de dados no Brasil e Estados Unidos

As consequências financeiras de uma violação de dados

Um estudo recente apontou que 62% dos americanos não comprarão produtos e serviços de uma empresa por alguns meses depois de um episódio de violação de dados. Este número parece ser incrivelmente alto e provavelmente não será uma realidade.  Entretanto será verdade em parte para os preços de ações que são afetados por um bom período de tempo após uma violação de dados.  Muitas destas empresas continuam a sofrer por alguns anos após um episódio desta natureza.

O estudo examinou um grupo de empresas que experimentaram uma violação de dados acima de um milhão de registros como Apple, Equifax e Sony. Três anos após a violação de dados, suas ações valorizaram 28%, mas caíram 16% comparado ao NASDAQ no mesmo período. Isto é um montante considerável de dinheiro perdido e isto não se deve apenas ao acaso.  Violações de dados irão frequentemente criar manchetes negativas por algumas semanas criando uma espiral negativa para os preços de ações de uma empresa por pura especulação.  Os consumidores observarão tudo isso e criarão uma imagem de incompetência e perda de confiança na marca da empresa.  Em muitos casos, estas situações podem levar a quedas significativas nos lucros e os preços das ações caírem ainda mais. Mesmo com tantos outros fatores a considerar, o fato real é que eventos de violação de dados não são bons para os negócios das empresas.

A cada dia, um número crescente de consumidores está levando a sério a privacidade de dados e este movimento está culminando em leis específicas. Muitas empresas não estão dando a devida importância para estas leis.  Para criar um cenário coerente de privacidade de dados, isto deve acontecer.  Como resultado, as empresas em breve enfrentarão multas e experimentarão a perda de valor de mercado em razão da queda do preço de suas ações. Este combo provará ser o suficiente para estrangular negócios que não terão como pagar as multas e manterem-se estáveis. A espiral negativa será mais rápida e mortal. Para evitar as consequências de uma violação, as empresas terão que aumentar o esforço na proteção dos seus dados. Atualmente a proteção está na lista de afazeres mas com certeza não está priorizada adequadamente. A proteção de dados é uma das coisas mais fáceis e  importante que a empresa pode fazer.

As Leis federais estão chegando e outras já estão valendo no mercado global  

Os ambientes atuais de negócios são repletos de regulamentações sobre a proteção de dados dos consumidores. Muitas regulamentações foram criadas para atender nichos específicos de indústrias como o HIPAA e PCI DSS. E faz sentido ter todas estas regulamentações mas muitos negócios tratam com múltiplos tipos de dados e precisam estar em conformidade com muitas regulamentações específicas. Assim, as coisas tornam-se confusas rapidamente devido a sobreposição em certo grau destas regulamentações pois cada uma delas possui regras distintas de manuseio seguro dos dados. Este problema tornou-se mais sombrio com a implementação do GDPR na União Européia. O GDPR é a mais rígida legislação já existente e tem causado muitas dores de cabeça para os negócios. Muitas empresas têm evitado fazer negócios com a União Européia como forma de se protegerem das multas do GDPR. Infelizmente, para estas empresas, mais regulamentações de proteção de dados estão a caminho. Os mais recentes foram a Lei Geral de Proteção de Dados no Brasil (LGPD) e o “California Consumer Privacy Act” em 2018. A lei da Califórnia estará valendo no início de 2020 e a LGPD, em Agosto de 2020.  Estas leis darão aos consumidores maior controle sobre seus dados que as empresas coletam. De forma geral, estas leis promoverão que as pessoas saibam quais dados estão sendo coletados, por quais razões e para quais usos, podem concordar ou não que seus dados sejam utilizados para determinados fins, podem requerem anonimização de seus dados. Existem diferenças entre estas duas legislações e seus fins de aplicação, mas não é objetivo apontar estas diferenças aqui. O importante é ressaltar que cada vez mais regulamentações estão sendo decretadas e aplicadas. Nos EUA, a California saiu na frente, e quando os demais Estados Americanos decretarem suas leis de privacidade de dados? Cada um com suas determinações, aplicações, etc? O ambiente global de negócios torna-se mais complexo e com riscos maiores. Hoje temos 107 regulamentações de proteção de dados globalmente.

Como resultado disso tudo, temos visto que as leis de proteção de dados têm sido puxadas para o nível federal. Os negócios estão percebendo que de fato isto é algo bom. De fato, uma regulamentação federal fará com que a conformidade seja mais fácil e barata de ser mantida. Muitas empresas, incluindo a Apple e Cisco, expressaram seu apoio para legislações desta natureza porque poderão então ter consistências em seus esforços de proteção de dados. Nos EUA, as propostas de leis de proteção de dados em âmbito federal lembram as regulamentações do GDPR e da California. Entretanto é nítido que os EUA é bastante diferente da União Européia em termos de cultura de negócios, tal qual no Brasil. Nos EUA e no Brasil, uma regulamentação idêntica aos moldes do GDPR trariam imensas dificuldades para os negócios sem uma mudança drástica em suas práticas.

Especificamente nos EUA, isto não deve acontecer em razão da grande influência que as empresas têm no Congresso. Uma lei federal de privacidade de dados será muito semelhante ao ato da California, com alguns requerimentos retirados. Uma lei rigorosa será muito cara para se fazer cumprir e indesejável visto que a cibersegurança não é uma das prioridades da alta administração. A regulamentação federal nos EUA será mais voltada ao mandato para os consumidores que poderão requerer informações sobre seus dados e apagá-los caso queiram. Também haverão punições mais rigorosas por violações de dados porque há muitos casos de violações com vazamento de perfis ultimamente. O que é improvável de acontecer é relacionado ao modelo de opting in de coleta de dados como no GDPR devido ao lobby das empresas de tecnologia no Congresso Americano. As empresas deverão apenas ter cuidado com a forma como irão utilizar estes dados porque deverão ser transparentes mais tarde. Isto requer um planejamento mais cuidadoso para que possam rastrear onde estão os dados. Adicionalmente, será mais importante que nunca proteger os dados de forma apropriada a fim de evitar multas desnecessárias.

Como a fiandeira tecnologia pode ajudar sua empresa com a proteção de dados

Obviamente recomendamos a análise jurídica de como estas regulamentações podem afetar seus negócios, dependendo para quais mercados  sua empresa mantém ou deseja fazer negócios. Após isso, sempre recomendamos o planejamento dos 3 pilares de segurança: pessoas, processos e tecnologia.  Sabemos que muitas empresas não terão condições financeiras e tempo para dedicarem-se à LGPD por exemplo.  A fiandeira tecnologia poderá ajudar sua empresa na implantação de uma solução de proteção de dados não estruturados persistente e num modelo conhecido como Zero Trust World, ou seja, proteção total e as exceções são os dados que não precisam de proteção. Um modelo diferente ao que a maioria das soluções de segurança ofertam. Isto tudo de forma transparente para o usuário e de forma não intrusiva. E simples de implantar.  E os dados não estruturados hoje respondem pela maioria das informações sensíveis das empresas.

“Dados não estruturados normalmente não incluem um modelo de dados pré-definido e não há uma boa compatibilidade com tabelas relacionais. Usualmente são dados existentes em textos. Entretanto, pode incluir número, datas e fatos. Seria inviável classificar cada palavra do texto e relacioná-las com contextos, momentos, pessoas, citações, etc. Isso é pior para vídeos e audios. Isto leva a ambiguidades que são difíceis de se identificar utilizando programas de software convencionais.”

Portanto, podemos generalizar e dizer que dados não estruturados estão contidos em boa parte dos arquivos que utilizamos no nosso dia-a-dia. A tendência ao uso de nuvem de armazenamento e compartilhamento de dados, de aplicações empresariais e emails reduziu os custos com infraestrutura e aumentou a produtividade dos colaboradores, entretanto criou-se uma massa de dados espalhada pelas redes de difícil recuperação, acesso e controle gerencial, que é o que chamamos de dados não estruturados.

Muitas das bases de dados relacionais e sistemas que detém as informações/dados pessoais as quais se aplicam as regulamentações geram dados não estruturados para serem utilizados por diversas áreas das empresas. Por exemplo, a área de vendas pode extrair uma base de usuários/clientes em formato MS Excel, a área de Recursos Humanos pode extrair um relatório com dados dos colaboradores via um sistema de RH como o WorkDay. E até mesmo sistemas corporativos podem gerar relatórios de forma automatizada, gravando-os diretamente em diretórios pré-determinados de seu servidor de arquivos. E depois que estes arquivos foram gerados, como controlar o que seus usuários farão com o conteúdo destes arquivos? Sabemos que 36% dos vazamentos de informações são causados pelos “insiders”, seja de forma intencional ou não.

Mais algumas informações para que você observe que os dados não estruturados devem obrigatoriamente ser tratados por sua empresa:

  • 93% de todos os dados no meio digital serão não estruturados em 2020;
  • A massa de dados não estruturados aumenta 64% a cada ano;
  • 25% das violações de dados ocorrem devido aos usuários utilizarem dispositivos desprotegidos;
  • 62% dos profissionais de segurança da informação têm baixa confiança no conhecimento de quais locais os usuários armazenam os dados não estruturados;
  • 65% das empresas adotam a nuvem, SaaS e acesso por dispositivos de qualquer localidade.

Existem soluções tecnológicas pontuais que resolvem muito pouco ou quase nada quando falamos de dados não estruturados. Perceberam que as informações contidas nos arquivos, os dados não estruturados, podem colocar em risco sua empresa e a inviolabilidade de dados pessoais de seus clientes, colaboradores e terceiros?

A SecureCircle é uma empresa que foi fundada em 2014 no Vale do Silício e tem como missão a proteção completa de dados não estruturados.

Para exemplificar, veja alguns cenários em que a SecureCircle pode ajudar sua empresa:

  • Se existe processo conhecido que cria dados associados com o LGPD/GDPR, estes arquivos podem ser automaticamente protegidos no momento em que este arquivo é criado. Pode ser um relatório de empregados originado da solução de RH como o WorkDay, como descrito antes neste texto. SecureCircle também pode proteger arquivos que soluções de classificação de dados , como Boldon James, identificam.
  • A SecureCircle provê controle granular para usuários, dispositivos e aplicações. Administradores podem usar suas atuais ferramentas de gerenciamento como o Active Directory para garantir o acesso de usuários e dispositivos a Círculos (perímetros virtuais) específicos. Administradores também podem restringir quais aplicações podem acessar os arquivos. Isto habilita que uma empresa previna o vazamento de informações através de aplicações desconhecidas, suspeitas ou até mesmo maliciosas.
  • Os arquivos estão sempre criptografados: em descanso, em trânsito ou em uso. SecureCircle ajuda a atender os requisitos de conformidade ao mesmo tempo que não afeta o fluxo de trabalho normal. Usuários não são afetados com qualquer nova camada de segurança ou passos adicionais para realizarem seus trabalhos.
  • Todas as solicitações são registradas com rich metadata. Você pode usar um SIEM como o Splunk / QRadar para criar relatórios de geolocalização com IPs, sucessos/falhas, tempo de acesso e muito mais. Equipes de auditoria podem rapidamente determinar todos que abriram um arquivo específico ou gerar um relatório de todos os arquivos abertos por um usuário em específico.
  • Não importa onde os arquivos estão armazenados, SecureCircle protege o arquivo seja num desktop, servidor de arquivos, no smartphone ou em serviços de nuvem. E a segurança provida pela Securecircle segue o arquivo para onde ele for direcionado, fazendo com que apenas os usuários e dispositivos autorizados possam acessar e manipular os dados do arquivo.
  • A funcionalidade de bloqueio de Copiar/Colar conteúdo de um arquivo protegido pela SecureCircle evita que um usuário possa vazar os dados criando outros arquivos em formatos diferentes, copiando-os para corpo de mensagem de email, texto em chats, etc.
  • A SecureCircle também possui uma engine de detecção de similaridade que permite que conteúdos similares a um arquivo já protegido sejam protegidos de forma automática, ou seja, se um usuário copiar parte do conteúdo de um arquivo PDF protegido e salvar num outro formato de arquivo, este novo arquivo herda a mesma proteção que o arquivo original.
  • No caso de um ataque Ransomware, com roubo de arquivos, caso estes arquivos estejam sob proteção da SecureCircle, os hacker não terão acesso a seus conteúdos.

Adicionalmente a esta solução inovadora da SecureCircle, podemos ajudar a sua empresa com uma plataforma de compartilhamento seguro de arquivos e também uma solução para transformar todo o tráfego de aplicações e acesso a hosts externos via um servidor proxy baseado no protocolo Socks.

Quer saber mais?  Preencha o formulário abaixo e entraremos em contato com você.