O Brasil está entre os 4 países que mais sofrem ataques hackers no mundo. Mais especificamente o ataque de ransomware, que é aquele em que um hacker criptografa os dados da empresa e exige pagamento de resgate para restabelecer o acesso, ou seja, é basicamente um sequestro dos dados.
A Lei Geral de Proteção de Dados (LGPD) exige que os controladores (responsáveis pelos dados) coletem a menor quantidade de dados pessoais possível dos titulares, mas não adianta aplicar esse Princípio da Minimização se esses dados não estão devidamente protegidos, configurando também uma ilegalidade. É preciso levar em conta que a lei exige o cumprimento de outro princípio: o da Segurança.
Este determina a utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, conforme art. 6º, inciso VII da LGPD.
Para estar de acordo com esse princípio é preciso olhar para a Segurança da Informação (SI), que visa preservar 3 pilares: confidencialidade, integridade e disponibilidade.
Para manter a confidencialidade é preciso estabelecer controles de acesso aos dados, eles não podem ser acessíveis a todos, nem ser acessados de forma simplória. É pela negligência com esse pilar que muitas vezes o ataque de ransomware consegue ser efetivado.
Já a integridade diz respeito à exatidão dos dados, sua fidelidade com a realidade, ou seja, se o dado estiver errado, for alterado ou falsificado, não terá integridade.
Por fim, a disponibilidade significa ter os dados acessíveis a quem tem o direito de acessá-los, quando for preciso. O ataque de ransomware fere principalmente este pilar, ao impedir que a empresa tenha acesso aos dados.
A ausência de qualquer um desses itens é sinal de ausência de segurança e descumprimento da LGPD.
Mesmo que a empresa sofra um incidente de segurança, a demonstração de que houve o cuidado com a proteção dos dados é de suma importância perante possível sanção da ANPD, provando que houve o cumprimento do Princípio da Prevenção.
O investimento em SI pode ser custoso para pequenas empresas, mas existem ações simples que podem gerar um impacto muito positivo.
A primeira medida relevante é a elaboração de uma Política de Segurança da Informação. Melhor do que implementar medidas, é tê-las concentradas em um documento que guie toda a empresa e que sirva como um controle, possibilitando sua perpetuação, mesmo que os funcionários mudem. Além disso, ela será uma demonstração para a ANPD de que a empresa tem se comprometido com o tema.
Outras medidas que vale levar em consideração:
- Recolher apenas os dados que de fato têm uma finalidade essencial ao negócio;
- Restringir o acesso aos dados pessoais somente aos funcionários que usem eles;
- Não compartilhar as mesmas senhas;
- Ter senhas fortes ou usar um gerenciador de senhas;
- Usar fator duplo de autenticação;
- Manter os documentos físicos em gavetas com trancas;
- Fazer termos de confidencialidade;
- Fazer backup dos dados e mantê-lo em local diferente dos originais;
- Fazer as atualizações dos sistemas de segurança;
- Não clicar em links ou arquivos cuja origem seja desconhecida ou pareça duvidosa.
Texto por: Mariana Lopes