Segurança da informação, ainda longe de ser uma prioridade institucional. Por Maria Aparecida Dutra.

A segurança da informação é um campo crucial que visa proteger os dados e sistemas contra acessos não autorizados, danos ou interferências. Dados e sistemas são ativos importantes de uma organização. Em um mundo cada vez mais digitalizado, onde informações sensíveis são transmitidas e armazenadas eletronicamente, a importância de práticas robustas de segurança não pode ser subestimada.

Desde informações pessoais até dados corporativos e governamentais, a integridade, a confidencialidade e a disponibilidade das informações são essenciais para o funcionamento seguro e eficaz de qualquer organização.

Há algum tempo somos apresentados a uma realidade de muitas vulnerabilidades e uma das principais ameaças à segurança da informação são os ataques cibernéticos. Como já se conhece, tanto por matérias jornalísticas como por experiências pessoais e governamentais já divulgadas, os hackers utilizam uma variedade de métodos para comprometer a segurança dos sistemas, incluindo malware, phishing, ransomware e ataques de negação de serviço. Esses ataques podem resultar em sequestro de dados, perda de acesso a informações críticas e até mesmo na paralisação de operações empresariais. Além dos impactos financeiros diretos, como os custos de recuperação e pagamento de resgates, as empresas também podem sofrer danos à reputação e perda de confiança dos clientes.

Além das ameaças externas, a segurança da informação também deve considerar riscos internos. Funcionários mal informados ou não conscientizados podem inadvertidamente ou intencionalmente comprometer a segurança dos dados. Como sempre pontuo em meus textos nesta coluna: a empresa é feita de pessoas – e essas pessoas precisam ser regularmente treinadas, conscientizadas e conscientizadas dos prejuízos que suas ações podem causar à empresa, a outras pessoas e a elas mesmas.

A implementação de políticas de segurança rigorosas, treinamentos regulares e a adoção de uma cultura de segurança dentro da organização são medidas essenciais para mitigar esses riscos. Monitoramento constante e controles de acesso adequados também desempenham um papel crucial na proteção contra ameaças internas. Preparar pessoas e conscientizá-las é um ativo essencial e valioso para a companhia, talvez alguns líderes ainda não tenham percebido isso. Dados são alimentados por pessoas.

É sabido que muitas empresas sequer possuem mecanismos de controles de acessos a computadores, contudo, apesar de a segurança da informação ser um ponto de risco, é preciso incentivar o início de campanhas de informação sobre cibersegurança, sobre conceitos básicos sobre internet e redes, justamente porque se a justificativa da instituição for a falta de recursos para investimento, haverá um acervo básico, mas importantíssimo, de cultura e informação disseminado entre os colaboradores.

Em um contexto mais avançado e maduro da instituição, ressalta-se que a criptografia também é uma das ferramentas importantes na segurança da informação. Ela protege os dados ao torná-los ilegíveis para qualquer pessoa que não possua a chave de decriptação adequada. Isso é fundamental para garantir a confidencialidade dos dados tanto em trânsito quanto em repouso – os que são tratados e transferidos com consentimento, ou os que simplesmente ficam arquivados na rede de computadores ou em um servidor da empresa. Tecnologias de criptografia são amplamente utilizadas em diversas aplicações, desde transações bancárias online até comunicação segura via e-mail.

Outro aspecto crítico da segurança da informação é a gestão de identidades e acessos. Isto envolve a verificação de quem está tentando acessar os sistemas e a concessão de permissões apropriadas. Senhas fortes, autenticação multifatorial e políticas de gerenciamento de acesso baseadas em funções são práticas recomendadas que ajudam a assegurar que apenas usuários autorizados possam acessar informações sensíveis. O envolvimento do setor de tecnologia da informação, interno ou externo, deve ser prioridade para que se possa mapear as necessidades da empresa e desenhar o plano de ação para tratar as vulnerabilidades encontradas.

A conformidade com regulamentações e normas de segurança também é fundamental. Leis como a Lei Geral de Proteção de Dados (LGPD) no Brasil e o Regulamento Geral de Proteção de Dados (GDPR) na Europa impõem obrigações rigorosas às organizações para proteger a privacidade e a segurança dos dados pessoais. Cumprir essas regulamentações não só evita multas e penalidades, mas também demonstra o compromisso de uma organização com a proteção dos dados de seus clientes e parceiros.

A segurança da informação também envolve a criação e manutenção de planos de resposta a incidentes. Estes planos devem detalhar os passos que uma organização deve tomar em caso de uma violação de segurança. A preparação e o teste regular desses planos garantem que a empresa possa responder rapidamente a incidentes, minimizando os danos e acelerando a recuperação.

A educação e a conscientização são componentes chave na segurança da informação. Treinamentos regulares para funcionários sobre as melhores práticas de segurança, como identificar e evitar e-mails de phishing e a importância de não compartilhar senhas, são fundamentais. Uma equipe bem informada é a primeira linha de defesa contra muitos tipos de ataques cibernéticos. As instituições devem garantir que todos os seus funcionários, independentemente do nível hierárquico, estejam conscientes e engajados nas práticas de segurança da informação. A conscientização geral é crucial para criar uma cultura organizacional que prioriza a segurança em todos os aspectos operacionais.

A evolução constante das tecnologias e das ameaças cibernéticas requer uma abordagem dinâmica à segurança da informação. As empresas precisam estar sempre atualizadas com as últimas tendências e inovações em segurança cibernética, além de revisar e atualizar regularmente suas políticas e práticas de segurança. Investir em tecnologias avançadas, como inteligência artificial e machine learning, pode ajudar na detecção e resposta a ameaças em tempo real, além de ser uma forma de tratar a evolução como uma aliada e não como uma inimiga.

Ainda é possível ver um afastamento da inteligência artificial do ambiente de trabalho, e o importante é mostrarmos para as pessoas que o uso dessa ferramenta como uma assistente pode ajudar tanto na produtividade quanto na detectação de riscos, basta que os comandos sejam bem direcionados e que as pessoas preparadas estejam bem treinadas de acordo com as normas e princípios da empresa. Mais uma vez, a empresa é feita de pessoas e sim, as pessoas precisam dominar as máquinas e, cada vez mais, utilizá-las como assistentes, não encará-las como potenciais concorrentes a substituição de seus trabalhos, pois assim não deve ser. Máquinas não raciocinam e não devem tomar decisões humanas – para isso a necessidade de rápida regulamentação no Brasil e pelo mundo, acerca da utilização da inteligência artificial e de ferramentas generativas.

É importante observar, ainda, que mesmo as empresas que possuem ampla prática de governança e investimento em segurança da informação estão suscetíveis a invasões e continuamente melhoram seus processos. Disso, entendemos que não ter qualquer pensamento preventivo quanto aos dados da empresa (pessoais e estratégicos), o caminho pode ser o do declínio, basta que uma ameaça grave se concretize e a empresa nunca mais consiga se reerguer. Esse pensamento pode ser estendido desde a empresas de capital aberto à empresas de capital fechado, nas primeiras, a dose do veneno é sempre maior, e o impacto às vezes é irreversível.

Em resumo, a segurança da informação é um desafio contínuo que exige vigilância constante e uma abordagem de múltiplas faces. Proteger os dados e os sistemas de uma organização não é apenas uma questão técnica, mas também uma responsabilidade organizacional que envolve políticas, treinamento e uma cultura de segurança robusta e disseminada. À medida em que o mundo se torna mais interconectado, a importância de uma segurança da informação eficaz só aumentará, tornando-se um elemento fundamental para o sucesso e a sustentabilidade de qualquer organização. Apesar de ser um tema ainda atrelado a empresas de tecnologia, a segurança da informação deve ser um dos pilares de todos os negócios no mundo atual, pois pode significar a maior fonte de risco e perda financeira a qualquer momento.

Maria Aparecida Dutra, advogada, é Coordenadora do Jurídico e Compliance da Empresa Viação Ideal S.A. É pós-graduada em Direito Digital e Cybersegurança pela PUC-PR, e em Responsabilidade Civil pela EMERJ.