Em um mundo no qual circulam trilhões de gigabytes de dados, a proteção das informações de clientes deve ser prioridade para toda e qualquer empresa. No entanto, um levantamento do Grupo Daryus, consultoria especializada em proteção de dados, mostra que 80% das organizações no Brasil não estão totalmente adaptadas à Lei Geral de Proteção de Dados (LGPD). Quase um quarto delas (24%) ainda estão em fase inicial.
Já é consenso – embora nem sempre colocado em prática – que a proteção de informações de clientes, colaboradores e fornecedores depende da combinação de tecnologia com treinamento de funcionários. “Não adianta implementar sistemas de criptografia, de controle de acesso, firewalls e todo tipo de sistema de prevenção, se as pessoas da organização não tiverem um comportamento seguro, que obedeça processos”, afirma José Wildner, gerente de infraestrutura da SIS Innov & Tech, consultoria estratégica de transformação digital e Tech Hunting.
Segundo Wildner, porém, é preciso também medir a eficácia de cada solução para garantir a segurança e a confiabilidade dos dados. “Após a escolha e a implementação tática de proteção, é preciso acompanhar as métricas de segurança, que são indicadores de quão bem uma empresa está protegendo os dados de seus clientes e parceiros”, diz o especialista. Entre as possibilidades de métricas, destacam-se:
Tempo Médio para Detectar (MTTD): tempo médio entre o problema detectado e o comunicado para a solução.
Tempo Médio para Responder (MTTR): tempo médio para resolver uma falha por completo e garantir que não aconteça novamente.
Taxa de Falsos Positivos e Negativos: quando o sistema marca um item como malicioso quando não há ameaça ou deixa passar uma movimentação suspeita.
Número de Incidentes de Segurança: evento adverso, suspeito ou confirmado, capaz de impactar a integridade de um ativo de informação da organização.
Duplo Fator de Autenticação: função que permite dobrar a segurança a partir da dupla validação do login.
Nível de Acesso de Privilégio: medida de segurança habilitada para administradores de TI ou outros colaboradores que podem ter acesso à itens sensíveis da companhia.
Avaliação de Vulnerabilidade: processo de avaliação e identificação de potenciais riscos à segurança da empresa.
Capacitação da equipe
Wildner explica que o treinamento de colaboradores é a melhor métrica para empresas com orçamento limitado, pois as pessoas desempenham um papel fundamental na proteção de dados de uma organização. Funcionários bem treinados possuem maior conscientização sobre ameaças, aderem a boas práticas de segurança e cometem menos erros.
Vazamento de dados
Mesmo com todas as medidas de proteção, é importante que a empresa esteja preparada para possíveis vazamentos de dados. “É preciso ter um protocolo definido para a tomada de ações imediatas. Isso inclui a consulta a profissionais jurídicos especializados, isolamento e contenção da fonte do vazamento, documentação de todas as ações realizadas, juntamente com a criação de um plano de melhoria contínua”, afirma o gerente de infraestrutura da SIS Innov & Tech.
Descarte de dados
O descarte de dados também merece atenção. Para fazê-lo de forma adequada e segura, a empresa deve entender o propósito dessa exclusão e eliminar apenas o que for acordado com o cliente. “Além disso, permitir que os colaboradores acessem os dados durante o processo e manter uma comunicação direta com o titular da conta, garantindo que este esteja ciente do descarte, são ações que também contribuem para uma operação mais transparente e segura”, diz Wildner.