No mundo em que vivemos, cada dia mais digital, os dados são parte essencial da vida, a todo o momento estamos criando e fornecendo dados para os mais variados veículos e entidades. Cadastros, criação de documentos, logins realizados, posts em redes sociais, envio de vídeos em plataformas de streaming, transações bancárias etc.
Deixamos rastros por toda parte! Estes rastros podem ser monitorados, cruzados e combinados de forma com que esbocem um retrato bem preciso de quem somos, onde estamos e do que gostamos ou não.
O costume de clicar em “eu aceito e concordo com os termos de uso e política de privacidade” sem sequer ler, nos leva a acreditar que nossos dados nem valem tanto assim. Afinal, a quem eles interessariam?
Entretanto, escândalos relacionados a vazamentos de dados a até mesmo falta de transparência quanto ao uso de dados pessoais por parte de empresas públicas e privadas geraram reflexos.
Por esse motivo, pessoas do mundo todo, têm se conscientizado quanto à falta de privacidade e segurança.
Esse medo pelo suposto fim da privacidade é tão grande que foi iniciada uma corrida, em todo o mundo, para criar e aprovar leis que coloquem algum controle sobre a forma como dados são coletados, armazenados e utilizados pelas companhias.
No Brasil, a Lei Geral de Proteção de Dados Pessoais nº 13.709/2018, também conhecida como LGPD, tornou-se agenda de discussão para executivos de empresas de todos os portes. Na União Europeia, a legislação aprovada também tem confortado muitos cidadãos.
Índice
Dados no meio corporativo: coleta e utilização
Para entender qual a importância dos dados, como são transformados em informação e como são utilizados estrategicamente, precisamos entender a base de tudo: Como eles são armazenados e tratados.
Os dados se não forem tratados, são elementos desconexos sem nenhuma serventia, porém, quando tratados, são convertidos em informações úteis através de processos e atividades de inteligência, auxiliando departamentos, gestores e organizações em sua tomada de decisão.
A coleta destes dados pode ser realizada de várias formas. Cadastros realizados em troca de algum material gratuito, dados de uso de um produto online, informações de sistemas de CRM, ERP e departamentos internos são apenas alguns exemplos.
O diferencial competitivo está na utilização desses dados, para isso é feito um processo de extração e consolidação, os transformando em informações uteis.
Depois de tratados, eles são armazenados em bases de dados com foco em análise. Existem alguns formatos para estas bases, tudo depende do tipo de estratégia adotada pela organização.
Alguns exemplos:
- Data Warehouse: armazena apenas dados que já foram tratados ou modelados;
- Data Mart: enquanto o data warehouse é usado para múltiplas finalidades, o data mart funciona como uma subseção do data warehouse, formulada especificamente para um departamento ou função;
- Data Lake: armazena todos os dados, estruturados ou não, que são gerados através de diferentes processos e podem ser estruturados para o uso futuro.
A utilização destes dados pode gerar novas estratégias, inovações em produtos e inteligência de negócios. A metodologia que coleta e analisa estes dados é o BI, ou Business Intelligence. Como um grande aliado das organizações na era digital, o Gartner estima que o mercado de BI e Business Analytics deve atingir a marca de US$ 22,8 bilhões ainda em 2020.
Isso mostra como, cada vez mais, grandes corporações têm tomado suas decisões com base em dados coletados ao longo de sua existência.
Portanto, a coleta de determinadas informações enriquece o negócio e o cruzamento delas pode traçar retratos trazer diversos tipos de insights, como por exemplo: dados de faturas, valores de contestações retroativas, o volume de multas por atraso no pagamento de faturas etc.
De quem são os dados coletados? — O princípio do titular dos dados.
Qual o critério do consumidor ao fornecer seus dados no decorrer do dia? Cadastros em troca de benefícios gratuitos não são analisados, termos de uso e políticas de privacidade recebem um “check” sem que sejam lidos.
A persistência deste tipo de comportamento colocou em risco a privacidade de muitos cidadãos em escândalos envolvendo o uso de dados, como o caso Cambridge Analytica e o Brexit. Os acontecimentos chamaram a atenção da forma como nossos dados são tratados e processados sem transparência.
O fornecimento de dados é subestimado pelo consumidor que acredita que, ao serem usados para fins publicitários, apenas recomendarão alguns produtos e serviços que, de fato, o interessarão. Será que é apenas isso?
Você se lembra a última vez em que foi à farmácia, mas, para poder comprar os seus remédios, a instituição pediu seu CPF ou até te ofereceu um desconto em troca disso? Mediante o discurso de que é uma burocracia do sistema você fornece o CPF e leva os medicamentos para casa.
Parece simples, mas essa situação pode se transformar em uma bola de neve complicada. Quais ações podem ser tomadas por uma indústria a partir do momento em que ela sabe, precisamente, qual tipo de medicamento você precisa? Além disso, ela pode cruzar este dado e entender com qual frequência você compra este medicamento e em qual região, por exemplo.
A partir deste cruzamento, uma organização pode entender que você provavelmente tem uma doença relacionada ao tipo de medicamento que está adquirindo, portanto, aquele produto é uma de suas necessidades básicas. Muitos consumidores se sentem desconfortáveis diante desta situação.
No exemplo, foram utilizados dados relacionados à saúde. Estas informações são consideradas dados sensíveis dentro do conjunto de dados pessoais, ou seja, podem gerar algum tipo de discriminação em caso de vazamento, portanto devem ser tratados de forma especial.
Para a Lei Geral de Proteção de Dados, a LGPD, os dados sensíveis e que estão sujeitos a condições de tratamento específicas são:
- Dados pessoais que revelem a origem racial ou étnica, opiniões políticas e convicções religiosas ou filosóficas;
- Filiação sindical;
- Dados genéticos e dados biométricos tratados simplesmente para identificar um ser humano;
- Dados relacionados com a saúde;
- Dados relativos à vida sexual ou orientação sexual de uma pessoa.
Claro que, para a LGPD, um dado pessoal só pode ser tratado se seguir um ou mais de seus critérios. Contudo, para realizar o trato de dados sensíveis, será preciso adquirir um consentimento explícito da pessoa para um fim definido.
Entretanto, para entendermos como esta medida será capaz de empoderar o consumidor e devolvê-lo o controle sob seus próprios dados, é preciso saber quais são os atuantes dentro de um processo de tratamento de dados.
Controlador da base de dados
Basicamente, o controlador de uma base de dados é o proprietário do Data Mart, Data Warehouse ou Data Lake onde os dados do consumidor estão armazenados. Ele detém estes dados, mas não é o proprietário deles.
Operador da base de dados
O operador é a pessoa ou entidade que realiza algum tipo de tratamento do dado que está dentro de uma base. O tratamento pode consistir na coleta, consolidação, cruzamento ou qualquer preparação que deixará este dado apto a ser utilizado para sua finalidade.
Autoridade Nacional de Proteção de Dados – ANPD
A ANPD é uma autoridade determinada pela Lei Geral de Proteção de Dados. Trata-se de um órgão de administração pública federal, que faz parte de Presidência da República e é responsável por defender a proteção e privacidade de dados pessoais de acordo com as determinações da LGPD.
Titular dos dados pessoais
Finalmente, o titular dos dados é o consumidor que fornece suas informações. Antes, o consumidor fornecia os dados e estes passavam a ser propriedade da organização ou entidade que os coleta: e ela tinha liberdade quanto ao tempo de armazenamento e utilização dos dados para diferentes finalidades, sem a responsabilidade de notificar o consumidor.
Com a LGPD, a titularidade dos dados é devolvida ao consumidor. Isso significa que, finalmente, agora o titular é dono de seus próprios dados. E essa posse independe de onde estes dados estão, afinal, o operador ou controlador não possui estas informações, apenas as utiliza para determinada finalidade. Com isso, o titular detém alguns direitos sobre seus dados, sejam eles sensíveis ou não.
Aplicando esta característica à situação utilizada no exemplo da coleta de CPF em farmácias, a instituição deverá esclarecer por que aquele dado está sendo solicitado e a qual finalidade ele atenderá.
Se a informação for coletada sob a justificativa de controlar o fornecimento de determinados medicamentos de acordo com a quantidade que aquela loja demanda, ela só poderá ser utilizada para este fim. A responsabilidade de fiscalizar os controladores e operadores da base de dados será da Agência Nacional de Proteção de Dados, a ANPD.
Perigos dos vazamentos de dados corporativos
Agora que você já entendeu a importância da coleta e tratamento de dados para as empresas, e como esse processo será afetado pela LGPD trazendo privacidade ao titular dos dados, podemos falar sobre outro risco que as bases de dados sofrem: o vazamento.
Com empresas que detém bases de dados ricas devido à hiperconectividade, os criminosos virtuais tornaram a invasão de determinados sistemas seu principal objeto de desejo.
Contudo, um escândalo envolvendo vazamento de dados fica marcado na história da marca para sempre. Nomes gigantes do mercado já tiveram prejuízos bilionários decorrentes dete tipo de invasão. Para algumas organizações, pode significar a extinção da marca.
De acordo com um levantamento realizado em 2018 pela McAfee, as perdas das empresas brasileiras com crimes virtuais são de 10 bilhões de dólares por ano. No mundo, as perdas anuais são estimadas em 608 bilhões de dólares.
Bases de dados e servidores de arquivos sem gestão apropriada sobre quem acessa o quê são pratos cheios para os cibercriminosos. Devido à falta de visibilidade de alguns executivos quanto ao risco da falta de segurança da informação, existe uma lista de empresas cuja reputação já foi prejudicada graças a um vazamento de dados.
Existem dois sérios riscos atrelados ao vazamento de dados corporativos, de acordo com o tipo de informação que é tornada pública através de uma invasão ilegal. São eles:
Existem dois tipos de dados que podem ser vazados a partir de uma invasão: informações internas e informações de clientes. Ambos podem acarretar consequências graves e comprometer seriamente a imagem de uma marca, sua vantagem competitiva e seu relacionamento com os clientes.
Vazamento de dados organizacionais
Toda empresa possui informações, dados e documentos que não podem vir a conhecimento público por algum motivo, ou seja, são confidenciais
Se o ataque tornar pública informação corporativa, a vantagem competitiva da estratégia traçada por aquela organização estará comprometida. Essa informação normalmente diz respeito a estratégias de longo e curto prazo, como projeções financeiras ou campanhas comerciais.
Informações confidenciais são protegidas em organizações para zelar por sua estratégia e vantagem sob sua concorrência. Por isso, o sigilo ou acesso restrito a determinado dado deve ser mantido de acordo com as orientações fornecidas.
Além do ataque criminoso a uma organização, existem muitos casos onde colaboradores ou ex-colaboradores são responsáveis pelo vazamento de dados confidenciais.
Na rotina de trabalho, ao participar do desenvolvimento dos negócios ou ao ter acesso a este fluxo privilegiado de informações, muitas pessoas têm a falsa crença de que estas informações também lhe pertencem, o que é um engano. Estes ex-colaboradores acabam armazenando consigo todo esse histórico, levando para si uma cópia desses dados, sem qualquer autorização.
De conversas em aplicativos de mensagem instantânea, como o WhatsApp, a trocas de e-mails ou dados de um Data Warehouse: estas informações são de propriedade da empresa, fazem parte de seu core business e podem ser restritas. Se um colaborador desligado de determinada organização mantém consigo estas informações, está portando-as indevidamente.
Como combater o vazamento de dados organizacionais
A tecnologia é uma importante aliada dos negócios no combate ao vazamento de dados organizacionais. Isto porque práticas de segurança da informação são capazes de amenizar e até mitigar este tipo de vazamento.
Ao ingressar determinada organização, o colaborador deve utilizar os dispositivos fornecidos para o trabalho, como celular e notebook. Em algumas empresas, o colaborador pode utilizar seu próprio dispositivo móvel, por exemplo, mediante a instalação de uma ferramenta que segrega informações corporativas das informações pessoais.
Esta funcionalidade está presente em plataformas de EMM – Enterprise Mobility Management, como o Navita EMM. O Work Profile, como é conhecida a funcionalidade na plataforma da Navita, garante a privacidade da informação do colaborador, uma vez que a empresa não terá acesso ou responsabilidade sob aqueles dados.
Além disso, ele garante a eliminação de informações corporativas naquele dispositivo no momento do desligamento. Esta é uma das práticas que podem minimizar o vazamento de informações organizacionais sigilosas.
A aplicação de políticas corporativas de segurança e criptografia também pode apoiar a mitigação deste tipo de vazamento. Estas medidas, por sua vez, combatem os ataques às informações sigilosas de uma organização, tornando-as disponíveis somente aos colaboradores autorizados.
Para combater os ataques aos dispositivos corporativos, é preciso aplicar configurações de acordo com as políticas de segurança da informação em todos os dispositivos corporativos. O Navita EMM também suporta este processo.
Listas de aplicativos com instalação permitida, controle das configurações de aplicativos e do navegador para garantir uma navegação segura na internet, integrando-o com o proxy da empresa ou declarando endereços (URLs) que poderão ou não ser visitadas são algumas medidas de segurança viabilizadas pela plataforma.
Vazamento de dados de clientes
Muitos escândalos já ocorreram no mercado, no que diz respeito ao vazamento de dados de clientes. Em uma organização que atua no modelo B2B, isto é, uma empresa que atende outra empresa, o vazamento de dados de clientes pode acarretar as consequências dos dois tipos de vazamento.
Os dados sigilosos de, literalmente, centenas de milhões de pessoas foram violados e expostos, depois reunidos em várias listas colocadas na darkweb para venda. Os vazamentos de dados são uma tendência assustadora no mundo do crime virtual que não mostra nenhum sinal de desaceleração num futuro próximo.
Embora alguns vazamentos de dados sejam ataques deliberados, outras são simplesmente bancos de dados deixados de lado, que os auditores de segurança encontram na web como verdadeiros cofres desprotegidos e desbloqueados.
No caso do Facebook, o famoso escândalo do Cambridge Analytica revelado em setembro de 2018, 87 milhões de usuários da rede tiveram seus dados de preferência política expostos.
A operação secreta foi motivada politicamente, por influência da campanha presidencial americana de 2016. Embora a vazamento tenha ocorrido em 2016, apenas e 2018 as conclusões da investigação foram divulgadas.
Como combater o vazamento de dados dos clientes
Documentar políticas objetivas, que detalhem os procedimentos e diretrizes no trato com dados sensíveis é primordial em qualquer negócio. Desta forma, o gerenciamento de riscos pode acontecer através de controles bem definidos, que ainda fornecem referências para auditorias e ações corretivas.
Para a ISO 27001, que estabelece as diretrizes gerais para a gestão da informação de uma empresa, a segurança da informação é o ato de proteger os dados da empresa contra diversos tipos de ameaças e riscos — espionagens, sabotagens, incidentes com vírus ou códigos maliciosos e até acidentes físicos, como incêndio e inundação.
O combate aos ataques maliciosos pode ser reforçado através da simulação de um ataque: o pentest. Esta simulação é feita através de um conjunto de atividades e ferramentas utilizadas para identificar falhas de segurança em sistemas e redes corporativas. As técnicas simulam um ataque hacker, mas ocorrem de forma completamente transparente e ética.
A associação de pentests a técnicas de engenharia social pode diminuir significativamente o risco de vazamento de dados nos dois âmbitos apresentados.