Independentemente do porte e poder econômico, todas as empresas estão enfrentando dificuldades e riscos quando o assunto é cibersegurança. Por ser uma questão complexa, que demanda investimentos em adequações e medidas de prevenção, as micro e pequenas empresas (MPEs) podem ficar mais suscetíveis a incidentes, já que essas associações lidam diariamente com um grande volume de informações.

Além da volumetria, outros aspectos que demandam atenção nessas associações são os tratamentos de dados pessoais específicos, e de crianças e adolescentes. Ambas as hipóteses envolvem as especificidades que precisam de conhecimento técnico e legal para adaptar os procedimentos de gestão conforme regulamentações vigentes, como a Lei Geral de Proteção de Dados Pessoais (LGPD) e o Estatuto da Criança e do Adolescente (ECA).

Mesmo que a LGP ​​tenha previsto a possibilidade da Autoridade Nacional de Proteção de Dados (ANDP) editar normas, orientações e procedimentos simplificados e diferenciados para facilitar a adequação de microempresas e empresas de pequeno porte (Art. 55-J, inc. XVIII), é um processo de adaptação distante da realidade da maioria das associações, já que são raros os exemplos de MPEs com departamento de TI totalmente equipado ou uma equipe de cibersegurança específica.

Como as micro e pequenas empresas têm de assumir desafios considerados para se manterem no mercado, é bastante comum que a proteção de dados seja considerada como um aspecto “não prioritário” dentro da organização. Um equívoco imenso!

As pequenas e médias empresas correspondem a uma parcela significativa do mercado brasileiro. Pequenos negócios representam 30% do Produto Interno Bruto do país, de acordo com estudo elaborado pelo Sebrae e FGV. A crescente relevância desses empreendimentos na economia chama atenção dos cibercriminosos, que buscam alvos fáceis, sem o preparo para lidar com casos de invasões, e de atividade bastante rentável.

A estratégia envolve explorar as falhas de segurança dos sistemas, sendo o uso de ransomware o mais frequente nos ataques. O que agrava a situação é a falta de recursos ou experiência suficiente para enfrentar as ameaças cibernéticas e procuram terceirizar diversos serviços, incluindo em TI. O custo médio de um comprometimento de segurança em uma pequena ou média empresa (PME) é avaliado em US$ 108 mil, segundo levantamento realizado pela Kaspersky.

Alcançar a conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD) gera impactos em termos de recursos financeiros, recursos humanos e dedicação de tempo. Diante dessa realidade, que exige planejamento e adequação da gestão, a Autoridade Nacional de Proteção de Dados (ANPD) submeteu à consulta pública uma minuta de resolução que regulamenta a aplicação da LGPD para microempresas e empresas de pequeno porte, incluindo startups e empresas de inovação. Um dos pontos em discussão que pode ser flexibilizado é a dispensa da obrigatoriedade de ter um Encarregado (DPO), como previsto nos artigos 5º, inciso VIII e 41 da lei.

Com a possibilidade de adoção de procedimentos simplificados, a norma proposta pela ANPD tem como objetivo facilitar a adaptação à LGPD pelas microempresas e assim contribuir para a disseminação da cultura de proteção de dados pessoais. São indicações que demonstram um provável posicionamento mais brando de aplicação da lei para empresas de pequeno porte.

Isso porque são muitas as dificuldades enfrentadas pelas PMEs ao longo dessa jornada de adequações. Além dos riscos cibernéticos que envolvem ameaças externas, perda de dados e de informações críticas (muitas vezes confidenciais), há o impacto da falta de capital humano focado em segurança e TI, e de infraestruturas vulneráveis do ambiente e dos serviços utilizados.

O custo médio de um comprometimento de segurança em uma pequena ou média empresa é avaliado em US$ 108 mil, segundo levantamento da Kaspersky

São fatores que aumentam as chances de perdas financeiras e até da interrupção das operações, podendo resultar em prejuízos aos clientes e à própria reputação da marca. Por exemplo, um agente mal-intencionado pode corromper uma organização com uso de malwares e spywares para infectar um dispositivo e, com isso, obter acesso não autorizado a toda a rede da MPE.

Importante citar que muitas micro empresas e de pequeno porte têm negócios com organizações maiores e qualquer incidente de segurança pode ter efeitos de longo alcance sobre clientes e parceiros, gerando uma reação em cadeia.

O foco de atuação precisa ser mudança de cultura. Claro que há necessidade de investir mais em tecnologias protetivas para apoiar na implementação das novas regras, mas temos que engajar a liderança das empresas para atenderem as melhores práticas de proteção de dados e exigirem isso de todas as equipes, fornecedores e parceiros.

Exige uma atuação multidisciplinar e multidepartamental. Terão de se unir nessa jornada profissionais das áreas jurídica, Tecnologia da Informação (TI), recursos humanos, marketing, negócios, inovação e pesquisa, e também da frente de atendimento aos clientes. Todos os setores críticos das empresas precisam ser envolvidos.

Como criar uma cultura de proteção de dados pessoais e de cibersegurança:

1. Aumentar a conscientização dentro da organização, treinando e ensinando os funcionários para que sejam a primeira linha de defesa da empresa, empregando recursos em treinamento, cursos e materiais que desenvolvam e capacitem as habilidades dos colaboradores para lidar com situações de ameaça cibernética.

2. Implementar políticas em toda a empresa, vislumbrando uma cultura de segurança da informação como somente o uso de software licenciados e atualizados regularmente.

3. Cuidado com o uso de dispositivos móveis (telefones celulares, notebooks, tablets, etc.) sejam pessoais ou corporativos (ou uma combinação dos dois).

4. Atenção às redes de Internet utilizadas para a realização dos serviços, pois uma rede wi-fi pública, por exemplo, pode representar um alto grau de vulnerabilidade e rastreabilidade dos dados trafegados.

5. Começar a utilizar uma VPN é uma boa prática. Sistemas baseados em nuvem também merecem atenção quanto ao compartilhamento de arquivos ou conteúdo dedicado, que pode inclusive envolver uma transferência internacional de dados pessoais.

6. Proteger o acesso a portais de fornecedores e outros sistemas externos, com mapeamento, avaliação e gerenciamento todos os riscos.

7. Implantar uma política de modificação periódica de senhas e incentivo à autenticação multifatorial para aumentar a segurança.

8. Consultar materiais orientativos para apoiar na disseminação de uma cultura a proteção dos dados pessoais em suas organizações, tais como o Guia de Segurança da Informação para Agentes de Tratamento de Pequeno Porte, lançado pela ANPD em outubro deste ano.

Por Patricia Peck: sócia do Peck Advogados e Conselheira Titular do Conselho Nacional de Proteção de Dados (CNPD) e Lucas Galdino, advogado especialista em Direito Digital e Cibersegurança do Peck Advogados.

(Este artigo foi escrito em conjunto com Camila Nascimento, advogada especialista em Direito Digital do Peck Advogados)

Conteúdo publicado originalmente no NEOFEED

Author

Write A Comment