Na era digital, dados são preciosidades! Nos negócios, eles são essenciais para tomadas de decisão com base em informação, para criação de novos produtos e serviços e para a personalização da experiência do cliente.
No entanto, o uso dos dados não pode ocorrer de forma indiscriminada. Para garantir a privacidade e a proteção de dados pessoais, foi criado o Dia Internacional da Proteção de Dados, celebrado no dia 28 de janeiro.
A data, escolhida em 2006 pelo Conselho da Europa, traz conscientização para o manejo das informações e reforça a importância de medidas de cibersegurança nas empresas, como a implementação da ISO 27001.
Para saber mais sobre o significado da data, cibersegurança nas organizações e como a ISO 27001 pode ajudar na proteção de dados, siga com a leitura!
O Dia Internacional de Proteção de Dados é celebrado em 28 de janeiro, e foi criado em 2006 pelo Conselho da Europa, com o objetivo de conscientizar indivíduos, empresas e governos sobre a importância de proteger a privacidade e os dados pessoais no ambiente digital.
A data, também conhecida como “Data Protection Day”, foi escolhida para coincidir com o aniversário da Convenção 108, adotada pelo Conselho da Europa, em 1981. Nessa convenção foi criado o primeiro tratado internacional que abordou a proteção de dados e o direito à privacidade de forma abrangente.
Assim, ela serviu de referência para diversas legislações de proteção de dados ao redor do mundo, como o GDPR (Regulamento Geral de Proteção de Dados da União Europeia) e a LGPD (Lei Geral de Proteção de Dados do Brasil).
A proteção dos dados no ambiente digital é de fundamental importância e os ataques cibernéticos são uma realidade com índices bastante relevantes.
O ESET Security Report (ESR), relatório anual produzido pela ESET, com base em pesquisas realizadas com profissionais de TI e segurança digital, destaca que 30% das organizações sofreram pelo menos um incidente de segurança em 2023, e que uma em cada cinco empresas pode ter sido atacada sem saber, devido à falta de tecnologia adequada para detectar esse tipo de incidente.
Além disso, 23% das empresas sofreram tentativas de ataques de ransomware nos últimos dois anos. O relatório fornece uma perspectiva sobre o estado da cibersegurança na América Latina, destacando as principais áreas de preocupação, as ameaças mais prevalentes e as medidas adotadas pelas empresas e organizações.
Os ataques cibernéticos e o consequente vazamento de dados causam prejuízos à imagem e ao caixa das empresas. Setores que lidam com dados mais sensíveis, como bancos, seguradoras e gestoras de ativos, de acordo com o Fundo Monetário Internacional (FMI), sofreram mais de 20 mil ataques cibernéticos nas últimas décadas, gerando perdas de US$ 12 bilhões ao setor financeiro global.
Ainda segundo o FMI, o número de incidentes mais que dobrou desde a pandemia e representa uma ameaça crescente à estabilidade financeira mundial.
Diante do volume dos dados no contexto atual, do avanço da Inteligência Artificial e diante das graves ameaças que o ambiente digital sofre, o Dia Internacional da Proteção de Dados serve como alerta para que medidas cada vez mais eficientes sejam tomadas, especialmente, em relação ao Sistema de Tecnologia da Informação dentro das organizações.
De acordo com o relatório da ESET sobre as ações de educação e conscientização, 77% das pessoas ouvidas na pesquisa acreditam que estão preparadas para trabalhar remotamente e com segurança. Por outro lado, apenas 27% dos funcionários acham que recebem treinamento regular sobre questões de segurança digital.
Ou seja, existem desafios a serem superados por parte das organizações em relação à cultura da proteção de dados e às exigências legais.
Nesse sentido, as empresas devem priorizar seus esforços em medidas mais concretas e robustas. Entre elas, podemos destacar:
A ISO 27001 é uma norma internacional, criada em 2005 pela ISO – International Organization for Standardization e pela International Electrotechnical Commission, que atua na gestão da segurança da informação de uma empresa, por meio de um conjunto de requisitos, controles e processos organizacionais.
Dessa maneira, a ISO 27001 estabelece referências e práticas para o gerenciamento de riscos com relação à segurança da informação, protegendo a integridade, privacidade e a disponibilidade de dados essenciais (principalmente os sensíveis) retidos por uma organização.
Portanto, a ISO 27001 oferece ferramentas para orientar, educar e promover a segurança de dados nas empresas, e sua implementação, por si só, já pode servir como um treinamento para times e engajamentos dos profissionais.
Para este processo, as organizações podem contar com a Fundação Carlos Alberto Vanzolini, que é membro da The International Certification Network (IQNet), rede internacional de entidades certificadoras e certificadora da norma ISO 27001, garantindo que sua empresa tenha a validação de uma das principais referências no assunto. Especialmente ao se considerar que 30% do número total de certificados de sistemas de gestão emitidos no mundo foram gerados por membros associados à IQNet.
Para saber mais informações sobre como certificar a sua organização com a ISO 27001 e se posicionar como uma empresa que atende às normas e lei de proteção de dados, entre em contato certific@vanzolini.org.br.
Fontes:
A Inteligência Artificial (IA) está por toda parte. Sem perceber, interagimos com essa tecnologia de dados a todo momento e, justamente por isso, o uso da Inteligência Artificial deve ser permeado pela ética.
Do streaming de filmes aos aplicativos de banco, as ferramentas da Inteligência Artificial usam informações pessoais e organizacionais e estão no “comando dos comandos”.
Diante disso, a Inteligência Artificial não pode ser aplicada de forma indiscriminada, e a ética, que dentre muitas definições, “é a investigação geral sobre aquilo que é bom“, segundo, G. E. Moore, deve reger seu uso, para que possamos usufruir de seus benefícios, sem danos.
Quando a IA foge da ética, as empresas podem sofrer com penalidades judiciais, prejuízos econômicos e perda de credibilidade no mercado. Mas, como fazer da ética uma prática e garantir o respeito a ela no uso da Inteligência Artificial? Acompanhe a leitura e descubra!
A Inteligência Artificial é uma tecnologia que possibilita que computadores e máquinas resolvam problemas a partir da inteligência humana. Ou seja, trata-se de uma tecnologia capaz de realizar tarefas que, de outro modo, necessitariam da inteligência ou intervenção humana.
Sozinha ou combinada com outros recursos tecnológicos, como sensores, geolocalização e robótica, a IA tem a capacidade de fazer uma máquina funcionar, inspirada no comportamento humano.
Como exemplos do uso da IA, temos as plataformas de streaming, os aplicativos de banco, as assistentes digitais, a orientação por GPS, os veículos autônomos, as ferramentas generativas de IA (como o Chat GPT) e as ferramentas de gestão de projetos.
Uma coisa não exclui – e nem deve – a outra. Para que a tecnologia seja benéfica para pessoas e empresas, ela precisa ser permeada pela ética. Caso contrário, em vez de ter seu papel inovador e revolucionário, o avanço tecnológico agride, expõe, segrega e exclui. Uma maneira de fazer a ética presente no uso e no desenvolvimento da Inteligência Artificial é por meio da educação.
Dessa forma, promover o aprendizado de ética na formação do profissional em tecnologia é uma maneira de colaborar com a prevenção de possíveis desvios de rota que podem surgir na carreira.
Afinal, a pressão por resultados é grande, mas o dever com a ética e a responsabilidade com o uso das ferramentas tecnológicas deve ser maior.
A velocidade surpreendente no avanço da tecnologia tem colocado em xeque muitas vezes a ética. No entanto, uma prática ética é essencial para garantir que as tecnologias não visem apenas o lucro, mas que sejam também socialmente responsáveis.
De acordo com uma reportagem publicada na Forbes, 96% das pessoas consideram que a IA deve ser ética e responsável, e a pesquisa realizada pela Prosper Insights & Analytics mostrou que 26,8% dos adultos norte-americanos ainda precisam se adequar às medidas de segurança digital.
Assim, a responsabilidade no uso da Inteligência Artificial de hoje e do futuro deve envolver sociedade civil, empresas e governos, para promover justiça, privacidade e segurança, e também evitar preconceitos nas aplicações tecnológicas.
Para que haja tecnologia e sociedade do futuro, é preciso que as ações éticas sejam tomadas agora.
Como forma de gerenciar o uso da IA, os estudiosos têm usado o Relatório Belmont como uma diretriz para orientar os princípios éticos dentro da pesquisa experimental e desenvolvimento de algoritmos.
Para ajudar nas pesquisas, experimentos e práticas com a IA, destacamos três princípios importantes extraídos do Relatório Belmont:
– Respeito pelas pessoas: reconhece a autonomia dos indivíduos e espera que os pesquisadores protejam as pessoas com autonomia reduzida, como pessoas com enfermidade, incapacidade mental e restrições de idade.
Aqui, trata-se, sobretudo, da ideia de consentimento. Desse modo, as pessoas devem estar cientes dos possíveis riscos e benefícios de qualquer experimento do qual façam parte.
– Beneficência: princípio de “não fazer mal”, pois sendo uma tecnologia baseada no comportamento humano, pode replicar vieses em torno de raça, gênero, política, entre outros.
E a ética deve impedir que haja o preconceito por parte dos mecanismos da IA, para fazer o bem e melhorar o cenário para todos.
– Justiça: princípio que trata de problemas como justiça e igualdade.
Para que o avanço da Inteligência Artificial possa gerar benefícios significativos para pessoas e empresas, além dos princípios citados acima, a legislação brasileira dispõe de responsabilidades na esfera civil e criminal. Veja só:
– Responsabilidade Civil:
A legislação brasileira prevê a responsabilização objetiva, baseada no risco da atividade desenvolvida, nos termos do artigo 927 do Código Civil. Nesse caso, a responsabilidade recai sobre o desenvolvedor, proprietário ou usuário do sistema de IA, dependendo das circunstâncias do caso.
No entanto, vale destacar que a responsabilidade civil pode ser afastada, caso haja provas de que o dano foi causado por culpa exclusiva da vítima ou de terceiros.
– Responsabilidade Criminal:
A responsabilidade criminal diz respeito a casos envolvendo IA que apresentam desafios relacionados à culpabilidade e à intenção. Assim, de acordo com o ordenamento jurídico brasileiro, a responsabilidade penal é subjetiva e exige a comprovação da culpa ou dolo do agente.
Em situações envolvendo IA, pode ser difícil atribuir culpa a um sistema autônomo. Desse modo, é fundamental avaliar a participação humana na criação, controle e monitoramento da IA.
– Marco Civil da Internet e Proteção de Dados:
No Brasil, temos também o Marco Civil da Internet (Lei nº 12.965/2014) e a Lei Geral de Proteção de Dados (Lei nº 13.709/2018), leis que estabelecem diretrizes para o uso responsável e seguro da tecnologia, incluindo a inteligência artificial.
Os textos preveem a necessidade de consentimento, transparência, segurança e prestação de contas no tratamento de dados pessoais, o que impacta diretamente na responsabilidade relacionada à IA.
Quando uma empresa – ou uma pessoa – não cumpre com a legalidade, ela pode sofrer com ações legais e multas, comprometendo sua credibilidade e seu bolso.
De acordo com o artigo Ethics can’t be delegated (A Ética não pode ser delegada, em tradução livre), a responsabilidade em relação à IA deve envolver todo o time e, inclusive, a liderança. Para que a ética esteja presente na tecnologia e nos seus resultados, todas as pessoas devem compartilhar da mesma visão e dos mesmos valores. Veja a seguir alguns dados do estudo sobre a utilização da IA nas organizações:
Diante desse contexto e pensando em colaborar para construção de um futuro tecnológico responsável, a Fundação Vanzolini, em parceria com a IEEE Standards Association, organizou um treinamento exclusivo na Escola Politécnica da Universidade de São Paulo (Poli-USP), de 19 a 22 de agosto de 2024.
O encontro foi uma oportunidade para profissionais que desejam se destacar na avaliação ética de Sistemas Inteligentes Autônomos (AIS). Essa certificação é essencial para garantir que a Inteligência Artificial seja utilizada de maneira ética, abordando questões como privacidade, transparência e responsabilidade.
A IEEE Standards Association é a maior organização profissional técnica dedicada ao avanço da tecnologia para o benefício da humanidade, com uma vasta gama de publicações, conferências e atividades educacionais.
Pioneira na certificação de Sistemas de Gestão da Qualidade no Brasil, a Fundação Vanzolini é reconhecida por sua excelência em diversas áreas, incluindo Construção Civil, Saúde, Segurança da Informação, Sustentabilidade, Alimentação e Gestão da Qualidade.
Juntas, as organizações visam integrar princípios éticos no design e implementação de sistemas autônomos, aumentando não só a confiança pública nas tecnologias emergentes, mas também assegurando que essas inovações contribuam positivamente para a sociedade como um todo.
Tecnologia sem ética, é tecnologia sem futuro.
Até o próximo!
Fontes:
Quando o assunto é tecnologia, o estudo de ética é necessário
Responsabilidade Civil e Criminal em Caso de Inteligência Artificial
Responsabilidade ética no uso da Inteligência Artificial
Na Sociedade da Informação, uma nova forma de fazer negócios se estabelece: a Economia dos Dados, que tem sido mais valorizada que o petróleo. No entanto, questionam-se os riscos para a pessoa física de as empresas usarem e armazenarem seus dados. Nos últimos anos, houve alguns escândalos, como o da Cambridge Analytica, que mostraram como a privacidade e a proteção dos dados são cruciais.
No Brasil, a Lei n. 13.709/2018, mais conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), específica como os dados devem ser tratados e armazenados visando à proteção e à privacidade das pessoas. No entanto, essa mudança não acontecerá abruptamente. Ao contrário, será fruto de amadurecimento e transformação cultural. Educar sobre a soberania dos Titulares e as bases legais de tratamento e estabelecer relações de transparência entre os atores dessa cadeia requer constância, coerência e resiliência.
Este livro é indicado para todos os profissionais que buscam uma metodologia para implementar essa transformação da LGPD de forma sustentável e eficiente. Por isso, fazemos um convite para trabalhar a longo prazo, em um programa transformador e multidisciplinar, com controles, métricas e evidências claras de que o direito está sendo respeitado.
Editora: Blucher
Total de páginas: 128 páginas
Ano da edição: 2020
Número da edição: 1 ª edição
Autores: Edson Aguilera-Fernandes, Lara Rocha Garcia, Marcos Ribeiro Pereira-Barretto, Rafael Augusto Moreno Gonçalves
Formato: Impresso e digital
Disponível para compra: Blucher
Próximo encontro do seminário “A Gestão Municipal na Era dos Dados” acontecerá em 21 de junho, terça-feira, às 10h, via Zoom, com o tema “LGPD – implementação da Lei Geral de Proteção de Dados Pessoais nos municípios”. Inscrições gratuitas pelo link do evento.
A Frente Nacional de Prefeitos (FNP), por meio do Fórum Inova Cidades e da Fundação Vanzolini, trazem como convidados a diretora-executiva da Open Knowledge Brasil,
(mais…)Desde o início da pandemia causada pela Covid-19 o estilo de trabalho passou por uma mudança brusca e que exigiu adaptação de todos. As casas foram transformadas em escritórios, computadores foram levados para as casas dos colaboradores, assim como dados e informações sigilosas das empresas.
Neste momento, mais do que nunca, a responsabilidade muda de local e o colaborador fica responsável pela segurança dessas informações. Mas quais cuidados são necessários para evitar que o vazamento de dados ocorra? Professor do da Fundação Vanzolini, Marcos Barretto conversou com o site Imobi Report sobre o assunto e clicando aqui você confere a entrevista completa.
Cuidar da saúde e da segurança dentro da organização é um dever ético, um compromisso com as pessoas trabalhadoras, além de ser uma iniciativa estratégica para manutenção de talentos e expansão dos negócios.
Desse modo, a certificação ISO 45001 é uma conquista importante das empresas quando se trata de promover a segurança e a proteção da saúde dos colaboradores.
Ao garantir condições dignas e um ambiente agradável, seguro, de valorização e de cuidado, pessoas e empresas ganham em produtividade e satisfação. Para saber mais sobre a ISO 45001 e como ela pode colaborar inclusive com a saúde mental e a segurança no ambiente de trabalho, siga com leitura!
Antes de mais nada, é preciso entender que a ISO 45001 é uma norma internacional, criada com o objetivo de ajudar as organizações a melhorarem a gestão nas áreas de saúde e segurança ocupacional (SSO).
Importante destacar que a ISO 45001 pode ser aplicada em qualquer tipo de empresa, independentemente do porte e setor de atividade.
Para sua elaboração, foram considerados os dados da Organização Internacional do Trabalho (OIT), que estima que 2,3 milhões de pessoas morrem anualmente em acidentes e doenças de trabalho.
Dessa forma, seu foco principal é ser uma ferramenta para reduzir os acidentes de trabalho, lesões e doenças ocupacionais.
Segundo dados do sistema eSocial do Ministério do Trabalho e Emprego (MTE), em 2023 ocorreram, no Brasil, 2.888 acidentes fatais, no mesmo período. O sistema registrou, em 2023, um total de 499.955 acidentes de trabalho.
Portanto, para mudar esse cenário, a ISO 45001 contribui com uma abordagem de gestão de riscos, na qual as empresas são incentivadas a identificar os perigos potenciais em seus processos, avaliar os riscos e implementar medidas de controle, capazes de prevenir acidentes e doenças ocupacionais.
Em relação à saúde mental, a certificação ISO 45001 também está diretamente relacionada, pois, além de incluir a proteção contra lesões físicas e doenças, reconhece a importância da saúde mental como parte integral da segurança e bem-estar dos trabalhadores.
Para entender melhor a relação entre a certificação ISO 45001 e a proteção da saúde mental, vamos destacar a seguir os pontos de conexão.
Mas, antes disso, vale destacar que, em uma publicação da OIT (Organização Internacional do Trabalho) sobre os riscos emergentes e novos modelos de prevenção, os fatores psicossociais e o estresse relacionado com a atividade laboral são destacados dentre os riscos emergentes e associados com as novas características do mundo do trabalho.
Atenta às questões emocionais e mentais, a ISO 45001 exige que as empresas identifiquem e façam a gestão de todos os riscos relacionados à saúde ocupacional, incluindo riscos psicossociais, que são fatores do ambiente de trabalho e que podem causar estresse, ansiedade, depressão e outros problemas de saúde mental.
Como exemplos de riscos psicossociais, podemos destacar: cargas de trabalho excessivas; falta de controle sobre o trabalho; assédio e ambientes de trabalho inadequados.
A ISO 45001 incentiva a adoção de práticas que não apenas previnam doenças ocupacionais, mas que também sejam capazes de promover o bem-estar mental e emocional dos colaboradores.
Um meio saudável produz efeitos saudáveis. Dessa forma, a ISO 45001 promove a criação de ambientes de trabalho saudáveis e seguros, no qual a garantia do bem-estar mental dos colaboradores seja levada em consideração, tanto quanto a segurança física.
Envolver as pessoas é essencial para que elas se sintam pertencentes e seguras. Assim, a norma destaca a importância de envolver os colaboradores na identificação de riscos e na elaboração de soluções.
Para manutenção de um espaço seguro e saudável, é fundamental ter uma ação constante. A ISO exige que as empresas monitorem e revisem continuamente seus sistemas de gestão de saúde e segurança, incluindo as questões de saúde mental.
Além das exigências, a ISO 45001 colabora para que as empresas estejam em conformidade com as leis e regulamentos vigentes nos locais em que estão estabelecidas, para que possam incluir requisitos específicos para a proteção da saúde mental no trabalho.
Diante da relação da ISO 45001 com a segurança e a saúde física e mental das pessoas no ambiente de trabalho, a norma torna-se importante para empresas dos mais diversos setores. Isso porque pessoas mais seguras e confiantes, satisfeitas e motivadas têm melhor desempenho e são necessárias em todos os negócios.
De forma geral, a ISO 45001 é importante para as empresas, pois:
Segundo a Organização Mundial da Saúde (OMS), sem estruturas eficazes e apoio no local de trabalho, mesmo com vontade de trabalhar, o impacto das condições de saúde mental pode afetar a autoconfiança, a capacidade para o trabalho, gerar faltas e impactar a capacidade de conseguir emprego.
Outro dado relevante que mostra a importância de se investir no cuidado da saúde mental vem do Índice de Bem-Estar da Gallup-Sharecare (2019).
Segundo o levantamento, pessoas com maior bem-estar apresentam melhor desempenho e menores custos nos cuidados com a saúde.
A Revista Exame traz um exemplo mostrando que um indivíduo com um bem-estar 10% maior terá: menos de 5% de faltas não programadas, menos de 24% de presenteísmo (situação em que um trabalhador está fisicamente presente no local de trabalho, mas mentalmente não está em condições de executar suas tarefas) e ganho de 6% com maior produtividade em um intervalo de 28 dias.
De acordo com dados da Associação Nacional de Medicina do Trabalho (Anamt), cerca de 30% das pessoas trabalhadoras brasileiras sofrem com a síndrome de burnout, uma doença ocupacional, relacionada ao esgotamento mental do trabalhador e reconhecida e classificada pela Organização Mundial da Saúde (OMS) em 2022. O Brasil ocupa o segundo lugar no ranking de países com mais casos diagnosticados no mundo.
Em muitas situações de burnout, há o afastamento do colaborador, levando ao absenteísmo. A falta de um colaborador gera diminuição de produção, perda de recursos e prejuízo no faturamento total das organizações.
Sendo assim, o cuidado e a atenção à saúde mental são de fundamental importância para a garantia do bem-estar das pessoas e manutenção dos negócios.
Para conquistar a ISO 45001 e oferecer um ambiente de trabalho seguro e saudável, as empresas podem contar com a atuação da Fundação Vanzolini na área de segurança e saúde ocupacional.
A instituição, que é membro da The International Certification Network (IQNet), rede internacional de entidades certificadoras. A Fundação Vanzolini oferece um corpo técnico altamente qualificado, práticas de auditoria que garantem exames imparciais e independentes, que agregam enorme valor às organizações
Com a certificação ISO 45001 e uma gestão SGSSO eficaz, a empresa pode aumentar a:
Então, certifique a sua empresa com a ISO 45001 e alcance resultados de alto impacto para o negócio e para a qualidade de vida dos colaboradores. Entre em contato com a gente e saiba mais!
Conheça as certificações da Fundação Vanzolini
Fontes:
Saúde e segurança e a subjetividade no trabalho: os riscos psicossociais
No Brasil foram registrados 2.888 acidentes fatais em 2023, segundo dados do eSocial
Saúde mental no trabalho e por que criar uma cultura de bem-estar
Síndrome de burnout acomete 30% dos trabalhadores brasileiros
Conheça os casos reais em que o vazamento de dados gerou impacto financeiro e na reputação das empresas e saiba como evitar esse problema.
Dados vazados resultam em muita dor de cabeça e muito dano no bolso das organizações. Quando uma empresa sofre com o vazamento de dados, ela tem, de cara, dois prejuízos para lidar: o financeiro, por conta das multas aplicadas, e o reputacional, por conta da imagem afetada perante o mercado.
Esses são os altos custos quando há uma ocorrência de fuga de dados. O impacto financeiro das multas – resultantes de uma violação de dados -, podem chegar a milhões de dólares e gerar uma crise paralisante no caixa organizacional. Mas não são somente as multas pesadas.
Os danos à reputação, causados por um vazamento de dados, podem ser igualmente devastadores para os negócios.
Então, para tratar desse tema delicado e bastante relevante no contexto empresarial, preparamos este artigo, no qual exploramos o alto custo dos vazamentos de dados e as consequências e implicações financeiras, além da reputação, que as empresas podem enfrentar, quando não protegem suas informações confidenciais com eficiência.
Dessa maneira, vamos mostrar casos reais, com o objetivo de compreender a magnitude do problema. Além disso, vamos falar da importância de se implementar medidas de segurança eficazes e de se investir em estratégias robustas de proteção de dados para evitar vazamentos.
Prontos?
Para começar, vamos entender melhor o que é o vazamento de dados, também chamado em inglês de data leak. O vazamento de dados está relacionado ao acesso indevido a dados confidenciais e sigilosos por pessoas não autorizadas.
Sendo assim, o vazamento de dados pode ocorrer de forma acidental, quando os sistemas de segurança online não funcionam como deveriam, ou por uma intenção consciente, quando hackers invadem esses sistemas.
De uma maneira ou de outra, os danos para as empresas que têm seus dados expostos podem ser imensos. Isso porque há multas pesadas e toda uma estratégia para reposicionar a marca, “limpando” sua imagem perante o mercado.
Segundo reportagem no Canaltech, no Brasil, esse tipo de ocorrência gera um prejuízo médio de R$ 5,8 milhões por ano.
Além disso, o Brasil também aparece entre os 20 territórios nos quais as investidas desse tipo são mais custosas para as corporações, gerando um aumento de 10,5% nos valores que as empresas tiveram de empregar na mitigação, controle e resolução de incidentes em casos de vazamento de dados.
Não é à toa que o Brasil gaste tanto com os prejuízos dos vazamentos de dados. O país é um dos mais visados quando o assunto é ataque digital e cibersegurança.
Em 2022, quase 70% das empresas no Brasil sofreram algum ataque cibernético com sequestro de dados, segundo o relatório anual The State of Ransomware da Sophos, da empresa global especializada em cibersegurança.
De acordo com levantamento, o total de registros em 2022 foi 13% superior ao do ano anterior. A pesquisa entrevistou líderes de empresas de médio porte em 14 países, incluindo 200 organizações no Brasil. Entre as empresas brasileiras, 68% disseram ter sido vítimas de ataques.
Outro dado importante é que, de janeiro a novembro de 2021, 24,2 milhões de perfis de brasileiros tiveram suas informações expostas na internet a partir de ataques ou brechas em sistemas. Na ocasião, o Brasil assumiu o 6º lugar no ranking de países com mais vazamentos de dados no mundo.
Entre as maneiras mais comuns de ocorrência de vazamento de dados, podemos destacar:
Pode parecer besteira, mas uma senha fraca pode ocasionar um vazamento de dados. Mas, até mesmo as melhores senhas podem ser inúteis frente a uma configuração de sistema precária que deixa seu banco de dados vulnerável.
Trata-se de um tipo de ataque simples e requer conhecimento técnico mínimo para ser realizado.
No SQL Injection, o hacker explora a falta de segurança de websites para obter acesso não autorizado à base de dados. É um ataque simples, e ainda pode ser automatizado.
Aqui temos algo um pouco mais complexo, já que esse tipo de ataque requer engenharia social para a manipulação de pessoas e obtenção de dados sensíveis. Um exemplo é o e-mail falso, feito para parecer real ou similar a algum e-mail conhecido.
Desse modo, este e-mail pode pedir informações, oferecer um crédito ou qualquer outra coisa e, ao clicar nos links do e-mail, a pessoa acaba instalando malwares, spywares ou mesmo ser direcionada para logins falsos em páginas similares às conhecidas.
Nesse caso, o ataque tira proveito de vulnerabilidades ou bugs de softwares para obter acesso não autorizado a um sistema ou aos seus dados.
Sistemas operacionais, navegadores e aplicações populares são alguns dos principais alvos e existem até exploit kits, que tornam simples a exploração de vulnerabilidades sem conhecimento técnico por criminosos.
Documentos impressos também podem ser vazados. Isso porque muitos documentos ficam expostos ou abandonados em impressoras e mesas no ambiente corporativo. A vulnerabilidade também mora aí.
Por isso, um software de impressão segura é uma boa medida quando se trata da segurança dos dados impressos.
Com o intuito de inibir e punir os crimes cibernéticos, o Brasil conta com leis específicas, voltadas para a proteção de dados. Entre elas, está a mais conhecida, a Lei Geral de Proteção de Dados (LGPD), de 2018, que
“dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.”
Embora a LGPD não determine sanções para o vazamento de dados especificamente, ela prevê punições e multas para as empresas que forem denunciadas e tiverem comprovada a falta de cuidado com os dados coletados em seus sites.
Há também a Lei 12737, de 2012, que caracteriza como crimes cibernéticos:
“A invasão a dispositivos por violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados, ou informações sem autorização expressa, ou tácita do titular do dispositivo, ou instalar vulnerabilidades para obter vantagem ilícita” ;
“Interrupção ou perturbação de serviço telegráfico, telefônico, informático, telemático ou de informação de utilidade pública”;
“Falsificação de documento particular”;
“Falsificação de cartão de crédito ou débito”.
Já a Lei 14.155/21, sancionada em 2021, estabelece maiores penas por crimes de furto e estelionato que partem de celulares, computadores e dispositivos eletrônicos, em razão do aumento dos casos e da gravidade das ações e consequências dos crimes cibernéticos.
A legislação brasileira busca fechar o cerco aos ataques cibernéticos e para além das multas, há casos previstos de reclusão do criminoso.
Dessa forma, é possível compreender que o vazamento de dados é um crime, algo grave, sério, passivo de multas altas e de prisão.
Por isso, ao compreender o impacto financeiro e reputacional de violações de dados, as empresas devem tomar medidas proativas para proteger os seus valiosos ativos de dados e salvaguardar a sua reputação em um mundo cada vez mais digital.
O tempo todo, sem parar, grandes volumes de dados trafegam pelas redes das empresas, incluindo informações confidenciais de clientes, parceiros e colaboradores, relatórios financeiros, etc.
Com um vazamento de dados, todas essas informações podem cair nas mãos de criminosos e se tornar mercadoria, comercializada de forma ilegal.
O vazamento de dados pode ser moeda de troca e motivo de chantagem. No Brasil, um dos maiores responsáveis pelo vazamento de dados é o ataque de ransomware. Nesse tipo de invasão, o criminoso se apropria do dispositivo da vítima, impedindo seu acesso a dados ou a todo o sistema operacional.
Então, para restabelecer o acesso do usuário, o cibercriminoso exige resgate, normalmente em criptomoedas. Mas o que acontece é que, mesmo mediante ao pagamento, não há garantias de que o hacker irá cumprir o acordo e devolver os acessos. Ele ainda pode expor todas as informações contidas ali.
Quando uma organização sofre um ataque de ransomware ou DoS (Ataque de Negação de Serviço), por exemplo, ela fica parcialmente incapaz de acessar os seus dados e de interagir com os seus clientes.
O restabelecimento das atividades pode levar desde algumas horas até dias, gerando prejuízos e afetando a produtividade da empresa.
Como falamos no início deste texto, um dos prejuízos causados pelo vazamento de dados é o reputacional.
Uma marca com dados sigilosos vazados pode ter sua integridade afetada perante o mercado, e a reconstrução da reputação pode levar muito tempo.
Além disso, a repercussão negativa pode fazer com as pessoas se afastem do negócio, com medo de compartilhar suas informações com uma empresa que já foi alvo de um ataque cibernético. Uma consequência bastante complicada para uma organização que verá seu faturamento despencar.
Como citamos acima, existem leis que tratam de crimes cibernéticos e visam proteger os dados. Quando as empresas estão em desacordo, elas podem sofrer com as penalidades.
No caso de organizações que tiveram vazamento de dados comprovado, as penas podem variar de advertência até multa, que pode chegar a 2% do faturamento anual da empresa, limitada a R$ 50 milhões por cada infração cometida.
Como forma de ilustrar e tornar mais palpável a questão do vazamento de dados, apresentamos alguns casos que ficaram famosos no Brasil. Por meio dessas situações, é possível compreender melhor a gravidade e as consequências de uma segurança digital falha e vulnerável.
A operação Deepwater foi deflagrada pela Polícia Federal, em 2021, com o objetivo de combater o crime de vazamento de dados.
A iniciativa partiu da apuração de um desvio em larga escala, em que inúmeros números de CPFs e CNPJs foram divulgados em fóruns obscuros de troca de informações sigilosas.
Os cibercrimes chegaram ao conhecimento das autoridades por meio de denúncia e os criminosos foram presos nos estados de Pernambuco e Minas Gerais.
Um caso de vazamento de dados na esfera pública ocorreu em 2020, quando golpistas se aproveitaram de falhas para obter dados sigilosos do Ministério da Saúde.
O ciberataque levou à divulgação indevida de dados de 243 milhões de pessoas – uma quantidade de nomes maior do que toda a população brasileira.
Nessa situação, o volume muito acima da população se deu por conta do vazamento de dados de pessoas já falecidas, cujas informações seriam usadas para praticar novos crimes.
O PIX se tornou rapidamente um meio comum para aplicar golpes e sua facilidade em fazer transferências digitais virou alvo dos hackers.
Um estudo divulgado em setembro de 2023 mostrou que os brasileiros sofreram 1,7 milhão de golpes financeiros via Pix em 2022.
De acordo com a pesquisa da Silverguard, quatro em cada dez entrevistados foram vítimas de alguma tentativa de fraude ao usar esse meio de pagamento. Dentre os alvos de enganações, um em cada cinco caiu no golpe.
Em um dos casos de vazamento de dados e golpe via Pix, a 2ª Vara do Juizado Especial Cível de São José dos Campos condenou um banco a pagar R$ 32.800,00 a uma correntista.
Na ocasião, o juiz entendeu que a vítima caiu no golpe depois de ter seus dados vazados pela instituição financeira e, por isso, o banco deveria responder ativamente pelos danos causados em razão das falhas no seu sistema de segurança.
Segurança, esta é a palavra de ordem quando se trata de proteção de dados. O investimento em cibersegurança é a maneira mais eficiente de evitar o vazamento de informações sigilosas.
Um relatório aprofundado, conduzido pelo Ponemon Institute, sobre as violações de dados em todo o mundo, entre março de 2022 e março de 2023, identificou que Inteligência Artificial (IA) e automação impulsionam a velocidade de identificação e contenção, em casos de ciberataques nas organizações analisadas.
Desse modo, no Brasil, as organizações com uso extensivo de IA e automação experimentaram um ciclo de violação de dados que foi 68 dias mais curto, em comparação com aqueles que não implantaram essas tecnologias. No entanto, apenas 23% das empresas estudadas no Brasil estão usando de forma extensiva a segurança impulsionada por IA e automação – 17% menos do que a média global.
Importante destacar que o tempo necessário para identificar e conter uma violação impacta o custo geral da violação de dados.
Nesse sentido, de acordo com o relatório, no Brasil, se uma empresa gasta menos de 200 dias contendo o incidente, o custo médio é de aproximadamente R$ 5,11 milhões, mas, se passar de 200 dias, o custo pode subir para R$ 7,31 milhões.
Portanto, diante do alto custo, tanto financeiros quanto de reputação nos casos de vazamento de dados, é fundamental que as empresas invistam em práticas, programas e formações voltadas à segurança da informação.
As ações podem estar relacionadas ao reforço da proteção dos dados com softwares robustos e às políticas internas, capazes de educar os colaboradores frente às possíveis situações de ataques cibernéticos.
Por fim, para evitar o vazamento de dados, conter mais rapidamente os dados e preservar o bolso e a imagem da empresa, é essencial contar com um pessoal preparado, com conhecimento em cibersegurança e domínio de ferramentas e métodos de proteção da informação. Tudo com eficiência e seriedade.
Quer saber como a Fundação Vanzolini pode ajudar sua empresa com cursos, certificações e formações ligadas à Segurança da Informação e à Cibersegurança? Então acesse nosso site e veja as possibilidades!
Conheça as certificações: ISO 27001 e ISO 27701
Conheça os cursos de Segurança de Dados da Fundação Vanzolini.
Até o próximo!
Fontes:
istoedinheiro.com.br/seguranca-de-dados-brasil-e-o-6o-pais-com-mais-vazamentos-diz-pesquisa/
tiinside.com.br/24/08/2023/custos-de-violacao-de-dados-no-brasil-reduzem-para-r-640-milhoes/
Aprenda a repensar a privacidade de dados nas atividades cotidianas das empresas, com base em casos concretos. Profissionais precisam ter conhecimento da Lei Geral de Proteção de Dados – LGPD para maior segurança no mercado e nos negócios. O curso é estruturado para as especificidades da área de Compliance, com foco no mercado e nos problemas enfrentados no dia a dia.
Veja tudo o que você vai aprender: