Por que a segurança de dados deveria ser uma prioridade?

Não teve como fugir das manchetes: você com certeza ouviu falar sobre o escândalo envolvendo o Facebook e a Cambridge Analytica – organização especializada na extração e análise de dados, aplicada a estratégias de comunicação em processos eleitorais. Mais de 87 milhões de usuários da rede social tiveram suas informações pessoais coletadas e identificadas pela empresa de consultoria política.

O acontecimento tomou grandes proporções, especialmente pelos indícios de que esse material teria sido usado para manipular o processo eleitoral americano de 2016 e garantir a vitória do empresário e atual presidente dos Estados Unidos, Donald Trump. Além disso, as atividades da Cambridge Analytica teriam influenciado também a polêmica saída do Reino Unido da União Europeia (Brexit).

Isso acontece não é de hoje

Por mais que esses acontecimentos sejam graves e as notícias de quebra de privacidade ganhem as manchetes dos grandes jornais pelo mundo, esta não é a primeira e, provavelmente, não será a última vez que incidentes como esse acontecem. Tome os exemplos da Uber, Equifax, Yahoo. O que eles têm em comum? Bilhões de usuários desses serviços tiveram seus dados pessoais vazados e, em alguns casos até vendidos, na internet.

Muitos desses casos só vêm à tona porque a justiça americana obriga que as empresas tragam os vazamentos a público. O Congresso dos Estados Unidos, aliás, discute uma possível lei federal que proteja os cidadãos contra esses incidentes. Já no Brasil ainda não existe uma lei que exija essa transparência. Ainda assim, veículos de comunicação e autoridades têm se manifestado e estudado formas para prevenir incidentes como esses.

A raiz do problema

Há quem diga que falta rigidez nas regulamentações que garantam a privacidade dos usuários na internet. E, se num cenário mundial esse quadro já é precário, aqui no Brasil não é diferente. Uma pesquisa da PSafe aponta que o país está em segundo lugar no ranking de ataques e vazamentos de dados na deepweb, atrás apenas dos EUA.

No entanto, o problema vai muito além das regulamentações. O caso é que hoje as empresas, em geral, têm dificuldade de acompanhar a ‘criatividade’ e rapidez com que novos mecanismos de invasão são desenvolvidos. Ou seja, a fragilidade é operacional. As equipes de tecnologia não têm tempo ou recursos para investir em estratégias mais eficientes para prevenção de vazamento de dados e passam muito tempo corrigindo e gerindo falhas de segurança.

Quebra de confiança

Quando falamos da relação entre as empresas de tecnologia e seus clientes, não são apenas as implicações legais que saltam aos olhos das empresas, mas também a saúde das relações entre organizações e pessoas. Quando usuários escolhem confiar seus dados a uma companhia, existe um contrato de confiança entre as duas partes, e a parte mais frágil é sempre o cliente.

Isso nos leva a um segundo ponto de atenção: muito da sobrevivência e sucesso dessas empresas que operam nos ambientes virtuais depende da confiança desses usuários. Uma quebra nessa relação de confiança pode, inclusive, custar muito caro para as empresas. Quer um exemplo? Depois de levar a público o vazamento de dados dos seus usuários, a gigante da internet Yahoo perdeu 350 milhões de dólares na venda para Verizon. Mais um motivo para que a segurança dos dados seja uma prioridade dentro das companhias.

O futuro da segurança dos dados

Hoje, nenhum país pode dizer que está 100% seguro contra o risco de vazamentos de dados e as consequências ressoam mundialmente: nações aceleraram a implementação de medidas e tentam acalmar a população, enquanto gerem os escândalos. A União Europeia (UE), por exemplo, se viu nessa situação recentemente diante do caso da britânica Cambridge Analytica.

A resposta? A implementação de novas regras para coleta e troca de dados entre empresas que operem nos países do grupo, a fim de proteger seus cidadãos. Chamada de GDPR – General Data Protection Regulation (ou Regulamento Geral de Proteção de Dados, em tradução livre), a medida deve entrar em vigor em 25 de maio e exige que as empresas protejam as informações pessoais e a privacidade dos cidadãos da UE para transações que ocorram dentro do grupo.

E no Brasil?

Por aqui, a resposta para esses inúmeros escândalos também veio na forma de novas leis e decretos. O Ministério da Justiça, por exemplo, discute aplicar penas administrativas e obrigar empresas a trazer a público casos de vazamentos e já corre no Congresso a aprovação da Lei Geral de Proteção de Dados Pessoais. No entanto, hoje o Brasil já conta com cerca de 30 leis que tratam do tema direta ou indiretamente. Ainda assim, o resultado é pouco eficiente.

E então, o que fazer para oferecer um ambiente seguro hoje

Do ponto de vista corporativo, empresas que prezam a proteção dos dados dos seus consumidores se destacam no mercado e ganham a confiança do público. Portanto, é essencial acompanhar e estar de acordo com as regulamentações de privacidade e utilizar a tecnologia a seu favor, aplicando recursos de criptografia, dupla autenticação – que usa mais de um canal e código para login – entre outros.

Outra alternativa é aplicar metodologias de diagnóstico de segurança do seu site, como a Privacy Impact Assessments (PIA). A partir desses resultados, é possível implementar programas de privacidade que atendam e tratem os pontos que oferecem risco. Desse modo fica mais fácil cuidar da manutenção do site e garantir a segurança da sua empresa.

Mas é possível – e muito recomendável – que as organizações vão além e sigam alguns protocolos de segurança mais sofisticados, a fim de garantir um ambiente seguro de navegação para seus visitantes. Um exemplo? Se sua empresa trabalha com outros parceiros de tecnologia, que instalam ferramentas através de scripts no seu site, é bom ficar atento. Sem dúvida eles vão extrair dados dos seus usuários e, até aqui, isso não é um problema.

O importante é saber exatamente o que essas empresas vão fazer com as informações. Existe o risco de que esses parceiros vendam ou compartilhem os dados dos seus clientes com outras companhias? O compartilhamento de bases, sem autorização específica dos usuários cadastrados, é chamada de cookie pool. Um artifício infelizmente ainda muito comum, que fere a confiança dos visitantes do seu site que escolhem compartilhar com a sua empresa – e somente com a sua empresa – informações de grau pessoal.

Você compartilha os dados dos seus visitantes com outras empresas? Ou, pior, você compra base de dados de terceiros? Práticas como estas pouco se diferem do que foi feito pela própria Cambridge Analytica, que acessou e explorou informações sensíveis de usuários do Facebook, sem a autorização dessas pessoas. Por isso, é muito importante se assegurar de que as empresas parceiras sejam confiáveis, ter documentado tudo o que as ferramentas poderão extrair e saber exatamente como pretendem usar esses dados.