Os impactos da LGPD na minha empresa
A nova lei geral de proteção de dados (LGPD) entrará em vigor logo (em Agosto/2020), então é muito importante entender os impactos da lei na sua empresa e como se preparar para estar em conformidade com essa nova legislação. O não cumprimento poderá acarretar em multas pesadíssimas que chegam até 50 milhões de reais.
Este post irá ajudar você a entender melhor os impactos dessa lei em sua empresa e como se preparar para ela, se você ainda não leu o post anterior sobre o que é a LGPD vale conferir para que você entenda os detalhes da nova Lei.
A LGPD está entrando em vigor, mas o que eu tenho a ver com isso?
Todas as empresas no Brasil estarão sujeitas a LGPD. Em sua empresa, de várias maneiras, você armazena dados pessoais. Podem ser dados de clientes ou de seus colaboradores, por conta disso sua empresa (e todas as outras) terão de se enquadrar no tratamento, processamento e armazenamento destes dados. Existem vários detalhes cobertos na LGPD em todo o processo desde a coleta dos dados, processamento, classificação, até a exclusão dos mesmos, portanto você e sua empresa tem tudo a ver com isso, mas você não estará sozinho, como falamos, todas as empresas no Brasil terão de se adequar de alguma maneira.
Mas eu sou muito pequeno, isso não se aplica a mim!
Engano comum, a lei vale para todos, independentemente do porte da empresa, é claro que quanto menor o porte da empresa proporcionalmente o seu impacto e exigências serão levados em conta, mas não se engane, você vai precisar realizar algum tipo de adequação, para uma pequena empresa (que não conta com os recursos nem toda uma assessoria) o risco empresarial pode ser ainda maior. Sua empresa pode ficar vulnerável e até fechar as portas dependendo do caso.
Além das multas, se houver algum incidente e ocorrer o vazamento de dados pessoais pela sua empresa, isso terá de ser notificado aos órgão competentes e a ocorrência desse vazamento será divulgada nos meios cabíveis. Isso acarretará em uma publicidade negativa para sua empresa, deixando uma “cicatriz” sobre a marca da empresa, haverá a perda da confiabilidade pelos seus clientes, potencial perda de clientes e até processos movidos por terceiros. Em especial se você é uma empresa pequena, provavelmente você não pode arcar com este tipo de prejuízo, portanto a preparação é ainda mais essencial.
Além das sanções financeiras, um dispositivo na lei pode bloquear o seu acesso aos dados, ou seja, além de receber uma multa pesadíssima, ter a sua imagem prejudicada, ter a confiança dos seus clientes abalada, você pode ser impedido de acessar e usar os dados armazenados (dados dos seus clientes e vendedores, históricos, entre outros) isso pode realmente travar o seu negócio e acarretar em danos irreparáveis.
Segurança da Informação, antivírus, hackers e ransomware
Nunca foi tão importante você se proteger no ambiente cibernético, os dados mais recentes revelam que mais de 70% dos negócios (em especial pequenas empresas) já foram “Hackeados”. Essas empresas tiveram ataques com roubos de dados, invasão a dados sensíveis (por exemplo: Dados financeiros) e ainda sofreram ataques do tipo de sequestro de dados (Ransomware com dados criptografados) no último ano.
O dado mais alarmante ainda é que 80% destas empresas que foram alvo destes ataques nem sequer tomaram conhecimento que sofrearam algum ataque, por tanto não tomaram nenhuma medida preventiva e continuam expostos a novos incidentes de segurança. Isso quer dizer que é bem provável que sua empresa já tenha sido invadida em algum momento, mas você nem sabe disso. Você tem ideia da média de dias atualmente em que se leva entre um ataque bem sucedido e a detecção de uma invasão? Pasme: São cerca de 197 dias! Imagine só o que um hacker mal intencionado pode fazer durante todo esse tempo! Fonte IBM
Após analisarmos tudo isso, fica ainda mais clara a necessidade de se proteger e ter sistemas inteligentes que monitoram e protegem a sua rede e informações 24h por dia. De um lado temos muitas empresas com sistemas de segurança obsoletos, softwares e servidores desatualizados, de outro o mercado negro dos hackers trabalhando todos os dias, 24 horas por dia, 7 dias por semana, incessantemente para obter vantagens das empresas e pessoas que não estão devidamente protegidas.
Sempre que nos deparamos com empresas que utilizam políticas frágeis de atualização de software ou que usam versões já sem suporte (como o Windows XP, Windows Server 2008, entre outros), é inevitável pensar que essas empresas com certeza estão no grupo das que nem sabem que foram invadidas e seus dados já foram expostos. Nesse aspecto as empresas menores normalmente estão menos protegidas, são alvos mais fáceis, muitas vezes de robôs (bots e zombies) que varrem a internet o tempo todo tentando invadir e roubar dados.
Você provavelmente já sofreu ou conhece alguém que sofreu o sequestro de dados do tipo Ransomware, aquele no qual o hacker criptografa os dados da sua máquina/rede e pede resgate em bitcoins para que seus dados sejam liberados, certo?
Se não conhece ou se não aconteceu com você, em pouco tempo vai acontecer, ou então será de um jeito pior, a tática dos criminosos agora com a entrada da GDPR (LGPD Européia) é roubar os dados sensíveis e então ameaçar as empresas exigindo um valor em bitcoins para que não tenham os dados divulgados. Lembra-se das multas pesadíssimas? Pois é, a ameaça é grave e você pode ter multas aplicadas se esses dados vierem a público, a mente dos criminosos não tem limites e como mencionamos não para nem por um segundo.
Existem algumas vulnerabilidades em sua empresa, as quais você nem faz ideia que existem, mas dados sensíveis, como a localização do seu celular podem revelar o seu endereço residencial (por exemplo) para pessoas maliciosas e certamente não é algo que você deseja fazer. Imagine sua empresa entregando de bandeja para os criminosos estes dados de geolocalização que estão sendo coletados no seu site. Você sabe como está sendo feita a proteção dessas informações? Muitas vezes aquele site de hospedagem que você paga R$ 9,90 por 3 meses não tem os métodos de segurança mais confiáveis do mercado. Isso é apenas um detalhe, em muitos casos é preciso reavaliar todos os processos da empresa, pense nisso!
Preparação da Minha Empresa
A única forma de se proteger e se adequar para a LGPD é se preparar para as mudanças, não é algo simples e pronto, “plug & play” que você compra em uma caixinha e “voilá”, mas existem diversas soluções que ajudam você neste caminho. Uma questão importante é a mudança do comportamento, para minimizar os riscos da sua empresa, você deve avaliar quais dados você realmente precisa para executar o seu negócio, ao invés de coletar uma série de dados só porque você tem acesso, você pode e deve limitar-se a coletar apenas o mínimo necessário. A regra é simples, se você não usa, então não colete, se já coletou, descarte, isso simplifica o seu processo e também o seu risco.
Acreditamos que o primeiro passo é definir um plano de trabalho, é preciso instituir alguns processos para atingir os objetivos principais da empresa. Essa é uma corrida com início e meio, mas não há linha de chegada, é um processo contínuo de melhoria que deverá fazer parte da política e práticas do dia a dia da sua empresa. Um dos elos mais fracos neste processo é o seu colaborador, o usuário dos sistemas, essa é a parte frágil, precisa ser treinada e adequada para entender que a responsabilidade no processo de segurança e adequação é um papel de todos os envolvidos.
Para facilitar, montamos esse infográfico com os principais pontos que sua empresa precisa para iniciar o processo de adequação e as ferramentas que utilizamos para ajudar a proteger o seu processo.
Ferramentas que ajudam a proteger sua empresa
A Microsoft possui um conjunto de ferramentas chamado Microsoft 365, o qual que permite as empresas armazenar, catalogar, classificar e monitorar os dados que são armazenados em diversos processos dentro da sua organização e ajuda a proteger as informações onde quer que estejam. Na ferramenta você conseguirá criar regras de segurança monitorando e-mails e compartilhamentos de arquivos para prevenir que estes dados sensíveis saiam da empresa, é a tecnologia chamada DLP (Data Loss Prevention).
Outra ferramenta incorporada é o ATP (Advanced Threat Protection) ou Proteção Avançada de Ameaças do Office 365, que ajuda a proteger documentos e e-mails de atividades maliciosas, phishing scams, entre outros, que podem comprometer os dados e prevenir que seus usuários sejam vítimas de esquemas de roubos de dados.
A ferramenta conta ainda com gerenciamento completo de segurança e conformidade para o seu PC, Notebook ou Celular, de modo a prevenir por exemplo o roubo de informações, caso um notebook seja furtado e contenha informações sigilosas, os dados são criptografados e você ainda consegue realizar a limpeza remotamente deste PC, bloqueando o acesso indevido.
Existem várias questões de preparação, conte conosco para ajudá-lo nessa jornada de conformidade, entre em contato agora mesmo (11) 2367-6760 – contato@compubusiness.com.br
Este post faz parte da série de cyber segurança, para acessar os demais posts, clique nos links abaixo:
POST1 – LGPD – o que é a nova lei de proteção de dados.
Altair C
Ótima matéria. Bem fomentada