Os impactos da conscientização na implementação da LGPD nas empresas

Rodrigo Piccirillo Belaque e Vinícius Marinho Brusarosco são consultores de Segurança da Informação da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados

Foto: Divulgação

Quando o assunto é segurança da informação, é comum pensar em algumas ferramentas para proteção do ambiente, como Firewall, antivírus e EDR (Endpoint detection and response), também conhecida como detecção e resposta a ameaças, entre outras soluções. No entanto, antes que todos esses recursos e tecnologias sejam colocados em prática, é importante lembrar que o elo mais fraco dessa corrente sempre será o usuário.  

De acordo com o relatório de Spam e Phishing da Kaspersky, empresa especializada em segurança à internet, o Brasil é o país com maior quantidade de ataques do tipo phishing provenientes do Whatsapp, com mais de 76 mil tentativas de fraudes em 2022.  

Diante ao fato, é fácil chegar à conclusão que a maioria das pessoas não pensam em segurança da informação no dia a dia fora da empresa, ou seja, não colocam duplo fator de autenticação nas redes sociais ou usam como senha a data de aniversário. Esse tipo de condução nas frentes de segurança acaba tornando os usuários alvos fáceis para ameaças mais comuns como o malware, o phishing e a engenharia social.  

Levando em consideração essa vulnerabilidade, as empresas precisam pensar em um plano de conscientização das pessoas em relação à segurança da informação não somente dentro da empresa, mas fora dela também. Essa é uma forma de tornar movimento automático para as pessoas, e não somente uma obrigação. 

Tais desinformações e a falta de treinamento, por sua vez, podem acarretar vazamentos de dados sensíveis, seja por ataque hacker ou mesmo pela inocência da pessoa em deixar seus dados ou da empresa de forma pública e em locais inadequados. Essa falta de informação também pode infringir a Lei Geral de Proteção de Dados (LGPD) devido a não proteção à privacidade e aos direitos dos indivíduos em relação aos dados pessoais, garantindo menor controle sobre como as informações são utilizadas. 

Mas para criar um processo de conscientização de segurança, é preciso incluir programas de treinamento regular, simulações de phishing, conscientização para departamentos específicos, políticas e procedimentos e boletins de segurança. Essas são frentes que atuam como instrumentos fundamentais para a salvaguarda dos dados pessoais, desempenhando um papel fundamental na aplicação da LGPD.  

Desse modo, os treinamentos e a conscientização em segurança conferem às organizações a capacidade de moldar uma cultura corporativa que reconhece a importância da privacidade e a responsabilidade coletiva na proteção dos dados, uma vez que, em meio a um cenário de rotatividade de pessoal nas organizações, a conscientização se torna uma estratégia fundamental para assegurar que cada membro da equipe compreenda e adote medidas adequadas para evitar a exposição não autorizada de informações sensíveis.  

E para melhorar a proteção contra invasões, é necessário integrar pessoas e tecnologia de forma mais orgânica possível, pois os ataques são realizados por humanos e não apenas por tecnologia. Vale ressaltar que, embora a maioria das organizações se concentre apenas na tecnologia, é importante lembrar que é uma pessoa que toma a decisão de atacar uma organização e roubar informações.  

Em suma, a conscientização de segurança da informação é intrínseca à execução eficaz da LGPD, fomentando uma mentalidade coletiva de respeito à privacidade e à proteção dos dados. Ao capacitar as pessoas a reconhecerem seu papel como primeira linha de defesa da organização, a conscientização contribui para mitigar e reduzir riscos legais e financeiros, prevenir violações e fortalecer a confiança dos titulares dos dados.