Uma busca rápida pelas notícias de 2023 apontando o marco de cinco anos após a implementação da LGPD (Lei Geral de Proteção de Dados) no Brasil deixa qualquer leigo totalmente perdido: na realidade, nós não sabemos quantas empresas brasileiras aderiram à LGPD. Existem inúmeros índices e pesquisas que apontam algo entre 20% e 50%. Seja qual for o número entre essas duas grandezas, a LGPD só mostra uma coisa: segurança da informação, no Brasil, ainda é o ponto fraco das empresas.
Para não perdermos muito tempo com o jogo de números e pesquisas, vou usar como base um estudo realizado pelo Cetic.br, o Centro Regional de Estudos para o Desenvolvimento da Sociedade da Informação no Brasil, publicado em agosto de 2022. Apenas 32% das empresas brasileiras têm uma política de privacidade que informe como realiza o tratamento dos dados; 30% das empresas declararam realizar teste de segurança contra vazamentos de dados e apenas 17% nomearam um encarregado de dados (ainda que as empresas menores tenham sido dispensadas dessa obrigação.
A lei, claro, tem por objetivo garantir o direito de nós, cidadãos, à privacidade e à proteção dos nossos dados pessoais – evitando o uso indevido dessas informações pelas empresas. Mas existe um outro lado bastante alarmante: para proteger os dados, as empresas precisam proteger o ambiente tecnológico e físico onde essas informações ficam armazenadas.
Ou seja: se considerarmos a mediana entre 20% e 50%, podemos chegar à conclusão que somente 35% das empresas contam com sistemas para proteção de dados. E nesse ponto, quando olhamos exclusivamente para segurança da informação, em cinco anos, posso afirmar, pouca coisa mudou.
Prática e teoria: ainda muito distantes
Embora as organizações tenham um discurso inovador e “correto” no que tange à segurança da informação, a prática não reflete essa conversa. Segurança da informação ainda sofre na equação da venda dolarizada, flutuações na economia e o uso de soluções que não conseguem barrar as ameaças mais atuais.
E de novo, se fizermos uma pesquisa rápida sobre o número de ataques a empresas no Brasil, vamos encontrar números variados – com uma única diferença neste caso em particular: todas as pesquisas apontam que país lidera quando o assunto é volume de ciberataques contra as empresas – e esses dados só crescem.
Há menos de um mês, a Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software, divulgou seu Relatório de Cibersegurança referente ao primeiro semestre de 2023. Os dados mostram, por exemplo, que as atividades criminosas continuaram a aumentar no primeiro semestre deste ano, com um crescimento de 8%. Inteligência Artificial e engenharia social com o uso de ferramentas simples e bem conhecidas, como o USB, estão permitindo os criminosos realizarem ataques cada vez mais elaborados e complexos.
Além disso, o uso indevido da Inteligência Artificial aumentou, com ferramentas de IA generativa sendo usadas para criar e-mails de phishing, malware de monitoramento de pressionamento de tecla e código básico de ransomware.
Voltando à nossa equação inicial, o cenário macroeconômico do Brasil não ajuda, mas – precisamos reconhecer que segurança de informações também não é exatamente uma prioridade para a maioria das empresas, vide a adesão à LGPD.
Não quero desenhar um futuro sombrio, mas aderir à LGPD vai além de ter um link para a sua Política de Privacidade no seu site. Passa por controles de acesso, visibilidade e guarda de dados físicos e digitais e indubitavelmente passa pela compra de mais tecnologia baseada em Inteligência Artificial e aprendizado de máquina para combater um cenário que só vai ficar mais complexo.
Para finalizar, quero dar um outro dado: em 2018, o Brasil sofreu cerca de 120 milhões de ataques no primeiro semestre daquele ano. No primeiro semestre de 2023, foram 23 bilhões de tentativas. Só espero que daqui cinco anos, quando a LGPD completar 10 anos, possamos apontar que o número de empresas que aderiu à regulamentação aumentou significativamente, e não apenas os ataques criminosos.
*Por Audreyn Justus, diretor de marketing, recursos humanos e compliance da Solo Network.