Para entendermos a dimensão da fragilidade na segurança do ambiente digital e até que ponto o uso intensivo do meio virtual tornou empresas e pessoas mais vulneráveis, falamos com Patricia Peck Pinheiro – Advogada especialista em Direito Digital, Propriedade Intelectual, Proteção de Dados e Cibersegurança. Graduada e Doutorada pela Universidade de São Paulo (USP), PhD em Direito Internacional.
Um convite à reflexão sobre quais as saídas para ampliar nossa proteção.
A fragilidade na segurança do ambiente digital doméstico
Em 2020, houve uma necessidade súbita da virtualização das atividades das instituições públicas e privadas, que saíram do ambiente corporativo tradicional que contava com uma proteção própria estabelecida, e que passaram a contar com o acesso a partir do ambiente doméstico, aumentando o risco relacionado a cibersegurança.
O home office, com a força de trabalho em ambientes à distância por um longo período, obrigou as empresas a desenvolverem planos emergenciais para estender o perímetro de segurança e chegar à “porta digital” do colaborador.
Embora os maiores investimentos na segurança dos dispositivos eletrônicos pessoais dos colaboradores, como tablets, notebooks e celulares, tenham sido em VPNs ou via Cloud, o grande desafio esteve no fato que o manuseio e instalação dependem do próprio usuário. Assim como a conexão de internet, cujas configurações de segurança são realizadas pelos usuários. Assim, investimento foi feito em cultura de segurança promovendo campanhas educativas que atualizaram as políticas de home office buscando trazer diretrizes e orientações aos colaboradores para aumentar o nível de segurança digital no ambiente doméstico.
A política pública e as campanhas educativas de segurança
Muitos países têm discutido legislações específicas e em todas as regulamentações encontram-se os pilares da transparência, da ética e da cibersegurança.
Em relação ao estágio do Brasil no cenário internacional da cibersegurança em termos de tecnologia, cultura e interatividade nas corporações, conforme pesquisa da Kaspersky, o país está como líder em empresas atacadas por ransomware na epidemia.
A colocação nesse ranking se deve a um conjunto de fatores, como a rápida adaptabilidade do brasileiro fazendo uso de recursos digitais a partir do ambiente doméstico, quanto pela baixa cultura e educação em segurança digital, em função de termos poucas campanhas públicas.
O exemplo teria que vir do setor público, para alcançar e engajar toda a população. Contudo, assistimos a muitos vazamentos e situações de exposição e sequestro de dados pelo ambiente público. Desde do marco civil da internet, regulamentado em 2016, um artigo já assinalava na legislação a importância de campanhas públicas educativas sobre cibersegurança. A LGPD de 14 de agosto de 2018, legislação brasileira que regula as atividades de tratamento de dados pessoais, não teve até hoje uma campanha de orientação. O Decreto nº 10.222, que criou a Estratégia Nacional de Segurança Cibernética, também chamada de E-Ciber, promulgado pelo presidente em fevereiro do ano passado, por enquanto não fornece orientações sobre as principais ações de segurança cibernética planejadas pelo governo, em âmbito tanto nacional quanto internacional.
Existem iniciativas pontuais e setorizadas, muitas vezes das próprias instituições como as do setor financeiro, para evitar fraudes, ou no setor da saúde, também bastante afetado pela pandemia.
“O Brasil precisa sair do papel para a execução da política pública”, afirma Patrícia Peck.
Multidisciplinaridade na formação de especialistas
A capacitação do profissional em cibersegurança é extremamente relevante. Nas empresas, as equipes ainda são subdimensionadas, aquém em relação à quantidade ideal de pessoas pelo porte e volume de dados que as instituições operam. Em termos de investimento, por ser um programa contínuo, de prevenção de riscos, com constante atualização de tecnologia, campanhas educativas e treinamento, há um grande desafio em demonstrar o ROI da cibersegurança.
A preparação de profissionais de segurança conta com a proximidade entre desenvolvedores de tecnologia, universidades e as associações que reúnem especialistas.
O profissional de cibersegurança precisa de atualizações permanentemente, updates em ferramentas, tipos de ataques, abordagens. É uma matéria que também exige multidisciplinaridade, porque esse mesmo profissional técnico hoje faz apresentações para o conselho das empresas, com habilidades em gerenciamento de risco, capacidade em análise comportamental, proposição de campanhas educativas de cultura da segurança em parceria com outros setores como RH e Marketing, e ainda garantir o perímetro de segurança para os terceirizados.
A educação e os recursos virtuais
A educação entrou no front da segurança da informação à medida em que as aulas online explodiram a utilização de redes próprias das instituições de ensino ou nas redes compartilhadas.
O segmento da educação é muito suscetível a sofrer situações de vulnerabilidade. O ambiente educacional passa por um período de realidade híbrida, presencial e virtual. Essa transformação digital não voltará para um estágio anterior e o modelo híbrido deverá ser uma constante. Está claro para as instituições que existe um ganho na realização de atividades à distância e por outro lado houve a necessidade de um investimento adicional em cybersegurança. O uso recorrente dos recursos virtuais, carece de um processo auditável e seguro, porque aumenta o risco de ataques e vazamentos de forma exponencial.