A JLT, em parceria com a Oracle, promoveu a segunda edição do Cyber View, um seminário que discute o cenário cibernético e que foi pautado pela nova regra da General Data Protection Regulation (GDPR), que passa a valer a partir do dia 25 de maio. O GDPR é um regulamento que deve ser seguido por todas as empresas que trabalham com dados de cidadãos da União Europeia.
Mesmo com a nova legislação tendo foco na Europa, o Brasil também será atingido. As novas normas exigem que as empresas que tenham base de dados compartilhadas em mais de um País devem atender ao novo protocolo em todas as filiais. Elas serão obrigadas a criar configurações de privacidade em seus produtos e propriedades digitais, além de realizar regularmente avaliações de impacto de privacidade, fornecer explicações sobre a maneira como buscam permissão para usar dados e documentar como utilizam dados pessoais.
Renato Opice Blum, advogado, economista e professor-coordenador do curso de direito digital do Insper, falou de questões jurídicas e de diligência para a proteção cibernética. “O mercado atual, com muitas empresas surgindo, com maior dependência das plataformas digitais, faz com que a mitigação de riscos seja ainda mais complicada”.
Comandando o painel “Compliance Digital e Riscos Cibernéticos”, o advogado citou a incorporação das novas empresas de tenologia no ciberespaço. “Fintechs e insurtechs já surgem expostas a esses ataques. Os riscos se alastram e ameaçam, por exemplo, transações de criptomoedas. Empresas de e-commerce, varejo, operadoras de saúde, entre outras, também são alvos. É raro encontrar quem não está na mira desses criminosos”, apontou.
Por que se proteger?
Alexandre Sousa, head de Solutions Architects Latin America da Oracle Brasil, palestrou no painel “Anatomia de um Ataque Cibernético: Como se Proteger”. O executivo mostrou números do mercado que alertam para a necessidade de contar com um seguro cibernético. Ele ressaltou que os hackers funcionam como parte de uma indústria. “É um sistema bem estruturado e complexo. O ‘mercado negro’ fez com que mais de 2 bilhões de dados fossem vazados apenas em 2017. Isso acarretou em uma perda de US$ 608 bilhões. Até 2021 a expectativa é de que as empresas afetadas somem mais de US$ 6 trilhões em prejuízos”.
De acordo com Sousa, a indústria de Saúde foi a mais afetada pelos ataques no ano passado, sofrendo 27% das investidas criminosas; Serviços Financeiros vem atrás com 12%; o Governo também foi alvo de ataques, com 11% das investidas, mesmo número de Educação e Varejo; o setor de Tecnologia sofreu 7% dos ataques, já os demais setores sofreram 21% das invasões.
“Em 2015, apenas nos Estados Unidos foram mais de 190 milhões de dados vazados”, alertou o executivo. “Depois que uma informação é compartilhada na rede, ninguém pode dar total garantia de que ela pode ser retirada. Aqui no Brasil, 74% das empresas levam três meses ou mais para atualizar um sistema, isso aumenta os riscos de uma invasão”, completou.
A especialista em risco cibernético da JLT Specialty Brasil, Marta Helena Schuh, falou sobre a “Mitigação de perdas financeiras diante de um ataque cibernético”. Marta explicou os motivos que levam as empresas a não contratarem um seguro cibernético. “Dados não são tangíveis. Apesar de toda a importância para o mercado atual, as empresas não sentem a necessidade de contar com um serviço de proteção. O foco dessas companhias, muitas vezes, acaba ficando apenas na proteção de bens físicos. Mas o valor em ativos intangíveis já tem representatividade considerável na bolsa de valores”.
Segundo a executiva, apesar do mundo virtualizado, a falha humana ainda é responsável por 95% dos ataques sofridos pelas empresas em todo o mundo. “Em muitos casos, o profissional não é treinado, acaba instalando um software desconhecido ou dando informações sigilosas a fontes não confiáveis e coloca toda a empresa em risco. No mundo, uma em cada três empresas é vítima de fraude”, explicou Schuh.
Sobre o GDPR
Organizações que violam o GDPR podem ser multadas em até 4% do seu rendimento global anual ou 20 milhões de euros. A empresa ainda pode ser multada em 2% do rendimento por não ter registros em ordem, não notificar a autoridade controladora e o objeto dos dados sobre uma violação ou não realizar uma avaliação do impacto.
5 medidas para ter mais segurança
- Designar responsáveis pela proteção de dados (DPOs);
- Estabelecer um programa de segurança cibernética;
- Seguir padrões de segurança de processamento de dados;
- Ter responsabilidade documentada;
- Entender o consentimento.
