Por David Ben Svaiter
O Avestruz e a Lei de Gérson
Antes de prosseguir, gostaria que você refletisse sobre estas perguntas:
– Você fez seguro de sua casa ou automóvel? Porquê?
– Você tem Plano de Saúde? Porquê?
– Você costuma olhar o medidor de combustível de seu veículo? Porquê?
Posso continuar indefinidamente com questões semelhantes e sempre obterei, em essência, a mesma resposta: é melhor prevenir que remediar.
Tais questões refletem nossa capacidade de avaliar investimentos de recursos frente ao risco de uma situação factível. Quando percebemos que o custo da prevenção é menor que o custo da remediação, passamos a considerá-lo como investimento. E se você voltar às questões acima, verá isso com bastante clareza.
Mas e em relação aos investimentos em Segurança da Informação? Não é isso que vejo comumente no Brasil!
Vejo gestores que preferem “enterrar suas cabeças como avestruzes” frente ao perigo iminente de invasão e ainda se orgulham da economia feita, como se estivessem, de fato, agregando alguma vantagem à empresa.
Deixam de investir em segurança da informação acreditando que nada ocorrerá e que tais dados (em arquivo ou transitados por e-mail) não possuem nenhum valor agregado que compense protegê-los.
E isso, mesmo à luz da Lei 12527, que normatiza como uma obrigação legal das empresas resguardar dados e informações de usuários e clientes.
É inevitável que presenciando tais casos, remeto-me ao simpático animal e ao infeliz conceito consolidado pela propaganda de tantos anos.
O verdadeiro valor da informação.
Indenizar envolvidos e recuperar imagem institucional custa muito mais que os dados em si – e por isso dizemos que dados possuem “valor agregado” – e isso sem considerarmos as perdas indiretas, decorrentes da saída de investidores e acionistas.
Veja os casos da Mossack-Fonseca, da SONY, da Ashley Madison e das centenas de outras empresas sólidas que, num espaço de poucas horas, perderam milhões ou bilhões de dólares. Casos em que a imagem institucional foi tão seriamente afetada que chega a comprometer a própria sobrevivência da empresa.
Lembro que nestes casos, a regra é demitir todos os envolvidos. Principalmente, os gestores responsáveis pela falha de gerenciamento destes ativos de valor intangível.
O Brasil é um dos 5 maiores países em cibercrime.
Sempre se ouve falar de casos internacionais relacionados ao vazamento de informação crítica; mas nada ouvimos em relação ao Brasil. Sinal de que o Brasil está mais protegido que os outros países, certo? ERRADO!
Esta percepção é pautada apenas no fato de que em tais países existem leis que obrigam esta divulgação, enquanto que no Brasil tais leis não existem ainda.
O Brasil ocupa uma posição privilegiada em relação ao cibercrime. Somos um dos que mais atacam e um dos que mais sofrem ataques digitais. E esta informação não provém da mídia sensacionalista, mas de fontes abalizadas que acompanham e combatem tais crimes em todo o mundo.
Ferramentas de controle de acesso de nível internacional protegem a informação.
Se isso fosse suficiente, veríamos tantas invasões e vazamentos todos os dias?
A segurança de uma corrente se baseia no seu elo mais fraco. Da mesma forma, basta uma única falha sobre qualquer destas ferramentas e/ou procedimentos para que toda a segurança seja comprometida e o invasor tenha acesso completo à informação.
Pense: não seria mais coerente protegermos a informação em si do que apenas os acessos a ela?
Não vejo tais ferramentas como inúteis ou dispensáveis – são camadas de proteção. Mas por serem todas baseadas no mesmo conceito de monitoração/autorização de acesso, falham quando penetradas de alguma forma. A informação que protegem está “aberta”, “disponível”, bastando ao atacante vencer tais barreiras para acesso irrestrito.
Numa analogia simplória, você compraria um carro sem air-bag apenas pelo fato de usar cinto de segurança? Veja este artigo e entenderá melhor.
E qual seria o melhor investimento nestes casos? Criptografia, sem dúvida!
A criptografia é a fronteira final da proteção, quando todas as outras falham.
Com criptografia, você e sua empresa não estão apenas mitigando o risco, mas contando com ele e se prevenindo de uma forma eficaz, eficiente, ágil e econômica, agregando inclusive um diferencial junto aos seus clientes e Mercado.
Não é à toa que o uso de criptografia foi alardeado por empresas como WhatsApp, Facebook, Google, Microsoft, entre muitas outras.
Todos nós preferimos estar seguros do que inseguros – e tais empresas sabem o valor disso para seu cliente/consumidor.
E diferente do senso-comum, a criptografia corporativa trabalha de forma diferente da criptografia pessoal, evitando a perda da informação em casos de morte ou demissões e sem comprometimento da privacidade exigida pela empresa.
E quanto custa este investimento? Muito menos do que imagina!
Tenho como lhe recomendar algo diferenciado e muito simples de usar para seus arquivos e e-mails, com custo adaptado à realidade brasileira e possibilitando descontos de acordo com as condições de implantação em sua empresa.