Dados: quem não protege arrisca.
Diante das infinitas possibilidades do mundo digital, descuidar de dados e informações sensíveis é colocar a segurança em jogo.
A demanda hoje vai além das boas práticas e tem força de lei: a LGPD – Lei Geral de Proteção de Dados Pessoais (13.709/2018), que já citamos em artigo anterior aqui.
Portanto, se assegurar o sigilo dos dados corporativos sempre foi decisivo para a continuidade do negócio, agora a empresa – toda empresa – tem a obrigação legal de assegurar a privacidade dos dados, inclusive e principalmente pessoais, de todos os envolvidos em sua cadeia produtiva: clientes, parceiros, fornecedores, colaboradores.
Isso envolve um conjunto de comportamentos que precisa ser adotado por toda a equipe e vai desde a definição de uma senha forte, passa por procedimentos para um home-office seguro e chega até a atenção máxima com compartilhamentos. Neste tema, não existe meio-termo: quem não toma máximo cuidado coloca dados sensíveis em risco.
Muitos especialistas dizem que o elo mais frágil da segurança da informação não é a tecnologia, e sim o comportamento do usuário. Mas pode-se dizer, de maneira bem plausível, que quando existe consciência e responsabilidade ele pode se tornar o elo mais forte.
Porém, não parece realista esperar que conhecer e praticar atitudes que garantam a segurança da informação na empresa – mesmo que a pessoa esteja em casa – seja uma iniciativa espontânea dos colaboradores. A estratégia mais simples, evidente e eficiente para que isso aconteça é aplicar o binômio subsídio + exigência.
Ou seja, para começar, disponibilizar materiais específicos de orientação e, se possível, treinamentos também focados especificamente no tema, que podem ser feitos de modo tradicional – expositivo e didático – ou mais lúdico, inclusive por meio de games que premiam de algum modo os melhores participantes.
Essa segunda opção é conhecida por gamification, e não faltam empresas especializadas em sua aplicação, que costuma ter altos índices de adesão, exatamente por combinar informação com uma boa dose de entretenimento – o que sempre mobiliza mais do que a informação “pura e simples”, além de, comprovadamente, facilitar a absorção dos conteúdos.
Só depois de realizar ações para envolver e engajar a equipe, fornecendo o conhecimento e as ferramentas necessários para colocar em prática novos hábitos, gerados por uma nova mentalidade, parece razoável cobrar, legitimamente, o compromisso com a segurança da informação na empresa.
Feito de forma tradicional ou com o uso de gamification, o objetivo corporativo, claro, é jogar para ganhar, mas segurança é um jogo que não depende de simples pressão corporativa, muito menos de sorte – e sim de atitude.
RC Fraudes Corporativas (Crime Liability) é uma boa autodefesa.
O termo compliance paira nos ambientes corporativos sem que muita gente saiba exatamente, ou ao menos consiga descrever claramente, o que ele significa. E como se trata de um conceito que atravessa diversas áreas de atividades e conhecimentos humanos – especialmente a administração – existem inúmeras definições acadêmicas.
Mas, em termos gerais, podemos dizer que compliance é um conjunto de regras, padrões, procedimentos éticos e legais que orienta os atos e comportamentos de uma organização – inclusive a atitude de seus colaboradores. Acontece que às vezes as lideranças e/ou gestores estão alinhados à política de compliance da empresa, mas um colaborador não. Com certa frequência, mais de um…
Agindo sozinho ou em associação com terceiros, inclusive de fora da empresa, o colaborador que foge aos padrões éticos e legais definidos na compliance corporativa pode utilizar a estrutura e os meios da companhia que o emprega para cometer atos fraudulentos e criminosos. Assim, mesmo que uma empresa praticamente inteira atue de forma ética e legalmente correta, pode acontecer de ela ter de arcar com os custos resultantes do comportamento criminoso de um de seus quadros.
Sim, na era da explosão digital, enquanto se fala tanto dos riscos de cibercrimes associados à ação externa de hackers, a empresas precisam se preocupar também com agentes internos: os insiders. Pesquisas recentes indicam que mais de 60% dos autores de fraudes são insiders, e os delitos podem ou não ter a ver com a invasão de um sistema, caracterizando-se, por exemplo, pelo mau uso dele, ou de algum outro recurso. Não faz muita diferença, se o resultado final for prejuízo.
Nesse cenário em que a gestão de risco das empresas ganha cada vez mais complexidade, como combater ações criminosas que podem ser realizadas pelos próprios colaboradores? Bem, além de um criterioso processo de seleção (óbvio), parte da autodefesa vem de outros colaboradores, mais honestos: provavelmente pela proximidade com processos e pessoas, eles também são os mais propensos a descobrir o problema. São os, digamos, “insiders do bem”, também conhecidos como whistleblowers (denunciantes). Outro recurso é uma auditoria externa.
A questão mais difícil é que, boa parte das vezes, tanto denúncias internas como auditorias externas acontecem depois do problema – da fraude realizada, do crime cometido – quando a tipificação do ato criminoso já está legalmente estabelecida e os prejuízos decorrentes podem ser inevitáveis. Empresa inocente, colaborador culpado? Mesmo assim, prejuízo para a empresa, se ela for considerada responsável pelo ocorrido em algum nível – uma tese defensável. Pode não ser justo, mas é a vida real, na qual esse desfecho é bem plausível. E, claro, as perdas não acontecem necessariamente só perante a lei.
Para proteger as empresas contra esse tipo de turbulência, existe o Seguro de Responsabilidade Civil – Fraudes Corporativas (Crime Liability), que oferece à empresa segurada cobertura para os prejuízos causados pelos malfeitos de seus colaboradores, como furto, roubo, apropriação indébita, falsificação de documentos, transferência fraudulenta de fundos, fraudes eletrônicas, entre outros, dependendo da abrangência da apólice.
Como em quase qualquer situação que envolva risco (e qual não envolve?), precaver-se com um seguro sempre é mais inteligente e econômico do que ter de lidar com as consequências do fato consumado. Com o RC Fraudes Corporativas (Crime Liability), a empresa toda se protege contra o que pode ser decorrente da ação nociva de poucas pessoas – e até mesmo de apenas um indivíduo. Antecipar-se a essa possibilidade é uma decisão realmente, e brilhantemente, estratégica.
Fontes
https://administradores.com.br
Cyber Seguro
Quanto mais digital a vida se torna, maior é o volume dos dados disponíveis sobre as pessoas e, portanto, a importância de sua privacidade e segurança, a ponto de gerar repercussões legais: a Lei Geral de Proteção de Dados Pessoais (13.709/2018) dispõe sobre o tratamento de dados pessoais e define a adoção de medidas de segurança para protegê-los de ações ilícitas e situações acidentais.
Os crimes cibernéticos vêm apresentando aumento muito expressivo nos últimos anos: o número de ataques hacker cresceu mais de 200% desde o início da pandemia e estima-se que o custo global do cibercrime atingirá a marca de US$ 6 trilhões em 2021. No Brasil, com a LGPD já em vigor, a preocupação das companhias é ainda maior, pois, como toda lei, ela prevê penalidades.
Um programa interno de conscientização sobre privacidade e proteção de dados certamente reduz a vulnerabilidade da empresa frente à LGPD, contribuindo para que não se envolva em incidentes que a deixariam sujeita a expressivas multas, capazes, muitas vezes, de inviabilizar a continuidade do negócio. Investir na conscientização dos colaboradores sobre o tema resulta, de modo direto ou indireto, num grande diferencial competitivo: melhor reputação.
Os motivos são óbvios: a maior responsabilidade dos colaboradores e o relevante improvement na confiança dos clientes atraem e favorecem a realização de mais e melhores negócios. Porém, este tipo de ação é necessário, mas não suficiente. Porque, como se sabe – inclusive por notícias recentes sobre grandes vazamentos de dados no Brasil e no exterior – nenhum treinamento tem adesão total e nenhum sistema de segurança é perfeito.
Por isso, mesmo uma empresa bem alinhada à LGPD não pode se dar ao luxo de dispensar uma proteção extra no caso de, apesar de seus esforços, esses incidentes ocorrerem. A cobertura para esse tipo de risco vem sendo incorporada nas apólices de seguradoras que trabalham com RC- Responsabilidade Civil, mas apenas parcialmente.
Diante dessa realidade, nasceu o que hoje é chamado de Cyber Seguro, apólice específica de seguro de riscos cibernéticos que oferece às empresas cobertura referente à responsabilidade pelo vazamento de dados, assim como eventuais prejuízos financeiros causados por ataques de hackers. Comum na Europa, sua existência e popularização são relativamente recentes no Brasil. Mesmo assim, o aumento das contratações deste tipo de apólice foi de 55% no ano de 2019, muito provavelmente por causa da entrada em vigor da LGPD.
Como não é possível prever com exatidão os rumos da tecnologia, mesmo com a alta relevância das diretrizes contidas na LGPD os riscos à segurança gerados pela evolução do cibercrime – também imprevisível – continuarão existindo, talvez até aumentando. Tudo indica, portanto, que o Cyber Seguro está chegando para ficar.
Fontes:
https://www.abgr.com.br/noticias?id=753&BuscaPor=Autor
https://www1.folha.uol.com.br/fsp/dinheiro/fi1611200824.htm
