Atualmente, é comum nos depararmos com notícias em telejornais sobre grandes empresas que sofreram incidentes de segurança, seja por meio de ataque ransomware, ou por mero clique de colaborador em link enganoso.
Um estudo intitulado “2023 Data Breach Investigations Report” (“Relatório de Investigações de Violação de Dados de 2023”) conduzido pela Verizon Communications, entidade especializada em telecomunicações e cibersegurança, revelou que 74% das violações de dados envolvem elemento humano, ou seja, não são causadas por falhas sistêmicas, mas sim por pessoas.
Complementarmente, o mesmo estudo revelou que 19% dos incidentes de segurança ocorreram através de agentes internos, englobando no resultado, funcionários e estagiários das empresas, prestadores de serviços internos e pessoas em posição de confiança.
Outro fato que merece destaque, é que dentre todas as violações de dados, 97% são motivadas por ganhos financeiros, onde os agentes visam lucrar com a violação de dados – seja pela venda das informações obtidas à terceiros, seja por pedido de resgate.
Tais números causam preocupação e revelam a vulnerabilidade do mercado empresarial frente aos constantes ataques cibernéticos e incidentes de segurança, motivados principalmente pela desinformação e falta de preparo das empresas.
No Brasil, temos um cenário especialmente preocupante, no qual pequenas e médias empresas, tendem a não investir em sistemas de segurança da informação, acreditando não serem um alvo desejável para os cibercriminosos.
Contudo, um estudo conduzido pela Vade Secure, intitulado “SMB Cybersecurity Landscape Report 2022” (“Cenário de Segurança Cibernética das PMEs em 2022”) revelou que 79% das Pequenas e Médias Empresas já sofreram algum tipo de incidente de segurança justamente pela falta de investimentos específicos, o que as tornam vulneráveis.
Neste sentido, resta esclarecer que não há mecanismos 100% seguros. O rápido desenvolvimento tecnológico de nossa sociedade, embora benéfico em termos de progresso, apresenta o revés de sempre disponibilizar novos meios para que agentes mal intencionados provoquem violações de dados, ou ainda, que a equipe despreparada realize o uso indevido das ferramentas, causando, ainda que acidentalmente, incidentes de segurança.
Contudo, ações de conscientização da equipe profissional, acrescido de investimentos em segurança da informação, podem reduzir consideravelmente os riscos de incidentes de segurança que possam vulnerabilizar e expor a empresa e seus colaboradores.
Assim, é correto afirmar que a melhor forma de combater os incidentes de segurança nas empresas é fazer com que o corpo diretor compreenda a necessidade e importância do tema, de modo a providenciar medidas protetivas que possuam abrangência em todos os aspectos da empresa.
Luis Felipe Tolezani
Assistente jurídico de Direito Digital na Lopes & Castelo Sociedade de Advogados
