LGPD e as PMEs: impactos de curto prazo
O Brasil conta, hoje, com 6,4 milhões de empresas. Desse total, 99% é formado de pequenas empresas, segundo o Sebrae. Universo que se espalha por todas as regiões e segmentos, o mundo de PMEs passa, hoje, por uma forte transformação digital. Um estudo da IDC Brasil aponta, no entanto, que 70% das PMEs brasileiras enfrentam dificuldades em sua jornada digital. Garantir a segurança da informação é um desses desafios.
Nesse contexto, o alinhamento da pequena empresa à Lei Geral de Proteção de Dados, a LGPD, é uma das maiores batalhas.
Até agosto de 2020 todas as empresas brasileiras terão de seguir as regras da LGPD. As punições a quem não seguir a lei podem chegar a 2% do faturamento da empresa – o limite da multa é R$ 50 milhões. Para fiscalizar o mercado, o governo brasileiro criou, no final de 2018, a Agência Nacional de Proteção de Dados (ANPD), órgão que responde diretamente à Presidência da República.
Mais do que revolucionar a privacidade dos dados da pequena empresa, a LGPD será a métrica pela qual grandes corporações irão medir seus prestadores de serviços. Diminuirá de forma sensível a tolerância a players PMEs que não possam garantir a segurança e a integridade dos dados de seus clientes.
A realidade é que as ameaças digitais efetivamente incidem sobre o universo PMEs.
Se tomarmos como base somente os dados do SonicWall Security Center até julho de 2018, 175 milhões de ataques de malware e 95 milhões de tentativas de invasão foram identificados no Brasil. Uma correlação simples destes dados com o número de empresas apontadas pelo Sebrae – mais de 6 milhões de CNPJs – confirma a percepção de que as pequenas empresas são alvo de ataques. Nos EUA, segundo pesquisa da National Cyber Security Alliance, mais de 70% dos ataques digitais são direcionados às pequenas e médias empresas.
A LGPD e as peculiaridades do universo PMEs
Neste contexto, uma das ameaças mais preocupantes segue sendo o binômio phishing/ransomware. A falta de cultura de segurança dos funcionários do universo PMEs, somada à ausência das corretas soluções de proteção, fazem da pequena empresa um alvo perfeito. Pesquisa da Polícia Militar de São Paulo apontou que, em 2017, o ticket inicial de ransomware no Brasil já estava em R$ 10 mil.
Mas o pagamento do ransomware não é o maior mal.
Segundo levantamento feito pela Osterman Research em 2018 com mil empresas PMEs europeias, o maior prejuízo vem do downtime causado pela indisponibilidade de aplicações e dados críticos para realizar negócios. Segundo este instituto de pesquisa, o tempo de inatividade da pequena empresa em caso de ataques variou de 25 a cem horas.
Como, então, evitar esse quadro?
Inteligência artificial e machine learning
No contexto atual de insegurança, é necessário realizar uma abordagem que utilize recursos de inteligência artificial e machine learning. Essa visão proporciona eficácia em segurança e redução de custos – dois objetivos muito presentes no universo PMEs. Isso acontece porque a soma de AI com machine learning automatiza e integra diferentes recursos contra potenciais ameaças aos dados das organizações.
Recursos como estes proporcionam monitoramento e visibilidade de tráfego em tempo real contra ameaças e, também, definem vereditos sobre potenciais ameaças Zero Day.
Isso contribui para que a segurança de rede esteja em conformidade com a LGPD, de modo a entregar segurança em todas as instâncias do ambiente digital. Isso vale para o veículo de transmissão de ameaças: e-mail, navegadores, aplicações, arquivos, e até a memória e processadores de computadores. Essa mesma inteligência contra o crime tem de validar tanto o tráfego aberto como o criptografado, além de atuar em todas as estruturas de conectividade (redes cabeadas, sem fio, móvel ou remotas). A tecnologia deve, ainda, oferecer recursos integrados, capazes de promover a segurança dos mais diversos dispositivos, quer seja um PC ou Servidor, ou tablets, smartphones e dispositivos IoT.
Conformidade com LGPD como Serviço (“Compliance as a Service”)
Um tempero adicional dessa discussão é o dilema internalizar recursos versus buscar provedores externos.
Diante da complexidade do quadro de ameaças digitais, muitos gestores têm optado por “terceirizar” parte de sua área de segurança e contratar o que o mercado denomina de provedores de serviços gerenciados de segurança, ou MSSP (Managed Security Services Provider). Quem adotar esse modelo pode contar com suporte 24×7 e garantias com base em níveis de serviço (SLA) pré-definidos e que determinam todas as obrigações do MSSP com a empresa SMB.
