Se há uma coisa com a qual todos podemos concordar é que, atualmente, informações (dados pessoais, segredos comerciais etc.) são o ativo mais valioso do mercado. Além de constituir a propriedade intelectual das organizações, é a partir dessas informações que empresas passam a adotar melhores decisões e processos, o que reflete, no final das contas, em um resultado financeiro mais positivo. Assim, é inegável que a proteção a esse ativo deve ser proporcional à sua importância.
Empresas ao redor do mundo adotam ferramentas de tecnologia cada vez mais robustas para aperfeiçoar seus sistemas de segurança da informação. Porém, tão ou mais importante quanto o uso de mecanismos tecnológicos é a necessidade de que aqueles que efetivamente tratam dessas informações estejam conscientes da importância de mantê-las seguras. Ou seja, o fator humano não pode (e não deve) ser perdido de vista, mas, sim, deve caminhar lado a lado com a tecnologia para a proteção das informações.
Nesse sentido, um recente relatório da empresa norte americana Verizon Wireless (Data Breach Investigations Report 2022) revelou que 82% das violações de dados em organizações envolvem o elemento humano. Segundo o documento, práticas como uso indevido de credenciais (ex.: login e senha), engenharia social, phishing e simples erros estão entre as mais comuns e que levam a violações de dados.
Como possível solução, o Relatório aponta que há necessidade de uma mudança no comportamento das pessoas (ex.: por meio de treinamentos), bem como que a organização deverá ter meios para demonstrar a efetividade das medidas adotadas (ex.: testes periódicos com funcionários).
Para além disso, a elaboração de políticas claras sobre segurança da informação é de extrema importância dentro das organizações, justamente a fim de que haja a devida transparência sobre os procedimentos que devem ser adotados pelos colaboradores ao lidar com cada tipo de informação.
A esse respeito, é importante notar que, em se tratando de dados pessoais, por exemplo, a própria LGPD (Lei 13.709/2018), em seu artigo 47, determina que é dever do controlador ou de qualquer outra pessoa que intervenha em uma das fases do tratamento (o que inclui colaboradores de organizações) garantir a segurança da informação em relação aos dados pessoais. Ou seja, não há mais espaço para a clássica pergunta “e eu com isso?”. Trata-se de uma responsabilidade de todos e a violação da lei ou de políticas internas pode, inclusive, levar à dispensa de colaboradores por justa causa, o que já vem sendo mantido pela Justiça do Trabalho em alguns casos.
E aliado ao documento da Verizon, um relatório da gigante de tecnologia IBM (Cost of a Data Breach 2021), que analisou mais de 500 violações de dados, constatou que o custo médio de um evento dessa natureza, em 2021, foi de USD 4.24 milhões, o que demonstra o tamanho dos efeitos negativos que podem atingir as organizações.
Portanto, o que fica claro é que, para além da contratação de ferramentas de tecnologia que visem a proteção das informações, a conscientização desde o primeiro momento, com renovação constante, e de políticas internas objetivas sobre como lidar com informações dentro das organizações são instrumentos fundamentais para uma estrutura efetiva de segurança das informações, justamente visando mitigar um dos principais riscos à violação de dados: o fator humano.
