A cada dois anos, o Comitê Gestor da Internet no Brasil (CGI.br) divulga duas pesquisas muito relevantes sobre o uso de tecnologias digitais pelos brasileiros, na forma de dois relatórios: o "TIC Domicílios" e o "TIC Empresas".
No "TIC Domicílios", são divulgadas informações acerca do uso pessoal (não comercial) da internet e das tecnologias de informação e comunicação (TIC) nos domicílios urbanos e rurais do País. Já o relatório "TIC Empresas" tem como foco o mercado, servindo para mapear tanto o grau de digitalização dos negócios quanto o nível de comprometimento das empresas com a segurança digital.
A pesquisa "TIC empresas" abrange todas as regiões do País, em variadas áreas da economia. Ou seja, temos aqui uma representação significativa do mercado e, por isso mesmo, preocupante, uma vez que ela acaba revelando que - como veremos adiante - grande parte das empresas brasileiras não está preparada para lidar com os riscos digitais da internet.
A preparação começa pela adoção de medidas básicas de segurança. E as boas práticas orientam que elas podem ser adotadas pelas empresas em pelo menos duas perspectivas: técnicas e gerenciais.
As medidas técnicas estão ligadas à adoção de tecnologia segura ou de ferramentas voltadas para a segurança digital (como Pentest, DPL, entre outras). As gerenciais são aquelas voltadas para o comportamento humano, abrangendo desde políticas e treinamentos até a adoção de processos de gerenciamento de risco.
Pois bem, como no Brasil temos uma cultura ainda incipiente de segurança na internet, não seria adequado esperar que houvesse investimento massivo em soluções técnicas, antes de consolidarmos medidas de comportamento seguro.
Dito de outro modo, seria até imprudente contratar ferramentas e softwares de segurança para a sua empresa se você não trabalhou a conscientização dos colaboradores ou não estabeleceu documentos e processos adequados para prevenir incidentes. Até porque é quase indiscutível o reconhecimento de que o elo mais frágil na corrente da segurança da informação costuma ser o próprio ser humano, vulgo usuário. Portanto, é preciso começar pelas pessoas.
Contudo, de acordo com o mencionado relatório de 2021, o "TIC Empresas" revelou que o número das organizações que adotam efetivas práticas gerenciais de segurança digital ainda é muito baixo.
Por exemplo, o percentual de empresas que inserem cláusulas sobre riscos e responsabilidades de segurança digital nos contratos de trabalho é de apenas 32%. E, pior, somente 41% dos empreendedores levam o assunto para reuniões gerenciais. Ou seja, bem menos do que a metade.
E os números caem ainda mais quando se trata de efetivamente engajar os colaboradores na causa. Apenas 27% das empresas promovem treinamentos sobre a gestão de riscos de segurança digital, isto é, basicamente uma a cada quatro organizações patrocinou algum tipo de curso, oficina, seminário, conferência ou alguma capacitação interna.
Ademais, o percentual de empresas que deram alguma forma de incentivo de desempenho para empregados que reduziram os riscos de segurança é ainda menor, correspondendo a 23%.
Outro dado importante é que, das empresas entrevistadas, somente 50% possuem alguma política de segurança digital. O número é alarmante, pois revela que apenas metade das empresas brasileiras têm regras claras sobre como dados, sistemas e informações devem ser utilizados no trabalho. Mesmo assim, o relatório anuncia alguma melhora, pois na pesquisa anterior apenas 41% possuíam políticas de segurança ("TIC Empresas - 2019").
Enfim, uma breve análise dos dados comprova aquilo que vemos no dia a dia: a preocupação com os aspectos gerenciais da segurança digital ainda não reflete a realidade sequer da maioria das organizações do mercado brasileiro.
No Brasil, praticamente todos os funcionários têm acesso direto à internet no trabalho, ou seja, as organizações estão conectadas em tempo real à rede mundial de computadores, estão expostas a todo tipo de "interação" possível no meio digital - sem que a maioria, como visto, sequer tenha regras claras sobre como proteger seus sistemas, bancos de dados, sites, email, entre outros.
Uma ressalva, porém, é necessária. A pesquisa foi realizada entre agosto de 2021 e abril de 2022, portanto, justamente no primeiro ano de plena vigência da Lei Geral de Proteção de Dados. Esse fato, por um lado, demonstra o provável despreparo das empresas para atender às normas da lei, mas revela, por outro, a oportunidade que as obrigações legais podem gerar para que a segurança digital seja priorizada no mercado.
E isso tanto é verdadeiro que os números da pesquisa anterior (2019) melhoraram claramente no relatório mais recente (2021), embora ainda estejamos muito abaixo do recomendável. De toda forma, o resultado de análises como está apenas demonstra a disparidade entre o cenário brasileiro e as boas práticas de proteção de dados.
Afinal, o gerenciamento da segurança digital deveria ser visto como essência da própria gestão da organização, ou seja, uma questão estratégica, isto é, uma questão de sobrevivência. E quem estará vivo no próximo relatório?
Não sabemos, mas esperamos que os números melhorem, o que só acontecerá, todavia, se houver o devido investimento em segurança digital e prevenção de riscos.
*Gabriel Barroso Fortes, advogado e consultor em Proteção de Dados. Sócio do Escritório Fortes Nasar Advogados. Pós-Graduado em Direito Digital e Compliance. Mestre em Direito Constitucional. MBA em Liderança Estratégica e Gestão Financeira. CPC-PD ©
