Segurança da Informação em Tempos de Fake News
Diferente do que possamos pensar, a informação falsa, hoje chamada de Fake News, já faz, há muito tempo, parte da nossa história. Desde algumas obras literárias medievais que apresentaram em suas entrelinhas inverdades sobre fatos e pessoas, desafetos dos escritores, até o jornalismo profissional, que sofreu em certos momentos com o “fantasma” da desinformação e da constante presença do sensacionalismo. Impedir que notícias falsas prejudiquem a sociedade sempre foi um desafio. Com a evolução tecnológica e o surgimento da internet, a divulgação de conhecimento e informação aumentou exponencialmente, tanto no alcance demográfico como na velocidade. Fatos que aconteciam em um lugar e levavam dias para serem conhecidos por pessoas de outro lugar são divulgados instantaneamente na internet e acessados por milhões de pessoas, muitas vezes, através das redes sociais. A tecnologia conseguiu diminuir barreiras e tornar a informação disponível para qualquer pessoa de uma maneira fácil e rápida. Contudo, na mesma proporção, o antigo fantasma da desinformação cresceu e o desafio de impedir que ele prejudique as pessoas é, a cada dia, mais difícil. Um pouco da evolução tecnológica A evolução tecnológica das últimas décadas é, indiscutivelmente, um advento sem precedentes. Enquanto a fase da evolução tecnológica mecanizada e industrial levou cerca de 300 anos para se consolidar (do fim da Idade Média até a metade do século XX), a evolução do que chamamos de fase de automação ou tecnologia de ponta levou apenas 40 anos para se estabelecer, tendo seu fim marcado nos anos 90 onde começamos a nos preocupar, tardiamente, com os efeitos que essa evolução causa ao meio ambiente, iniciando-se então a fase de tecnologia limpa e sustentabilidade. Dentro dessa nova fase, podemos perceber uma evolução tecnológica muito mais acelerada. Desde o surgimento do Google, no final dos anos 90 até hoje, são apenas 25 anos. Nesse período, a internet se consolida como a ponte para a globalização. Comunicar-se nunca se tornou tão fácil e atrativo. Aplicativos de comunicação por texto foram criados e a distância já não era mais barreira para aproximar pessoas. Com o tempo, a tecnologia permitiu que não somente pessoas conhecidas poderiam se comunicar, mas a humanidade poderia conhecer uns aos outros, numa rede de pessoas com particularidades similares, com costumes, gostos e aptidões parecidos. Nasce o Orkut. Nesse momento, a popularização da tecnologia teve como entrave a dificuldade de acesso aos equipamentos, aos computadores. Como fazer que as pessoas tivessem acesso fácil à internet e esse universo que permitiria a comunicação em massa? A palavra comunicação remetia à outra grande evolução tecnológica, a telefonia móvel. Então, porque não adaptar os aparelhos celulares para serem “minicomputadores” capazes de tornar essa comunicação mundial mais efetiva e popular? Surge então o smartphone, o iPhone e os apps. A tecnologia estava, literalmente, à mão de todos. Além da tecnologia O breve relato sobre a evolução tecnológica nos últimos anos e a sua popularização pode nos remeter a um pensamento: a tecnologia é a grande vilã no cenário atual da desinformação, da disseminação das Fake News. Esse, com certeza, é o caminho mais fácil para tentar justificar um dos grandes males atuais da humanidade que, conforme mencionado pelo CEO da Apple, Tim Cook, “está matando a mente das pessoas”. Como toda evolução que traz, junto com os inúmeros benefícios, grandes problemas, a tecnológica não poderia ser diferente. Contudo, uma das evoluções mais importantes não aconteceu, principalmente em países como o Brasil: a evolução educacional. A leitura e interpretação de textos, com reflexões sobre determinados assuntos, se tornou coisa do passado e, com isso, a informação falsa se tornou “verdade”, principalmente quando alinhada com alguma crença pessoal. Essa tendência é chamada de viés de confirmação onde aceitamos qualquer informação que confirme ser verdade algo que acreditamos e que ignoremos quaisquer informações que sejam contra essa crença. Vale lembrar que essa evolução educacional não está somente ligada ao sistema de educação, mas, também, na formação de base onde incluímos a família. Nessa formação devemos incluir o uso responsável da tecnologia como um meio de exercer a cidadania e de adquirir e transformar conhecimento. Ao receber uma informação, muitas pessoas não analisam se é realmente verdade, qual a fonte dessa informação, se a pessoa que enviou tem por padrão enviar mensagens sem analisar. A facilidade e velocidade que a informação ficou disponível a todos, criou uma banalização sobre a importância que esta tem para formação de opinião e de mudanças no comportamento da sociedade. O comportamento em relação às informações falsas ratificou o uso da palavra “pós-verdade”. Um neologismo para descrever a situação na qual algo que parece ser verdade é mais importante que a própria verdade, ou seja, para a formação de uma opinião pública sobre determinado assunto, os fatos objetivos têm menos influência do que os apelos emocionais. E seguindo esse apelo, as notícias falsas atraem mais e mais pessoas que, sem o senso crítico sobre a informação, ajudam na sua divulgação criando um ciclo vicioso de desinformação. Com certeza, a tecnologia tem grande responsabilidade nesse cenário, possibilitando a propagação de Fake News através de redes sociais, aplicativos de mensagens e até mesmo e-mails falsos. No entanto, ela também é o canal de combate a essa cultura. Nos últimos anos, várias ações foram feitas para que a segurança de informação tenha um papel fundamental nos crimes que envolvem as Fake News, evitando prejuízos a sociedade. Os crimes por trás das Fake News Além de todos os males que a divulgação de Fake News causa à sociedade como a legitimação da violência, o preconceito, o descrédito à ciência e muitas outras, as mensagens falsas também permitem crimes cibernéticos, como roubo de informações confidenciais, vendas falsas e desfalques financeiros. Segundo uma pesquisa realizada pela Universidade de São Paulo, em 2018, um dos maiores canais de divulgação de Fake News são os grupos de família criados no aplicativo WhatsApp. Muitas dessas mensagens são transmitidas através de imagens ou vídeos que, ao serem acionados, disparam códigos maliciosos (malware) que infectam os aparelhos com vírus que roubam informações e realizam fraudes. Também, muitas dessas notícias podem conter links que direcionam para sites que hospedam essas notícias e neles contém iscas para cliques (os chamados Clickbait) com mensagens apelativas que induz o usuário a clicar e, consequentemente, permitir o acesso a informações gravadas no equipamento como senhas e informações financeiras que possibilitem fraudes, além da lista de contatos que possibilita aumentar a abrangência da sua ação criminosa. Além das mensagens, as Fake News podem ser enviadas através de e-mails, contendo também códigos maliciosos. Essa maneira afeta, em grande parte, os ambientes corporativos. Funcionários que ainda não aplicam boas práticas de segurança de informação clicam nesses e-mails e, com isso, podem ameaçar toda a rede da empresa, se esta não estiver devidamente protegida. Contatos de clientes e fornecedores também podem ser roubados e, até em alguns casos, redes compartilhadas entre empresas podem ser portas de ataques criminosos. Ainda estamos longe de uma cultura de uso consciente da tecnologia. Com isso, a segurança da informação tem um papel fundamental na proteção de dados das empresas e das pessoas. O papel da segurança de informação A disseminação das Fake News trouxe um grande desafio relacionado à segurança de informação. Qualquer usuário, atualmente, pode ser uma porta de ataque às empresas e, com isso, as políticas de segurança tiveram que compor regras mais rígidas de acesso às redes por dispositivos móveis dos seus funcionários. As informações digitais se tornaram um dos principais produtos na era atual. Com a velocidade que as informações são transmitidas na internet e redes sociais, elas podem ser lidas por milhões de pessoas e, também, podem ser manipuladas e usadas para fraudes e uso indevido de dados. A preocupação com essas informações e a forma que os dados pessoais são compartilhados na internet motivou a criação da Lei Geral de Proteção de Dados, que estabelece princípios e critérios para coleta, armazenamento e compartilhamento de dados pessoais. A implementação das melhores práticas direcionadas pela LGPD minimiza os riscos de ataques e de uso indevido de informação além de promover a transparência na guarda e uso de dados pessoais evitando a prática de crimes cibernéticos. Além do investimento em ferramentas, serviços, criação de regras e níveis de acesso, as empresas devem ter como meta em sua política de segurança de informação manter uma comunicação ativa e recorrente para disseminar a cultura de uso consciente da tecnologia pelos colaboradores. Apresentar os riscos que traz a desatenção a certos cuidados no dia a dia e ativar o senso de urgência sobre as mudanças de comportamento necessárias para que prejuízos pessoais, como roubo de informações e fraudes, sejam evitados. A conscientização sobre a gravidade da disseminação de Fake News é essencial. Muitas pessoas não têm a dimensão do que essa prática está causando à sociedade, não só relacionado a prejuízos financeiros, mas ao comportamento humano, com riscos para a saúde pública, incentivo ao preconceito e violência. Dicas Dynamica: Qual o seu papel? Vimos que a tecnologia e a segurança de informação são essenciais na guerra contra a desinformação pela disseminação de Fake News. Contudo, o papel mais importante é o nosso que consome essa tecnologia e a informação que transita por ela. Dar atenção a alguns detalhes simples podem fazer toda a diferença e ajudar na mudança de cultura sobre o compartilhamento de informações: Considere a fonte da informação: é importante analisar a fonte que enviou a informação, qual sua motivação e se costuma enviar mensagens duvidosas Leia além do título: a maioria das Fake News apresenta um título falso, dando um entendimento totalmente diferente do contexto real da informação. Confira os autores: pesquise se realmente existem e se são confiáveis Procure outras fontes da informação: pesquise sobre a informação em outras fontes, principalmente em canais confiáveis de notícias Verifique a data de publicação: muitas Fake News usam fatos antigos para confundir os leitores e proliferar informação indevida Eleve seu pensamento crítico: analise a informação antes de encaminhar ou publicar em suas redes sociais. Lembre-se que você é um influenciador em sua rede social e isso traz uma grande responsabilidade. Se tiver dúvida sobre a informação, não compartilhe. Não passe adiante informações que não tenha certeza de que sejam verdadeiras, mesmo que possam parecer interessantes. Evite distribuir informações falsas que podem causar danos a pessoas e empresas, à sociedade. Estamos preparados para adequar sua empresa a nova Lei Geral de Proteção de Dados (LGPD) e guiá-la a conhecimentos e práticas corporativas fundamentais para manter o alinhamento do propósito, visão e objetivo da sua Cultura Organizacional. Somos especialistas em estratégia, cultura e mudanças. Conte com a gente! .fb-background-color { background: !important; } .fb_iframe_widget_fluid_desktop iframe { width: 100% !important; }
LGPD na prática: como organizações estão se adequando
As empresas não têm mais tempo a perder. A LGPD (Lei Geral de Proteção de Dados – Lei nº 13.709/2018) está em vigor desde setembro de 2020. Como não existe prática sem teoria, antes de falar como as empresas estão se preparando, é importante resgatar alguns conceitos. Confira as etapas para esta adequação em nosso blog. Esta lei foi um marco regulatório em relação à privacidade e proteção de dados pessoais no Brasil. Suas bases estão centradas nos direitos à liberdade e à privacidade das pessoas e proteção de dados. Ainda há um longo caminho de mudança na forma de pensar e agir. Quer um exemplo? Quantas vezes você leu uma política de privacidade ou termos de uso até o final antes de autorizar a continuação de uma compra online? “Dados são o novo petróleo” Esta frase, que vem agitando o mundo dos negócios, foi criada por Clive Humby, um matemático londrino especializado em ciência de dados e tem sido repetida por consultores, executivos e interessados em transformação digital. Em tese, representa o alto valor atribuído aos dados e a quem souber fazer bom uso deles e aproveitar todo seu potencial. Falar sobre LGPD começa por contextualizar os motivos pelos quais se fez necessária a criação de uma lei que protegesse os dados pessoais*. Isto porque dados são transformados em informações e, após tratadas, manipuladas e analisadas são utilizadas como conhecimento e inteligência empresarial, que direciona as ações da empresa, voltadas à obtenção do lucro. Estatisticamente, quanto mais orientada a dados uma empresa, mais produtiva é. *Dados pessoais são quaisquer informações que permitem identificar um indivíduo. Pode ser o nome, o apelido, informações sobre renda, consumo, hábitos de navegação, preferências, cidade e endereço residencial, um endereço de IP, dados de localização etc. A LGPD chegou para estabelecer as “regras do jogo” a empresas e órgãos públicos na era do big data: ao mesmo tempo em que compreende a importância dos dados para o desenvolvimento econômico, inovação e empreendedorismo, respeita as garantias e direitos das pessoas ao regular o tratamento de dados, desde o momento de coleta, armazenamento, utilização até o seu compartilhamento. Evite a procrastinação: a lei já está em vigor! Se a empresa vai ou não se adequar a LGPD não é mais uma pauta a ser decidida em reunião executiva, mas sim, “quando e quais os passos a considerar”. O programa de adequação à nova lei é um processo. Uma analogia de fácil assimilação seria a comparação com uma forte dor, ou seja, você está consciente da sua dor. Vai ao médico, que vai te examinar, pedir uns exames, após o mapeamento dos seus sintomas, chegará em um diagnóstico e dará o resultado. Conhecendo o que tem, terá que fazer um plano de ação para o tratamento (remédios, reeducação alimentar…). Após o tratamento, volta no médico, averigua se os sintomas sumiram e monitora, por um tempo, para ver se o tratamento funcionou. Assim acontece em um programa de adequação de uma empresa à LGPD. O advogado, sócio-diretor da Ferreira Rodrigues Sociedade de Advogados e parceiro da Dynamica, Dr. Wolnei Tadeu Ferreira, exemplifica a fase preparatória de conscientização e capacitação em LGPD para as lideranças, etapa de suma importância para as empresas se prepararem para as etapas posteriores. “Eu e minha equipe temos atuado oferecendo treinamentos de apresentação da LGPD à alta direção, para que criem a consciência da responsabilidade e comprometimento. Um de nossos clientes, por exemplo, da área da Saúde, lida com dados sensíveis e esta orientação inicial foi importante para darem novo rumo ao tratamento de seus dados”. Dr. Wolnei explica algumas ações necessárias na fase de mapeamento e diagnóstico dos dados: “será necessário um grupo de trabalho, envolvendo os vários setores da empresa que de uma forma ou outra, manipulam dados. Este grupo irá identificar, organizar e analisar a base de dados da empresa, analisar quais os dados a serem tratados, se sensíveis ou não. Nesta fase, identificamos as oportunidades de melhorias nos processos internos”. De posse do diagnóstico de como estão os dados da empresa, parte-se, então, para a elaboração do plano de ação e execução, que variam de acordo com a empresa, mas de modo geral, contemplam: “elaboração de medidas técnicas; implantação de plano de formação e conscientização; adaptação e revisão dos procedimentos; respostas às demandas das pessoas com agilidade; análise de risco; estabelecimento de protocolos de segurança, planos de contingência para eventuais vazamentos ou incidentes”, explica Dr. Wolnei. Após isso, será necessário monitorar a adesão e os resultados dos processos definidos. Sanando as dúvidas mais frequentes Muitos são os questionamentos relacionados à LGPD. Selecionamos alguns mais frequentes para que o Dr. Wolnei e sua equipe respondam: Como a empresa comprovará que garante a proteção de dados? Dr. Wolnei – Todo projeto pretende garantir a integralidade dos dados, mas, existe sempre um fator imponderável que é o ser humano, sempre sujeito a falhas. Procedemos de modo a minimizar ao máximo os riscos, razão pela qual não há como garantir 100% de segurança em razão do fator “humano”. Mas a comprovação se dará pelos esforços feitos para minimizar riscos de vazamento como diagnóstico de falhas, revisão geral dos procedimentos, avaliação de dados operados e armazenados, finalidade, cuidados com a guarda de dados, revisão de documentos e treinamento de todos que possuem acesso aos dados ou daqueles que operacionalizem. Com isso, eventual vazamento que ocorra, minimizará seus impactos, pois falhas mínimas podem ocorrer e tentamos orientar para que não ocorram. Minha empresa decidiu apenas fazer uma nova política de privacidade para nos adequarmos à LGPD. É possível? Dr. Wolnei – Não, pois apenas a documentação não garante a utilização dos dados de forma correta, transparente e com a preocupação contínua e permanente com o usuário. A política de privacidade é elaborada na fase de implementação do plano de ação, após a análise do fluxo de dados e diagnósticos dos problemas que a empresa possui e que violam a LGPD. Indicamos uma sensibilização aos executivos sobre os conceitos básicos e a jornada necessária para se adequar à LGPD. Qual é o tempo médio para uma empresa se adequar 100% à LGPD? Dr. Wolnei – Não é possível especificar um tempo médio, varia muito, mas é certo que não se realiza antes de 2 meses. Isto porque sua implantação depende do tamanho da empresa, do tipo de atividade, quantidade dos envolvidos, volume de documentos e dados operacionalizados ou armazenados. Como dissemos, após o diagnóstico para entender como os dados são tratados na empresa serão realizados outros processos para planejar, comunicar, inventariar, indicar responsáveis, treinar envolvidos etc. O que são e quais são os dados sensíveis? Dr. Wolnei – A própria LGPD define o que são dados pessoais sensíveis (Art. 5º, II), como “aquele relacionado a: (I) origem racial ou étnica, (II) convicção religiosa, (III) opinião política, (IV) Filiação a sindicato ou a organização de caráter religioso, filosófico ou político, (V) Saúde ou vida sexual, VI) Genético ou biométrico.” Quais dados da base de contato das empresas deverão ser apagados? Corre-se o risco de perder parte da base de contatos? Os dados de um contato devem ser apagados sempre que solicitados? Dr. Wolnei – Deverão ser apagados os dados que não forem necessários para o fim a que se destina ao objetivo desejado pela empresa. Pode-se perder parte dos dados, se não houver backup ou segurança digital, na ocorrência de incidente do tipo de dano a disco rígido ou equipamento onde sejam armazenados os dados, invasão hacker por imprudência de parte de usuários na falta dos cuidados necessários quando de acesso a site indevidos. Os dados devem ser apagados sempre que houver solicitação formal por parte do titular dos dados, no prazo estipulado pela LGPD de 15 dias. Por que as empresas estão recebendo os aditivos de contrato de seus clientes e fornecedores, envolvendo a LGPD? Dr. Wolnei – Todas as empresas que de um modo ou outro tratam dados, estão sendo obrigadas a se adequar à LGPD; como no exemplo dos aditivos que estão sendo encaminhados para que os contratos sejam adequados ao tratamento de dados. Trata-se de medida salutar e orientativa. Quais são as penalizações pelo descumprimento à LGPD? Quando passam a valer? Que órgão poderá aplicá-las? Quem será ou serão os órgãos fiscalizadores? Qual o valor da multa? Dr. Wolnei – A LGPD confere severas sanções para empresas que descumprirem as disposições legais. As punições só serão aplicadas a partir de agosto de 2021 pela Autoridade Nacional de Proteção de Dados (ANPD), entidade responsável por fiscalizar o cumprimento da lei. Porém, como a lei já está valendo, alguém que se sinta prejudicado pode reivindicar judicialmente a reparação de eventual dano sofrido com o vazamento de dados. O valor das multas irá variar dependendo do grau das infrações cometidas que podem ser: multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; III – multa diária, observado o limite total a que se refere o inciso II. Outras sanções aplicáveis constam no Art. 52: I – advertência, com indicação de prazo para adoção de medidas corretivas; IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência; V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização; VI – eliminação dos dados pessoais a que se refere a infração; X – suspensão parcial do funcionamento do banco de dados a que se refere à infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período. Em que situações, na sua opinião, uma empresa deve se valer de uma consultoria para se adequar à LGPD? Dr. Wolnei – Para se adequar à LGPD, todas as empresas devem buscar orientações de todas as áreas envolvidas. Uma consultoria jurídica é essencial pois, a ajudará a compreender quais mudanças a LGPD ocasionará em cada setor da empresa, quais os pontos críticos a serem observados e as consequências que a lei trará ao seu negócio. Exemplos: contratos, dados coletados em sites, contratações, operadores de dados, armazenamento e guarda de dados etc. A Dynamica uniu sua expertise em Gestão de Mudanças e Cultura aos parceiros Ferreira Rodrigues Sociedade de Advogados na área Jurídica e Rischio, na área Tecnológica, para juntos buscarmos as soluções mais alinhadas na adequação da sua empresa à LGPD. Saiba mais! Podemos te ajudar com: Mapeamento dos Dados sensíveis Mapeamento dos processos Elaboração do Relatório de Impacto e Proteção de Dados Serviços terceirizados de DPO (Date Professional Officer, nova função obrigatória, responsável pelos dados na empresa) Avaliação e Apoio jurídico Avaliação de Segurança e Infraestrutura e Sistemas de Tecnologia Treinamento e Conscientização Preparação dos colaboradores e demais stakeholders para a mudança Monitoramento do plano de ação e Sustentação das mudanças às rotinas da empresa Somos especialistas em estratégia, cultura e mudanças. Conte com a gente! .fb-background-color { background: !important; } .fb_iframe_widget_fluid_desktop iframe { width: 100% !important; }