O Brasil conta, hoje, com 6,4 milhões de empresas. Desse total, 99% é formado de pequenas empresas (dados do Sebrae). Universo que se espalha por todas as regiões e segmentos, o mundo SMB passa por uma forte transformação digital. Um estudo do IDC Brasil aponta, no entanto, que 70% das SMB brasileiras enfrentam dificuldades em sua jornada digital. Garantir a segurança da informação é um desses desafios.
Neste contexto, o alinhamento da pequena empresa à Lei Geral de Proteção de Dados (LGPD) é uma das maiores batalhas.
Até agosto de 2020 todas as empresas brasileiras terão de seguir as regras da LGPD. As punições a quem não seguir a lei podem chegar a 2% do faturamento da empresa – o limite da multa é R$ 50 milhões. Para fiscalizar o mercado, o governo brasileiro criou, no final de 2018, a Agência Nacional de Proteção de Dados (ANPD), órgão que responde diretamente à presidência da República.
Mais do que revolucionar a privacidade dos dados da pequena empresa, a LGPD será a métrica pela qual grandes corporações irão medir seus prestadores de serviços. Diminuirá de forma sensível a tolerância a players SMB que não possam garantir a segurança e a integridade dos dados de seus clientes. A realidade é que as ameaças digitais efetivamente incidem sobre o universo SMB.
Se tomarmos como base somente os dados do SonicWall Security Center até julho de 2018, 175 milhões de ataques de malware e 95 milhões de tentativas de invasão foram identificados no Brasil. Uma correlação simples destes dados com o número de empresas apontadas pelo Sebrae – mais de 6 milhões de CNPJs – confirma a percepção de que as pequenas empresas são alvo de ataques. Nos EUA, segundo pesquisa da National Cyber Security Alliance, mais de 70% dos ataques digitais são direcionados às pequenas e médias empresas.
A LGPD e as peculiaridades do universo SMB
Neste contexto, uma das ameaças mais preocupantes segue sendo o binômio phishing/ransomware. A falta de cultura de segurança dos funcionários do universo SMB, somada à ausência das corretas soluções de proteção fazem da pequena empresa um alvo perfeito. Pesquisa da Polícia Militar de São Paulo apontou que, em 2017, o ticket inicial de ransomware no Brasil já estava em R$ 10 mil.
Mas o pagamento do ransomware não é o maior mal.
Segundo levantamento feito pela Osterman Research em 2018 com 1000 empresas SMB europeias, o maior prejuízo vem do downtime causado pela indisponibilidade de aplicações e dados críticos para realizar negócios. Segundo este instituto de pesquisa, o tempo de inatividade da pequena empresa em caso de ataques variou de 25 a 100 horas.
Como, então, evitar esse quadro?
Inteligência Artificial e Aprendizado de Máquina
No contexto atual de insegurança, é necessário realizar uma abordagem que utilize recursos de inteligência artificial e aprendizado de máquina. Essa visão proporciona eficácia em segurança e redução de custos – dois objetivos muito presentes no universo SMB. Isso acontece porque a soma de AI com Machine Learning automatiza e integra diferentes recursos contra potenciais ameaças aos dados das organizações.
Recursos como estes proporcionam monitoramento e visibilidade de tráfego em tempo real contra ameaças e, também, definem vereditos sobre potenciais ameaças Zero Day.
Isso contribui para que a segurança de rede esteja em conformidade com a LGPD, de modo a entregar segurança em todas as instâncias do ambiente digital. Isso vale para o veículo de transmissão de ameaças: e-mail, navegadores, aplicações, arquivos, e até a memória e processadores de computadores. Essa mesma inteligência contra o crime tem de validar tanto o tráfego aberto como o criptografado, além de atuar em todas as estruturas de conectividade (redes cabeadas, sem fio, móvel ou remotas). A tecnologia deve, ainda, oferecer recursos integrados, capazes de promover a segurança dos mais diversos dispositivos, quer seja um PC ou Servidor, ou tablets, smartphones e dispositivos IoT.
Conformidade com LGPD como Serviço (“Compliance as a Service”)
Um tempero adicional desta discussão é o dilema internalizar recursos versus buscar provedores externos.
Diante da complexidade do quadro de ameaças digitais, muitos gestores têm optado por “terceirizar” parte de sua área de segurança e contratar o que o mercado denomina de provedores de serviços gerenciados de segurança, ou Managed Security Services Provider (MSSP). Quem adotar esse modelo pode contar com suporte 24×7 e garantias com base em níveis de serviço (SLA) pré-definidos e que determinam todas as obrigações do MSSP com a empresa SMB.
Este tipo de resposta, portanto, prevê a conformidade com a LGPD por meio de serviços contratados junto a terceiros. Ainda assim, é bom lembrar que os dados críticos da pequena empresa continuam sendo de responsabilidade da empresa usuária – o MSSP é um parceiro que colabora para que as métricas de segurança e privacidade sejam atingidas.
Custo Total de Propriedade (TCO)
O desafio final para a grande maioria das SMB é equacionar a matemática dos investimentos que levarão à conformidade com a LGPD. Isso vale tanto para quem opta por ser proprietário da solução de segurança (modelo on premise) como para as empresas que decidiram terceirizar todo o aparato de segurança. É fundamental estimar projeções de médio e longo prazo e pensar no custo total de propriedade, do inglês TCO (Total Cost of Ownership).
Isso envolve contabilizar custos de manutenção, despesas com a implementação da solução e capacitação dos profissionais e funcionários, além de gastos com a renovação de serviços. O valor do TCO pode variar em função de gastos com suporte local, acesso à rede de parceiros daquela solução, etc.
Mudança de atitude é a chave do sucesso
Nada disso trará resultados se os gestores da pequena empresa não se empenharem em transformar os hábitos e o entendimento de seus funcionários e colaboradores. A luta contra o crime digital vai muito além dos responsáveis pela tecnologia da empresa, sejam internos ou externos.
É fundamental que cada usuário compreenda todos os aspectos de operar seus negócios digitalmente, aceitando que, neste exato momento, existem criminosos tentando invadir empresas, roubar dados, derrubar sistemas. Vence esta guerra quem entende o mundo digital e ajusta sua atitude de acordo com essa realidade. A chegada da LGPD é uma oportunidade para empresários SMB avançarem na tratativa de seus dados internos e de seus clientes e provedores. A lei nada mais é do que um incentivo para que essa transformação aconteça, e aconteça agora.
Sobre o autor
Arley Brogiato é gerente geral da SonicWall para o Brasil