Inspirada na legislação europeia sobre proteção de dados pessoais, conhecida como GDPR (General Data Protection Regulation), a Nova Lei Geral de Proteção de Dados foi sancionada pelo presidente Michel Temer no mês de agosto. Com isso, todas as empresas terão um prazo de 18 meses para se preparar para um conjunto de normas que regem a forma com que os negócios usam e coletam dados de seus clientes.
Embora o Regulamento não tenha estabelecido tratamento diferenciado para PMEs, seus impactos para esse perfil de negócio são alvo de dúvidas e preocupação. Isso porque a empresa terá que notificar a autoridade do governo se houver uma ruptura e fuga de dados. Se não for comprovado que a empresa criou métodos para resguardar estes dados, a lei prevê multas de até 2% do faturamento ou R$ 50 milhões. Ou seja, um incidente como este pode decretar a morte de um negócio.
Essa ameaça coloca a discussão sobre segurança da informação de uma vez por todas na pauta do pequeno e médio empresário brasileiro. Embora a lei seja benéfica por gerar mais controle sob como os dados pessoais são usados pelas empresas (o que já se mostrava necessário pelos casos de vazamentos que se tornaram notórios), é inevitável que ela traga um peso a mais ao já combalido bolso da PME brasileira.
A boa notícia é que, nos dias atuais, não é tão complicado assim preparar sua empresa para se adequar à nova lei e garantir a segurança de seus dados digitais. Na era do software como serviço, e até mesmo do equipamento como serviço, não há mais a necessidade de se fazer investimentos iniciais pesados na compra de servidores ou na compra de licenças de antivírus, por exemplo. Para manter uma estrutura de segurança da informação, ele pode simplesmente contratar uma empresa e pagar por um serviço.
E o que deve conter nessa estrutura básica? O primeiro passo é contar com uma barreira entre a internet e a rede dele interna da pequena empresa, onde normalmente ficam armazenados dados, muitas vezes em Word ou planilha de Excel. Para isso, deve-se usar o chamado Firewall.
Um ponto importante é que a Lei modifica pontos do marco legal da internet e obriga o gestor da empresa a armazenar historicamente, por pelo menos seis meses, quem está acessando que tipo de dado em sua rede. Ele precisa identificar e indicar quem foi a pessoa que cometeu a ilegalidade. Com um firewall, ele consegue ter uma camada de proteção e está resguardando o dado, que é o primeiro ponto de compliance apontado na lei.
Uma boa dica é avaliar se a ferramenta contratada conta com proteção específica para sequestro de dados, que hoje representa cerca de 50% dos ataques em PMEs no Brasil.
A proteção também deve se estender aos computadores e dispositivos ligados à rede, por isso ter um antivírus (ou antimalware) é fundamental. Isso impedirá que um invasor externo acesse dados existentes dentro desse equipamento, ou mesmo o use como porta de entrada para acessar outros equipamentos que armazenam dados.
Embora os ataques sejam a forma mais comum de vazamento de dados, o empreendedor deve estar atento também às ameaças internas. Ferramentas de monitoramento de e-mail e de uso das portas USB são necessárias para garantir que nenhum dado seja extraviado. Para se proteger contra este tipo de ameaça, o empresário terá que avaliar a restrição a serviços de armazenamento em nuvem e e-mails pessoais por parte dos funcionários, o que também é possível com um bom firewall.
Uma última dica, mas não menos importante, é algo básico para qualquer empresa que mantém uma rede de computadores: mantenha os sistemas operacionais dos equipamentos sempre atualizados, o que garantirá que não exista um ataque por meio de brechas que sempre acabam aparecendo. Este tipo de ataque também vem se tornando bastante comum.
É natural que a nova lei mexa com a pequena empresa e traga alguns transtornos para esse processo de adaptação, que durará um ano e meio. Ainda assim, não há dúvidas que a lei será benéfica e colocará o Brasil no mesmo patamar de mais de 100 países no que diz respeito à proteção de dados, o que dará mais segurança para todos: empresários, investidores, colaboradores e consumidores.