São £ 183 milhões para a British Airways por violações de cartão de crédito, nomes, endereços e detalhes de reservas.

O órgão de fiscalização de dados do Reino Unido anunciou planos para multar a companhia aérea British Airways em um recorde de £ 183 milhões em relação à violação de dados do ano passado. O Gabinete do Comissário de Informação (ICO, Information Commissioner’s Office) disse que "acordos de segurança deficientes" na empresa levam à violação de informações de cartão de crédito, nomes, endereços, detalhes de reservas de viagens e logins para cerca de 500.000 clientes. A multa seria a maior que a ICO já emitiu, muito mais do que a multa de 500 mil libras contra o Facebook pelo escândalo Cambridge Analytica que afetou milhões de pessoas. A British Airways terá agora 26 dias para recorrer da decisão antes de ser finalizada.

Em um comunicado, a comissária de informação Elizabeth Denham disse que a perda de dados pessoais é "mais do que uma inconveniência" e disse que as empresas devem tomar as medidas apropriadas "para proteger os direitos fundamentais de privacidade. Os dados pessoais das pessoas são apenas isso - pessoais. Quando uma organização falha na proteção contra perda, dano ou roubo, é mais do que uma inconveniência. É por isso que a lei é clara - quando você recebe dados pessoais, precisa cuidar deles”.

Sua empresa está preparada para a LGPD?

O Brasil também deu um passo importante em direção a proteção de dados. Em julho de 2018, foi aprovada a lei geral de proteção de dados pessoais, incluindo o País no hall das nações com legislação sobre o tema. O texto garante maior controle dos cidadãos sobre suas informações pessoais: exige consentimento explícito para coleta e uso dos dados, tanto pelo poder público quanto pela iniciativa privada, e obriga a oferta de opções para o usuário visualizar, corrigir e excluir esses dados.

Segundo Matheus Baeta, diretor da OTRS Brasil, fornecedora líder de soluções para gerenciamento de processos e comunicação, o marco legal é o ponto de partida para a implementação de uma estratégia social que coloque o indivíduo no controle efetivo dos seus dados pessoais. “Sem a LGPD, o Brasil perderia oportunidades de investimentos financeiros internacionais em razão do isolamento jurídico”, esclarece o executivo.

A lei brasileira prevê advertências e multas de até R$ 50 milhões por infração, além de proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados. Mas a maioria das empresas brasileiras não está preparada para tais níveis de conformidade. “É preciso que as corporações busquem tecnologia e know-how de processos que estejam de acordo com a nova lei, de forma a evitarem transtornos operacionais e econômicos. Será essencial que as empresas registrem incidentes de segurança de TI e as documentem legalmente”, explica Baeta.

A OTRS, como especialista em ambientes de segurança, fornece as seguintes recomendações para ajudar as empresas com a segurança da informação:

Elabore uma estratégia - Pequenas, médias e grandes empresas, além das instituições governamentais, precisam elaborar suas estratégias. É útil criar Relatórios para Incidentes de Segurança e dedicar uma pessoa responsável por eventos relacionados à segurança. Isso pode criar uma documentação centralizada que mantém todos conscientes do que está acontecendo.

Busque especialistas experientes - Além da lei de proteção de dados pessoais, outras regulamentações legais para proteção de dados e processos de segurança de TI aplicam-se a setores críticos, como provedores de serviços financeiros e seguradoras. As empresas nem sempre têm tempo para verificar todos os regulamentos e determinar se são relevantes para seus negócios. Portanto, não hesite em consultar especialistas experientes externos com perguntas sobre as diretrizes e conformidades.

Defina processos de segurança claros - É importante que todas as empresas estabeleçam processos e responsabilidades claras para lidar com eventos relacionados à segurança. As seguintes questões devem estar entre as consideradas:

1. Como você define um incidente de segurança?
2. Quando exatamente um incidente precisa ser relatado?
3. Quais dados ou processos devem ser protegidos?
4. Qual é o impacto potencial do incidente?
5. Quem deve ou pode ser informado de um incidente?
6. Em que ordem e em que período deve ocorrer a comunicação?

Centralize os processos digitais - Para documentar os eventos de segurança e as medidas correspondentes tomadas para mitigar a situação de maneira segura, sistemas como o STORM da OTRS estão disponíveis. Eles atuam como o backbone técnico dos processos de segurança de TI, suportam a comunicação relacionada a incidentes e armazenam a documentação no caso de auditorias posteriores. Eles tornam possível definir processos específicos para cenários de ameaças, conceder acesso baseado em função aos usuários e permitir a comunicação criptografada entre usuários claramente autenticados, de modo que os ataques sejam tratados rapidamente e a documentação apropriada seja capturada.

Segurança é um processo contínuo - Uma vez estabelecidos, os processos de segurança de TI se tornam uma parte cotidiana de suas atividades comerciais. No entanto, deve-se considerar que os regulamentos, processos e requisitos podem mudar de novo e de novo. É por isso que as empresas devem se manter atualizadas. Para desenvolver know-how de segurança e desenvolver uma equipe de segurança de TI, o profissional deve se conectar com outros agentes de segurança e ficar por dentro das mudanças no setor.