As empresas precisam capacitar e treinar os seus funcionários porque boa parte dos ciberataques só se concretiza a partir da falha humana
Marcelo Chiavassa (*)
Um estudo divulgado recentemente pelo Índice de Gerenciamento de Acesso de 2021 da Thales apontou que 90% das empresas brasileiras estão preocupadas com riscos e ameaças à segurança devido ao trabalho remoto de seus funcionários. Parece-me que essas empresas estão bastante alinhadas com o que está acontecendo no mundo.
De fato, hoje um dos principais problemas quando a gente pensa em vazamento de dados, segurança das informações, são os ataques cibernéticos. Existe uma tendência de crescimento disso. O Brasil, principalmente nos últimos dois anos, teve um aumento exponencial e praticamente toda semana a gente se depara com um novo incidente de vazamento de dados, seja por descuido da empresa, seja por ataques cibernéticos.
É realmente um ponto que as empresas precisam melhorar, devendo estabelecer políticas de segurança da informação. Elas precisam capacitar os seus funcionários sobre isso porque boa parte desses ataques só é possível a partir da falha humana do funcionário que clica num link malicioso e, a partir disso, todo aquele conteúdo, o banco de dados da empresa, acaba sendo criptografado e a empresa perde acesso a ele. Depois vem toda a discussão de pagar ou não o resgate para conseguir recuperar esses dados. Então a capacitação e treinamento dos funcionários é um ponto muito importante.
Investir mais em treinamento
Boa parte das empresas acabam ignorando isso na prática, achando que ter um bom documento de política de segurança da informação é suficiente, quando é necessário investir mais em treinamento.
Em relação ao tema de multifatores, também há outro ponto extremamente importante: a capacitação dos funcionários para que eles entendam o porquê de se utilizar sistema de multifatoração. Isso vale não só para as empresas, mas para qualquer pessoa física que queira ter um pouco mais de segurança sobre os sistemas que utiliza propriamente.
A questão da segurança da informação, no período de pandemia e do home office, é a mesma questão de falta de treinamento. É preciso capacitar os funcionários para que possam entender a importância de proteger dados mesmo remotamente e de tomar cuidados com o sistema. Muitas empresas têm dados confidenciais que não podem ultrapassar a figura do empregado. Isso significa que, por exemplo, um filho ou um amigo que estejam na casa não possam ter acesso a essas informações.
Sobre os riscos jurídicos para os trabalhadores, para aqueles que vazarem dados de propósito, eles vão incidir na responsabilidade penal, que pode ser penal de vazamento de segredo, e do ponto de vista civil vão agir de má fé. Isso não exclui a responsabilidade da empresa, que vai acabar respondendo perante os lesados, mas a empresa terá uma possibilidade de ação de regresso contra o funcionário que fez isso.
Na esfera penal, aí sim o funcionário será responsabilizado sozinho, mas na esfera civil a responsabilidade recairá sobre a empresa, que por sua vez terá uma ação de regressão com o funcionário. Se o funcionário fizer isso por engano, ainda assim pode vir a ser responsabilizado quando comprovada negligência e imprudência em perícia, que são um dos elementos que caracterizam a culpa. Na esfera penal, pode vir a acontecer se preencher os requisitos penais.
Vigência da LGPD
As empresas que não tomarem cuidado com segurança da informação podem ter vários problemas, principalmente agora com a Lei Geral de Proteção de Dados. A LGPD estabelece o dever de as empresas zelarem pelos dados pessoais que coletam, e nem toda informação que uma empresa tem é dado pessoal. Por exemplo, numa planilha financeira, se não tiver um nome, um CPF, nada que identifique alguém, não é dado pessoal, mas são dados importantes para a própria organização.
Então, um incidente de segurança da informação pode fazer com que segredos comerciais sejam revelados, ou então que resulte em um vazamento de dados pessoais e aí você tem as sanções e punições previstas na Lei Geral de Proteção de Dados.
Se a empresa não tiver política de segurança da informação, é preciso conversar e falar sobre os riscos que ela está correndo. O funcionário não tem muito o que fazer para que ele não possa ser responsabilizado.
Se a empresa tiver política de segurança, siga-a à risca. Se ela não tiver, vale a pena conversar com o gestor da área para que se pense na segurança. Senão, convém ao empregado ser o mais conservador possível, não transferindo dados para um drive USB, não entrar no e-mail pessoal, a menos que haja necessidade em razão do trabalho.
Quando se trata de segurança digital e trabalho remoto, o melhor conselho é ser o mais cauteloso e responsável possível. Assim você se blinda para fazer seu trabalho de forma segura para a empresa e principalmente para você.
(*) Professor de Direito Digital da Universidade Presbiteriana Mackenzie Campinas.