A ESG e a Segurança de Dados têm ligação?

*por Ryan Lasmaili, sócio fundador da Vaultree

A ESG (Environmental, Social and Corporate Governance, em tradução livre: meio ambiente, social e governança corporativa) é um conceito que já existe há algum tempo e está cada vez mais ganhando relevância no mundo corporativo. Cada vez mais os fundos de investimento têm pautado suas carteiras e aportes em empresas que seguem os padrões de boas práticas nestes pilares. A preocupação e a responsabilidade de uma empresa em proteger seus dados e de seus clientes se tornou destaque nos últimos anos por conta da LGPD - que se encaixa como uma questão de governança corporativa. Agora, há leis que obrigam que as empresas protejam os dados sensíveis de seus clientes e que sejam transparentes em relação ao uso dessas informações. 

 

A pandemia do Covid-19 levou as pessoas a trabalharem de casa. Isso acarretou em compras de mais produtos - muitos deles inteligentes, com acesso à internet e a dados pessoais valiosos. O notebook da empresa passou a se conectar a internet caseira, menos segura que a conexão de ambiente profissional, e piratas online se aproveitaram da vulnerabilidade da população, adotando novas tecnologias, mais rápidas que o normal, e se aproveitando do momento de pouca segurança online dos funcionários. 

 

Isso resultou no aumento considerável de ataques cibernéticos. Ransomware, um tipo de ataque que sequestra dados ou sistemas em troca de pagamento de resgate, cresceu 64% entre agosto de 2020 e julho de 2021, de acordo com um relatório da empresa Barracuda. São inúmeros os casos e a maioria passam despercebidos do público geral. Isso acontece porque as empresas não estão interessadas em tornar pública as suas fragilidades. 

 

Alguns ataques se tornaram mais famosos e acabaram aumentando o interesse e a preocupação dos executivos, consumidores e investidores nesse tipo de risco ESG. O ransomware na Colonial Pipeline, que aconteceu em maio, impactou a produção do sistema de oleodutos do sudeste dos Estados Unidos, causando pânico entre os consumidores. A empresa precisou pagar US$4,4 milhões para que os hackers liberassem o sistema. Mas há exemplos de ataques similares no Brasil também, como a JBS, Lojas Renner, Cosan, entre outras gigantes de diferentes indústrias que foram impactadas e viram o resultado imediato em suas operações.

 

A proteção de dados e segurança digital tornou-se uma das maiores preocupações ESG atuais. Nesse contexto, as empresas não podem se dar ao luxo de serem vulneráveis, não só pelo custo que os ataques podem gerar, mas também pelo custo de oportunidade perdida a cada investidor que eventualmente pode decidir se afastar de empresas desprotegidas.

 

Então a pergunta que fica é: Como se proteger? Por incrível que pareça, na maioria das vezes, os criminosos não usam tecnologias super avançadas e códigos complexos para hackear um sistema, eles apenas fazem login com uma conta e senha válida. Isso resulta em outra pergunta: Como? Os métodos mais comuns são o uso de senhas que vazaram em outros ataques e são reutilizadas pelas pessoas. Ou seja, a maior vulnerabilidade continua sendo o ser humano.

 

É essencial que as pessoas tenham cuidado e consciência dos principais métodos de acesso e que as empresas instituem medidas de segurança básica. Algumas dicas são: autenticação múltipla, uma ferramenta que até as mais comuns redes sociais já oferecem para seus usuários; troca forçada e frequente de senhas, para evitar reutilização; um bom software antivírus; e criptografia de dados. Ransomware e outros tipos de ciberataques já são uma realidade. Qualquer empresa ou cidadão privado podem ser alvos desses ataques que se multiplicam a cada momento. Para reduzir os riscos, há medidas básicas que precisam ser tomadas - e ferramentas seguras a serem implementadas nos sistemas.

 

A criptografia de dados sigilosos é o futuro e há tendências despontando no mercado. Um bom exemplo são as técnicas PET (Privacy-Enhancing Technology ou tecnologia para aumentar a privacidade, em tradução livre), um conjunto tecnológico de ferramentas que ajudam a manter a privacidade de informações. Segundo dados do Gartner, até 2025 60% das maiores organizações do mundo irão adotar PET para processamento de dados em ambientes suspeitos e em casos de uso de análise de dados, os protegendo da interferência e acesso de terceiros.

 

Outras duas formas de proteção que vale a pena ficarmos de olho são: a criptografia totalmente homomórfica (FHE) e a criptografia pesquisável (SE), principalmente empresas que utilizam plataformas de nuvem para armazenamento de informações e que precisam de atenção redobrada. Com ela é possível operar e modificar os dados na forma criptografada sem precisar divulgar as chaves de descriptografia. Aqui é importante ressaltar que as ferramentas FHE desenvolvidas até o momento não são eficientes o suficiente para serem usadas em produtos comerciais.

 

Já com a criptografia Pesquisável, ou buscável, é muito mais eficiente nesse quesito, pois com ela é possível uma coleção de documentos (desde PDFs e JPEGs, até banco de dados) seja pesquisada e os resultados sejam recuperados, tudo de forma criptografada. Além disso, as empresas podem usar computação confidencial, onde as informações são isoladas e protegidas. O armazenamento de dados e a execução de código só são permitidas em um ambiente confiável, baseado em hardware. Atualmente, muitos provedores de nuvem já oferecem computação confidencial como parte de seus serviços e as empresas podem aumentar ainda mais a proteção procurando outras soluções e provedores de criptografia. Os casos de ataques Ransomware que comentei poderiam ter sido evitados se as empresas tivessem criptografado seus dados sensíveis com tecnologias realmente fortes.