Fonte: blog da AIG
Os ataques cibernéticos são um dos principais riscos identificados pelo Relatório Global de Riscos, divulgado anualmente pelo Fórum Econômico Mundial com o objetivo de estudar a interconexão do nosso mundo e o impacto que ações podem ter em escala global. Desde que passaram a constar dessa lista, em 2012, ano a ano, esses riscos vêm subindo mais para perto do topo da lista pela probabilidade de ocorrência e impacto que trazem.
Em um mundo no qual, pela facilidade, cada vez mais vendas são feitas via e-commerce, toda atenção é pouca para quem resolve investir nesse canal de negócio. Basta um pequeno descuido e o prejuízo pode ser incalculável.
Um dos maiores incidentes recentes de segurança ocorridos no Brasil, o vazamento recente de dados de quase dois milhões de clientes da Netshoes, é um exemplo do que pode ocorrer em um cyber-ataque. Em acordo extrajudicial com o Ministério Público do Distrito Federal, que evitou uma ação civil pública, a empresa teve de desembolsar R$ 500 mil e se comprometer a reforçar a segurança de sua loja virtual. Se descumprir a medida, fica sujeita a uma ação coletiva no valor de R$ 10 milhões, somada a um processo por danos patrimoniais com potencial de indenização de até R$ 85 milhões.
E você? Está precavido de fraudes e ameaças cibernéticas na sua plataforma de e-commerce? Tomou todas as medidas de segurança necessárias para proteger os dados de seus clientes contra acessos não autorizados e / ou divulgações? Sua infraestrutura de TI é segura e confiável para sua operação?
Tiago Lino, especialista em riscos cibernéticos da AIG, uma das maiores seguradoras do mundo, com 100 anos de experiência e conhecimento em mais de 80 países e presente no Brasil há 70 anos, lista, abaixo, os principais riscos de segurança para negócios, baseada na experiência da companhia em ajudar clientes que já passaram por esse tipo de situação, e que as plataformas de e-commerce devem investir:
• Servidores externos com acesso remoto combinados com senhas fracas. Isso oferece uma oportunidade para a introdução de malware (qualquer parte de software que tenha sido feita para causar danos a dados, dispositivos ou pessoas) e ransomware, uma espécie de código malicioso que torna inacessíveis os dados armazenados em um equipamento, geralmente usando criptografia, e que exige pagamento de resgate -ransom – para restabelecer o acesso ao usuário. O acesso remoto deve ser cuidadosamente controlado.
• Protocolos de login fracos. O risco de phishing (o hacker se passa por uma pessoa confiável) é significativamente reduzido se a autenticação de dois fatores estiver ativada, requerendo uma segunda chave para acesso à conta. No mínimo, isso deve ser adotado para diretores de negócios e parceiros e funcionários envolvidos nos pagamentos.
Lei Geral de Proteção de Dados – Além dos itens acima, a empresa de e-commerce deve se adaptar à Lei Geral de Proteção de Dados (LGPD), sancionada em agosto de 2018, pelo presidente Michel Temer, com o objetivo de aumentar a privacidade de dados pessoais e o poder das entidades reguladoras para fiscalizar organizações.
Entre os fatores que levaram à aprovação do projeto de lei brasileira foi o GPDR, regulamento similar aprovado pela União Europeia em maio de 2018. Como este documento tem aplicabilidade extraterritorial, muitas empresas brasileiras já tiveram que se adequar para esta nova realidade.
De todo modo, as empresas têm até agosto de 2020 para se adaptarem à LGPD. A nova lei prevê sanções para quem não tiver boas práticas. Elas englobam advertência, multa ou até mesmo a proibição total ou parcial de atividades relacionadas ao tratamento de dados. As multas podem variar de 2% do faturamento do ano anterior até a R$ 50 milhões, passando por penalidades diárias.
