Com o amadurecimento das legislações de proteção de dados pessoais ao redor do mundo – inclusive no Brasil, onde a LGPD (Lei Geral de Proteção de Dados Pessoais) completa 6 anos hoje, 14 de agosto de 2024 – implementar um programa de governança sólido em proteção de dados pessoais deve ser visto como uma prioridade estratégica para organizações de todos os setores.
Importante lembrar que a governança de dados pessoais dentro da empresa é critério para atenuação e redução de multas sob a LGPD. Assim, ter políticas, mapeamento de dados pessoais, treinamentos, contratos de compartilhamento de dados, encarregado pela proteção de dados pessoais nomeado, não somente no papel, mas efetivamente, é um investimento – mais do que um custo.
Nesse sentido, o relatório “Cost of a Data Breach 2024“, recentemente publicado pela IBM e o tradicional relatório “Cisco Cybersecurity Readiness Index 2024”. (“Relatórios”) mostram o impacto financeiro de incidentes de segurança da informação para as organizações.
Para se ter uma ideia, o custo médio global de uma violação de dados aumentou 10% em relação ao ano anterior, atingindo US$ 4,88 milhões – o maior aumento registrado desde a pandemia. Os Estados Unidos continuam liderando como o país onde essas violações são mais caras, impulsionadas principalmente por interrupções nos negócios e pelas respostas pós-violação, que elevam significativamente os custos.
No Brasil, o custo médio de um incidente de segurança da informação chegou a US$ 1,36 milhão, refletindo um aumento em relação ao ano anterior, embora o país permaneça na 16ª posição entre os 16 países e regiões analisados pelo Relatório. Este cenário destaca a necessidade de as organizações brasileiras investirem urgentemente em soluções de segurança da informação para mitigar riscos. E levarem a LGPD a sério.
Avanços na inteligência artificial (IA) e na disponibilidade geral de recursos como IA generativa estão capacitando atores mal-intencionados a implementar soluções mais sofisticadas e ataques direcionados.
Abaixo, seguem alguns comentários do time de Privacidade e Proteção de Dados Pessoais do Cascione Advogados sobre os principais pontos do Relatório:
Dados Pessoais e Propriedade Intelectual
O Relatório aponta que quase metade dos incidentes de segurança da informação analisados envolveu dados pessoais (46%) ou ativos de propriedade intelectual (43%), ressaltando a importância de proteger esses ativos críticos.
Impacto por Setor: Saúde e Indústria Sob Pressão
O setor de saúde continua sendo o mais afetado por incidentes de segurança da informação, com um custo médio de US$ 9,77 milhões por incidente. Os setores industriais também experimentaram aumentos significativos nos custos relacionados a um incidente, com um incremento médio de US$ 830.000 por incidente.
Quase dois terços das organizações planejam aumentar seus investimentos em segurança da informação após serem vítimas de um incidente, destacando a necessidade de fortalecer os programas de governança em privacidade, proteção de dados pessoais e segurança da informação nesses setores críticos antes de qualquer incidente ocorrer.
Uso de IA e Automação: Oportunidades e Riscos
A integração de ferramentas de Inteligência Artificial (“IA”) e automação nos processos relacionados à segurança da informação tem se mostrado uma estratégia eficaz para reduzir significativamente os custos de incidentes. Organizações que adotam essas tecnologias podem economizar até US$ 2,2 milhões por violação, acelerando a detecção e a resposta a incidentes.
No entanto, apesar do potencial da IA generativa, o Relatório revela que apenas 24% das iniciativas são devidamente protegidas, representando um risco significativo de exposição de informações. Para mitigar esses riscos, é consenso entre os especialistas ser necessário desenvolver um framework robusto que garanta a segurança das informações e segredos de negócios, modelos e uso de IA generativa, incluindo controles de governança eficazes.
Considerações Finais
Para as organizações brasileiras, a mensagem é inequívoca: a segurança da informação é prioridade estratégica em um ambiente digital, assim como a governança em proteção de dados pessoais e em inteligência artificial. Nosso escritório está capacitado para atendê-los em ambas as frentes.