Cada vez mais as organizações têm capitalizado suas marcas através da vinculação de seus produtos e serviços ao mais alto nível tecnológico, conectando sua atuação a modelos complexos de inteligência artificial e automação. É fato que não apenas o mundo corporativo, mas toda a sociedade tem vivenciado uma transição gradual e recorrente ao contexto digital, valendo-se, sempre que possível, de ferramentas que simplificam o trabalho, garantem maior segurança, impulsionam os negócios e tornam o dia a dia mais simples. Contudo, também é sabido que o ambiente digital apresenta seus riscos.
A utilização em larga escala de dados pessoais, especialmente a partir do advento de smartphones e redes sociais em meados dos anos 2010, impulsionou discussões sobre novas regulações acerca de privacidade e proteção de dados pessoais. Também, o caso Snowden de espionagem norte americana trouxe a reboque discussões sobre legislações ao ambiente online que, no Brasil, culminaram com o Marco Civil da Internet. Atualmente, os debates sobre ferramentas de inteligência artificial e seus impactos sociais têm inflado a percepção geral pela necessidade de sua regulamentação. Diante de todos esses exemplos, o que se percebe, portanto, é que cada vez mais temos investido em construções regulatórias robustas em face de consequências mais ou menos danosas ao tecido social, ainda mesmo que no campo das suposições. Se por um lado as iniciativas legislativas são soluções importantes, criando um ambiente de conformidade regulatória, por outro têm se mostrado vulneráveis, além de complexas de serem aplicadas na prática, demandando um grande esforço de acompanhamento dos entes fiscalizatórios. Estaríamos “viciados” em regular e esquecendo o básico?
Do lado do mercado, especificamente sobre segurança da informação, ferramentas robustas têm cada vez mais sido implementadas pelas organizações no intuito de se precaverem de danos oriundos de ataques cibernéticos. Custosas e sofisticadas, essas soluções, contudo, não devem ser encaradas como a última fronteira de proteção do ambiente empresarial. Na realidade, são apenas mais uma das camadas a serem observadas pelos times internos no processo de construção de uma metodologia de proteção eficaz. Por isso, os modelos de governança tanto em segurança da informação quanto em privacidade e proteção de dados, além de inteligência artificial, são também uma excelente maneira de estabelecer controles rigorosos para a construção de uma metodologia adequada ao nível de exigência que o mundo digital determina. Mais uma vez, contudo, tais ferramentas não são capazes de abarcar todos os cenários possíveis no que se refere a vulnerabilidade das organizações, em especial sobre as informações sob sua custódia.
Além dos desafios técnicos e jurídicos para a efetiva observância dos níveis de segurança exigidos pelas legislações aplicáveis, além das normas e boas práticas de mercado aplicadas, um fator excessivamente importante vem sendo reiteradamente esquecido ou até mesmo banalizado, escanteado, embora seja tão ou mais prejudicial que os demais: o fator humano.
Por mais robusto e elaborado que seja um ambiente empresarial em termos de segurança da informação e utilização adequada dos dados pessoais, pesquisas recentes apontam que o erro humano segue sendo um dos principais fatores de falhas, acidentais ou ilícitas, acerca da manipulação das informações1. Desde o compartilhamento de acessos, repetição de senhas fracas, não percepção de ameaças online, compartilhamento ou eliminação equivocada de informações, entre outras situações corriqueiras no contexto corporativo, fato é que tais práticas expõem o lado mais frágil de toda organização.
É fundamental que os times internos deem um passo atrás quando o assunto é segurança da informação e conformidade regulatória com as legislações aplicáveis, especialmente em privacidade e proteção de dados e IA, no sentido de avaliarem o seu ambiente corporativo quanto ao engajamento. De pouco adianta a implementação de ferramentas tecnológicas robustas de proteção quando não há, viva dentro das organizações, a cultura e percepção do valor acerca das informações gerenciadas, seu potencial impacto negativo aos negócios em caso de mau uso, além da importância que cada um dos colaboradores possui quanto a sua salvaguarda. A garantia dos níveis adequados de segurança e conformidade regulatória, antes de mais nada, passa pelo engajamento de cada um dos colaboradores com o modelo de governança implementado, o transformando em mais uma ferramenta a ser utilizada em seu dia a dia. Trata-se, pois, de um modelo a ser construído em várias camadas dentre as quais tais soluções tecnológicas devem ser implementadas ao lado de inúmeras outras práticas complementares e não em substituição.
Olhar no retrovisor das metodologias implementadas no ambiente empresarial é fundamental para avaliar falhas e propor soluções. Em especial, as organizações devem voltar a priorizar ações de conhecimento e conscientização acerca das melhores práticas em tais matérias. Quando o assunto é disseminação e aculturamento do cenário corporativo, práticas simples como treinamentos não podem ser substituídas ou subestimadas em detrimento de ferramentas robustas ou tecnologias inovadoras. O fator humano ainda é, e será por muito tempo, um dos elos mais sensíveis quando o assunto é segurança, privacidade e proteção de dados e inteligência artificial.
Em um caso que já é paradigmático para o tema, criminosos efetuaram o que já é tido como o maior golpe financeiro da história do Brasil através de uma tática bastante simples: explorar, por meio do pagamento de suborno, o operador humano do sistema, fazendo com que realizasse operações indevidas e introduzisse códigos maliciosos, promovendo um golpe de aproximadamente R$500 milhões de reais até o momento2.
É evidente, portanto, que a construção de um ambiente saudável e seguro do ponto de vista de segurança da informação, privacidade e proteção de dados e IA seja composto por múltiplos fatores constituintes, não devendo haver sobreposição ou priorização entre as ações de maneira geral. A implementação de recursos tecnológicos que permitem reduzir as vulnerabilidades técnicas e operacionais deve ser acompanhada de perto de outras práticas, talvez menos estimulantes aos times internos, como treinamentos constantes, ações de conscientização e palestras, além da construção de políticas e procedimentos robustos, aplicáveis e observáveis no dia a dia empresarial. Trata-se na realidade não da implementação de ações pontuais per se, mas sim do desenvolvimento de um ecossistema de segurança, ou seja, da implementação em conjunto de práticas para a garantia da conformidade.
O simples também é importante e bonito e não pode ser esquecido, ainda que em tempos de inteligência artificial e ameaças tecnológicas cada vez mais elaboradas.
