Os vazamentos de dados estão cada vez mais comuns no Brasil e no mundo. Já comentamos algumas vezes sobre esses vazamentos e o seu impacto para a sociedade e as próprias empresas que os sofreram. Um dos fatores determinantes para esse impacto, e até mesmo para o fato de o vazamento acontecer ou não, é o nível de proteção que as empresas têm em cima das suas informações.
Quando falamos sobre a proteção de dados dentro das empresas, a conversa geralmente vai para o lado da complexidade: mecanismos complexos de criptografia de bases de dados, sistemas de inteligência artificial para a detecção de intrusões de rede, ferramentas de controle de acesso biométrico e outras tecnologias sofisticadas. Elas são empregadas com o objetivo de evitar o acesso indevido às informações que as empresas detêm, sejam elas internas ou dos seus clientes.
Como normalmente ocorre no universo da tecnologia, o mercado está sempre tentando empurrar a última, mais nova e moderna solução para resolver o problema. Essas soluções, no entanto, costumam ter um custo alto, tanto de aquisição quanto de implantação, e nem todas as empresas podem adquiri-las. Muitas soluções “low-tech” de proteção de dados podem ser bem efetivas, e, na maioria dos casos, podem ser adotadas de forma mais simples e rápida.
Guarde apenas o necessário
A primeira técnica simples que todas as empresas deveriam praticar é a minimização das informações. Com o avanço dos conceitos de big data, criou-se um mito de que todas as informações são importantes e fundamentais para as empresas porque podem ser utilizadas na construção de modelos e no desenvolvimento de inteligências artificiais para otimizar os negócios. Embora ter uma grande quantidade de informações possa realmente ser uma vantagem competitiva, a verdade é que a maior parte das empresas guarda muito mais informações do que o necessário, principalmente sobre os seus clientes.
Vamos pegar, por exemplo, as informações coletadas para ações de CRM. Muitas empresas gostam de fazer ações de comunicação com os seus clientes na data de aniversário, mandar um parabéns ou algum brinde especial. Naturalmente, para poder fazer isso, as empresas coletam o nome e a data de nascimento dos indivíduos, geralmente no cadastro inicial, e armazenam esses dados em suas bases internas. Se pararmos para pensar, no entanto, é fácil perceber que esses dados não são necessários. Para fazer uma promoção de aniversário, você só precisa saber o mês, ou, no máximo, o dia e o mês em que a pessoa nasceu. O primeiro e o último nomes são, geralmente, mais do que suficientes para qualquer campanha de relacionamento.
Na vasta maioria dos casos, as empresas coletam e armazenam muito mais informações sobre seus clientes do que é necessário, dificultando o processo de proteção desses dados e aumentando o risco que estão correndo no caso de qualquer incidente. Minimizar os dados armazenados não só protege os donos originais das informações, mas também as próprias empresas. Mapeie quais são as informações que você realmente precisa no seu negócio, e procure se desfazer do resto. Os dados que você não tem são impossíveis de serem roubados ou vazados.
Plante “sementes”
A segunda técnica que todas as empresas deveriam conhecer é a adição de “sementes” aos dados. Sementes são informações falsas ou distorcidas que você pode incluir em sua base de dados, seja como novos registros de informação, ou como parte dos registros já existentes. Elas têm três principais objetivos: ajudar a identificar se uma base de dados vazada ou roubada é realmente sua ou não; apoiar no rastreamento de quem está utilizando os dados de maneira indevida; e adicionar um grau de proteção aos dados, dificultando o seu uso por terceiros.
A maneira de “plantar” essas sementes é muito simples. Imagine que você tem uma base de dados de clientes, com informações como nome, telefone, endereço e e-mail das pessoas. Junto com os clientes reais da sua empresa, você adiciona à sua base alguns registros de clientes falsos, com informações – principalmente as informações de contato – geradas e controladas por você. Assim, se ocorrer algum tipo de vazamento ou roubo das informações, você pode rapidamente identificar se os dados vieram da sua base ou não. E se alguém tentar entrar em contato com um desses clientes falsos, o contato vai chegar até você.
A ideia é similar a você ter um alarme silencioso em casa ou um rastreador no seu carro. A simples possibilidade de existência desse tipo de controle já funciona como uma proteção para os dados, porque quem quer utilizar indevidamente as informações não quer ser rastreado e correr riscos.
Conclusão
Incidentes relacionados com os dados da sua empresa são praticamente inevitáveis. Quanto mais informações as empresas possuem, mais atraentes elas se tornam como alvos para ataques, sejam eles internos ou externos. Logo, a proteção desses dados é uma obrigação legal da empresa dentro da LGPD, além de ser uma boa prática de negócios. Essa proteção não precisa ser feita apenas com soluções complexas e caras. Algumas medidas simples e de baixo custo podem ser adotadas por todas as empresas para diminuir os riscos que estão correndo e deixar todos mais tranquilos. Se você conhece outras medidas “low-tech” para a proteção dos dados, não deixe de contar nos comentários.