Saiba mais sobre o que é vazamento de dados e o que fazer para blindar o seu negócio em ambiente virtual.

É por meio de um cadastro em uma rede social, da finalização de uma compra ou da emissão de uma nota que são apresentadas informações pessoais na internet, para comprovar desde a identidade de uma pessoa até dados de pagamento. 

No entanto, é importante lembrar que vazamentos de dados podem acontecer, não apenas por cibercriminosos, mas também por sites e empresas; nesse último exemplo, o vazamento ocorre de forma não intencional em uma parcela considerável dos casos. 

Pensando nisso, é importante entender como agir de forma consciente e segura na internet, protegendo dados pessoais tanto de clientes quanto do negócio em si.  

A seguir, entenda quais são as causas, formas de prevenção e o que fazer após ter sido vítima de um vazamento de dados

Navegue pelo índice

    Vazamento de dados: quais são as principais causas? 

    Geralmente, os dados são coletados em diversos repositórios virtuais, como e-commerces, para comprovar a identidade de alguém, informações financeiras, entre outras finalidades diversas: desde uma compra até o simples cadastro em uma rede social. 

    Por isso, entende-se que, ao fornecer qualquer tipo de dado na internet — bem como recebê-los de pessoas físicas ou jurídicas —, realiza-se um contrato entre os dois lados, em que se pressupõe existir uma confiança mútua de que todas as informações ficarão guardadas no sistema e protegidas por ele.  

    Entretanto, há situações em que o vazamento de dados acontece, o que gera uma série de problemas entre a pessoa usuária e a empresa que gerencia o repositório virtual em questão. 

    As causas de vazamento são inúmeras e podem ir desde a falha humana até a falta de segurança. Observe a seguir algumas possibilidades:  

    • Ataques cibernéticos: criminosos cibernéticos, usando gatilhos como ransomware e engenharia social, como explicado adiante, podem invadir sistemas de segurança para roubar informações confidenciais. 
    • Descuido: funcionários podem, inadvertidamente, divulgar informações confidenciais ao enviar um e-mail para um destinatário errado, deixar documentos sensíveis em uma área pública ou compartilhar informações pessoais nas mídias sociais.  
    • Dispositivos perdidos ou roubados: laptops, tablets e smartphones podem ser perdidos ou roubados, correndo o risco de exposição das informações que estão armazenadas neles. 
    • Vulnerabilidades de softwares: programas e sistemas de software podem ter brechas de segurança que permitem a invasão por agentes maliciosos. 
    • Ataques de phishing: são tentativas de obter informações pessoais confidenciais, como as senhas, por meio de mensagens de e-mail ou outras formas de comunicação. 
    • Ataques de engenharia social: envolvem o uso de técnicas psicológicas para persuadir funcionários ou indivíduos a divulgar informações confidenciais. 
    • Uso de senhas fracas: as fáceis de adivinhar são uma vulnerabilidade comum que pode permitir que qualquer indivíduo mal-intencionado acesse informações confidenciais. 

    Desse modo, é importante que pessoas empreendedoras em geral conheçam a fundo a Lei Geral de Proteção de Dados (LGPD) para entender como agir, caso sejam vítimas de vazamentos como esses, bem como realizar a cibersegurança de forma contínua

    Leia mais 

    O que a LGPD diz sobre a violação de dados? 

    A Lei Geral de Proteção de Dados Pessoais (LGPD), lei n.º 13.709, de 14 de agosto de 2018, tem como objetivo esclarecer as regras sobre o ato de dispor e tratar dados pessoais em ambiente digital, seja de pessoas físicas, seja de pessoas jurídicas, de direito público e privado.  

    O objetivo fundamental desse dispositivo legal é o de garantir a liberdade e a privacidade das pessoas. Nesse contexto, é entendido por lei que a violação dos dados está relacionada ao: 

    • Fornecimento de informações pessoais incompletas, desatualizadas ou que não são exatas; 
    • Compartilhamento de dados com terceiros sem o consentimento do titular; 
    • Uso de dados para fins diferentes do informado ao titular; 
    • Coleta de dados pessoais sem o consentimento do titular; 
    • Compra de listas com dados de terceiros, sem a sua anuência. 

    Sendo assim, a lei foi criada para, sobretudo, penalizar organizações públicas e privadas por meio das seguintes ações: 

    Danos financeiros e multas 

    A empresa responsável que está em desacordo com a LGPD pode sofrer consequências administrativas e até penais, caso haja um vazamento de dados.  

    A depender da gravidade e da causa desse incidente, podem ser instauradas multas administrativas, que variam de 2% a 10% do faturamento global da empresa — sendo que o limite máximo é de R$ 50 milhões.  

    Indenizações também podem ser uma opção aplicável para ressarcir os titulares, assim como a proibição do tratamento de dados, a publicidade dessa infração e a penalidade criminal, como prisão, em casos mais graves. 

    Prejuízo à reputação da empresa 

    Além dessas consequências, entende-se de que existem outras reações indiretas, como danos à reputação e prejuízos financeiros à empresa que não cumpre com o investimento em medidas de segurança para realizar a proteção dos dados pessoais de seus titulares, entre outras informações que foram repassadas por eles. 

    Perda de confiança dos clientes e parceiros 

    Outra consequência indireta possível de acontecer diante de um vazamento de dados é a perda de credibilidade e de legitimidade de clientes e de parceiros.  

    Como dito antes, um acontecimento desse tipo compromete a confiança e o profissionalismo do responsável, seja pessoa física, seja pessoa jurídica, que não optou por adotar medidas eficazes de proteção e salvaguarda das informações. Por conseguinte, impacta direta ou indiretamente na experiência do usuário e em seu relacionamento com a marca em questão. 

    No caso da LGPD, as medidas são aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por fiscalizar o cumprimento da lei. Ela tem o poder de realizar investigações e inspeções em empresas e liderar acordos e cooperações com outras autoridades de proteção de dados nacionais e internacionais.   

    Como um profissional pode evitar o vazamento de seus dados? 

    A boa notícia é que existem diferentes modos de evitar a divulgação imprópria e ilegal de uma série de informações. E, para facilitar a sua vida, separamos algumas delas a seguir: 

    Medidas de segurança robustas  

    Entre as diversas ações possíveis de serem tomadas, está o uso de firewalls, antivírus, verificação em duas etapas, adoção de um certificado SSL e criptografia de dados.  

    O uso de um e-mail profissional também é bastante útil para controlar mais de perto os dados e agir em caso de vazamento. 

    Atualização de sistemas 

    Não custa lembrar: sempre mantenha o software e o hardware atualizados com as últimas correções de segurança e patches de atualização.  

    Treinamento 

    Realize treinamentos regulares com sua equipe, independentemente de ela tratar ou não as informações, para garantir que todos saibam como lidar com dados confidenciais e adotem boas práticas de segurança cibernética. 

    Políticas de segurança fortes 

    Estabeleça políticas claras e rígidas para o uso de senhas fortes e de recursos adicionais por cada utilizador, como a autenticação em dois fatores; o acesso remoto e o armazenamento de informações confidenciais, especialmente para seus funcionários.  

    Uma pessoa, cujas mãos aparecem na imagem, está utilizando um notebook e um celular para realizar a verificação em duas etapas, uma medida de segurança para proteger seus dados pessoais de acessos não autorizados. 
    Fazer a autenticação em dois fatores, utilizando aplicativos com essa funcionalidade, é uma das medidas de segurança utilizadas para se proteger de um eventual vazamento de dados pessoais.

    Auditorias regulares 

    Verifique regularmente se há vulnerabilidades nos sistemas existentes e faça testes de penetração para identificar possíveis brechas de segurança, inclusive na rede de internet utilizada por todos.  

    Backups atualizados 

    Mantenha backups regulares de seus dados para que possa recuperá-los em caso de perda ou  vazamento de dados.  

    Monitoramento constante 

    Monitore regularmente o tráfego de rede e as atividades suspeitas em seus sistemas para detectar e responder rapidamente a possíveis ataques. 

    Como identificar o vazamento de dados em uma organização? 

    Já mencionamos algumas situações antes, mas vale aprofundar ainda mais! Dentre as várias iniciativas sugeridas de segurança digital para impedir a ocorrência de um possível vazamento de dados, estão: 

    Auditorias e teste de segurança regulares 

    É importante conhecer e registrar, tornando pública a informação de quem é a pessoa ou equipe responsável pelo acesso às informações, bem como pelos sistemas e aparelhos onde ficam armazenadas. 

    Além disso, institua o princípio do privilégio mínimo. Ou seja, é importante que o acesso aos dados disponíveis para cada pessoa e sua respectiva função no negócio seja delimitado, evitando possíveis vazamentos de informações ou seu uso indevido. 

    Ainda: é interessante que sejam feitos processos como auditorias e testes de segurança em sites, por especialistas experientes e de fora da organização. Assim, é válido promover uma conscientização coletiva sobre o acesso e o uso dos dados. 

    Ferramentas para detectar vazamentos de dados 

    Adicionalmente, é válido utilizar recursos tecnológicos com o objetivo de identificar um eventual vazamento de dados. Entre os existentes, estão: 

    • Serasa Antifraude: a ferramenta, desenvolvida por uma organização brasileira, possui uma versão gratuita e outra paga. Por meio dela, é possível monitorar a circulação dos dados de pessoas físicas e jurídicas. Na versão gratuita, realiza-se o monitoramento de e-mail para saber se está sendo utilizado numa aplicação de golpes. Já na versão paga, são verificados itens como e-mail, CPF, CNPJ, passaporte e celular em circulação na deep web, ambiente em que geralmente os dados vazados e podem ser comercializados por e para agentes mal-intencionados. 
    • Have I been Pwned?: esta é uma plataforma usada para a busca de informações na deep web. Trata-se de um site que permite a realização de cadastro e monitoramento dos dados para identificar vazamentos. 
    • Registrato: é um sistema criado pelo Banco Central do Brasil, responsável por listar as atividades financeiras de CPFs e CNPJs brasileiros e, consequentemente, entender se foram usados por pessoas mal-intencionadas. 

    O que fazer após o vazamento de dados? 

    Se, mesmo após seguir cada uma das dicas apresentadas, o seu negócio for vítima de um vazamento de dados, é crucial adotar medidas simples, mas eficazes, como alterar senhas e contas vinculadas, de e-mail, cadastros em geral, entre outros. Além disso, utilize aplicativos que permitam uma futura verificação em duas etapas para validar o acesso.  

    Em determinados casos, poderá ser necessário fazer um registro de ocorrência nas autoridades cabíveis, bem como informar os usuários atingidos sobre a situação, para que eles se protejam de eventuais abordagens feitas por cibercriminosos. 

    Por fim, mas não menos importante, contar com recursos como um certificado SSL em seu site é bastante útil para demonstrar, a quem o acessa, que se trata de um ambiente digital confiável. Se a sua empresa ainda não faz uso do recurso, saiba que a Locaweb oferece esse tipo de serviço. Descubra as condições. 

    Categorias: De olho no digital
    O autor

    Liliane Oliveira

    Liliane Oliveira é Coordenadora de Marketing de Conteúdo e SEO na Locaweb, com especialização em Marketing pela ESPM. Com mais de 15 anos de experiência no setor de tecnologia, ela se destaca como especialista em SEO, criação de conteúdo, gestão de blogs, sites e canais do YouTube. Seu trabalho é voltado para o aumento do tráfego orgânico e geração de resultados. Além disso, ela encontra equilíbrio praticando yoga, conhecendo novos lugares e se dedicando a novas aprendizagens, sempre como uma eterna padawan.

    Veja outros conteúdos desse autor