+55 (21) 2505-9393
+55 (21) 99731-6528
contato@acpdbrasil.com

ICO: Cerca de 88% dos vazamentos de dados pessoais são atribuídos a erros humanos

Conformidade, Proteção e Privacidade de Dados

Erro Humano

Através de pesquisa realizada entre 2016 e 2019, constatou-se que o número de relatórios de vazamentos de dados enviados para o Information Comissioner’s Office (ICO), a autoridade de proteção de dados do Reino Unido, teve um aumento de 75%, segundo a empresa Kroll, divisão do grupo Duff & Phelps, líder mundial em prover soluções para gestão de riscos. O que chama a atenção é que apenas 12% desses relatórios atribuem os vazamentos a ações de cibercriminosos.

Os dados para esta pesquisa foram obtidos através requisição com base na Lei de Liberdade de Informação (Freedom of Information Act) para o ICO, órgão público responsável pelo monitoramento e fiscalização de vazamentos de dados pessoais, incluindo dados de saúde, financeiros, trabalhistas e de registros criminais.

A pesquisa mostrou que ao contrário do que geralmente se imagina, isto é, os vazamentos de dados não são majoritariamente oriundo de vazamentos de dados por cibercriminosos, e a realidade aponta que cerca de 88% dos vazamentos de dados pessoais são atribuídos a erros humanos. Como será aqui no Brasil, com a LGPD em vigor? Será que a maioria dos relatórios também estará associada a erros humanos?

O erro mais comum é o envio de dados sensíveis para o destinatário errado, que responde por 37% dos relatórios de vazamentos de dados. Embora, desse percentual, o e-mail seja o principal meio de comunicação, os vazamentos também ocorrem por correspondências físicas, como cartas, por exemplo.

Outros erros podem ser atribuídos a perda ou furto de documentos corporativos com dados pessoais, edição de dados pessoais, ou armazenamento de dados pessoais em locais inseguros, como, por exemplo, nuvem pública.

Cabe ressaltar que a cibersegurança não se trata apenas de tecnologia. Com frequência, organizações adquirem as versões mais recentes de softwares para se protegerem de ataques, entretanto falham em incentivar os processos seguros de gerenciamento e governança de dados, e principalmente a capacitação de seus colaboradores diretos ou indiretos, a fim de mitigar tais riscos.

Segundo Andrew Beckett, a maioria dos vazamentos de dados pessoais, e muitos ciberataques poderiam ser evitados com a vigilância e/ou procedimentos de segurança simples.

Com a vigência do General Data Protection Regulation (GDPR), regulamento da União Europeia, que se estende ao Espaço Econômico Europeu (EEE), se tornou obrigatório, a comunicação das organizações às autoridades nacionais de proteção de dados de seus respectivos países.

“Relatar violações de dados não era obrigatório para a maioria das organizações antes do GDPR entrar em vigor, então, embora os dados sejam reveladores, eles apenas ressaltam o que já vinha ocorrendo nas organizações.

SOBRE A EDUCAÇÃO CORPORATIVA:

A ACPD Brasil entende que as pessoas são essenciais para as organizações, e são seus recursos mais valiosos. Somado a isso, entendemos que o desempenho organizacional depende de como as competências das pessoas são utilizadas no ambiente corporativo.

Com base no que foi exposto, a ACPD Brasil vem desenvolvendo a ACPD Academy, com cursos de educação corporativa, com base nos fundamentos do Sistema de Gestão da Privacidade da Informação (SGPI), conforme a norma ABNT NBR ISO/IEC 27701:2019 e demais normas relacionadas (ABNT e ISO). A ACPD Brasil acredita que a gestão da competência e o desenvolvimento de pessoas nos níveis operacional, tático e estratégico são requeridos para que uma organização seja bem sucedida.

A gestão da competência e o desenvolvimento de colaboradores são interligados de maneira incontestável, já que o desenvolvimento de pessoas é parte da gestão da competência. A adoção de processos planejados e sistemáticos para a gestão da competência e desenvolvimento de pessoas provê clara contribuição para as organizações, com destaque para:

  • Melhoria de competências;
  • Atendimento às diretrizes do nível estratégico;
  • Alcance dos resultados almejados.

O ciclo do Plan, Do, Check and Act, conhecido popularmente como PDCA, em tradução livre Planejar, Fazer, Checar e Agir, pode ser utilizado para melhor ilustrar a educação corporativa proposta pela ACPD Brasil, e está descrito a seguir:

  • Planejar: identificar necessidades de competência; avaliar lacunas de competência; e planejar o desenvolvimento de competências;
  • Fazer: estabelecer um programa de desenvolvimento; implementar atividades de desenvolvimento;
  • Checar: monitorar e avaliar atividades de desenvolvimento em relação a necessidades de competência;
  • Agir: identificar setores com necessidades adicionais de desenvolvimento; melhorar as atividades de desenvolvimento.

Precisando se capacitar ou capacitar seus colaboradores? Entre em contato com a ACPD Brasil!

Referências Bibliográficas:

INFORMATION COMISSIONER’S OFFICE. Guide to the General Data Protection Regulation (GDPR). Disponível em: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr. Acesso em: 5 out. 2020.

INGHAM, Lucy. 88% of UK data breaches caused by human error, not cyberattacks. Disponível em: https://www.verdict.co.uk/uk-data-breaches-human-error. Acesso em: 5 out. 2020.

KROLL. Global Fraud and Risk Report 2019/20 – Mapping the New Risk Landscape Disponível em: https://www.kroll.com/en/insights/publications/global-fraud-and-risk-report-2019. Acesso em: 5 out. 2020.

 

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Open chat
Olá 👋
Como podemos te ajudar?