Investir em segurança online tornou-se obrigação em websites

Segurança Online

Websites têm sido alvo de ataques, invasões, roubo de informações e dados e tudo o que há para se temer em termos digitais desde que a internet primeiramente surgiu. Mesmo pequenos blogues pessoais nunca estiveram ilesos a tal, que dir-se-á de páginas empresariais. A segurança online é um assunto social, econômico e governamental nos dias de hoje.

Esquemas e sistemas de segurança sempre estiveram à disposição dos usuários e, com o avanço da internet, avançou também a tecnologia para contra-ataque dessas ameaças. Contudo, os riscos de investir pouco ou não investir em segurança sempre estiveram focados no proprietário do site ou conteúdo. Agora não mais.



O advento do GDPR ou RGPD, o Regulamento Geral para Proteção de Dados, coloca o usuário como principal vítima de ataques e problemas de privacidade e corrupção de dados. Assim sendo, empresas e websites que permitirem atentados contra os dados e informações de seus usuários serão diretamente responsabilizadas. Uma espécie de dolo presumido por conta da não preocupação com a proteção desses dados.

Como vimos em textos anteriores, as coimas e punições no ámbito da União Europeia podem ser pesadíssimas e, embora ainda não haja certeza sobre como tal fiscalização será perpetrada, o fato é que podemos esperar por ações punitivas, elevada burocracia no caso de desconformidades e uma severidade extra nos casos iniciais onde forem detectados problemas. Afinal de contas, como ocorre em toda nova regulamentação, os meses iniciais após a entrada em vigor são sempre movimentados – há que se garantir as primeiras páginas dos periódicos.

Segurança online – quanto custa?

Uma pergunta que toda a gente se faz, especialmente empresários. A verdade é que a resposta a tal pergunta não é simples. Muitos portais e lojas que lidam com centenas de milhares ou milhões de usuários terão de gastar fortunas em segurança, contratar novos informáticos, pagar salários altíssimos a encarregados da proteção de dados gabaritados e contratar, ao final de tudo, consultorias que darão formações a preço de ouro, apenas para dar explicações a respeito do conteúdo legal à disposição gratuitamente na internet.

O valor a gastar com segurança online pode variar. Primeiro, é preciso dimensionar e detectar exatamente como as informações e dados dos usuários são guardados, processados ou solicitados por um website. Com tais processos documentados e em mãos, é possível determinar que medidas serão ou não necessárias. Mas, antes de seguir adiante, é bom analisar cinco passos importantes dentro de seu negócio e do posicionamento online que o mesmo possui:

  1. Caso a empresa possua um website, primeiro é preciso saber se o conteúdo ali presente é estático ou dinâmico. Sites exclusivamente desenvolvidos em HTML geralmente não recolhem dados do usuário ou registam cookies em seus navegadores. A atenção, nesses casos, estará dirigida aos formulários de contacto e à proteção do código do site contra injeções de scripts maliciosos. Em outras palavras, não se trata de algo caríssimo, mas a falta de proteção em sistemas puramente estáticos exige algum investimento – talvez seja o caso de migrar para uma plataforma dinâmica, que rode a partir do servidor, como WordPress, Joomla e tantos outros.
  2. Caso a empresa possua um site num serviço que ofereça o alojamento e manutenção toda da página, como ocorre com o Wix, será preciso analisar e questionar tal fornecedor a fundo a respeito de suas políticas em relação ao GDPR ou RGPD, ferramentas para proteção aos dados de usuários e documentos e avisos referentes à privacidade de dados. Se o fornecedor não possuir clareza ou ferramentas para lidar com as novas normas, é hora de pensar em uma migração.
  3. Quando a empresa já opera um site mais desenvolvido, montado sobre plataformas como o WordPress, Drupal ou Joomla, é preciso mais atenção. Os sistemas de CMS hoje são bastante seguros, porém exigem atenção em suas configurações. Plugins e ajustes são uma forma rápida de adaptar-se à lei, porém é preciso entender o que exatamente tais plugins precisam ou não fazer e como se deve configurá-los e aplicá-los. Além disso, há que se dar especial atenção aos textos e documentos que terão de ser incluídos em qualquer website – e dificilmente tais plugins criam-nos de forma automatizada.
  4. Se a empresa possui uma loja ou aplicação online, o trabalho poderá ser maior. Esse tipo de sistema geralmente exige que usuários, em algum momento, efetuem registos e criem logins, nos quais cedem imensas informações e dados à empresa. Toda empresa não apenas terá de avisar seus usuários – como já ocorria com a norma de consentimento para “cookies” – mas agora também terá de gerir tais dados, comprovar prerrogativas de segurança em relação aos mesmos e dispor essas informações ao proprietário delas a qualquer momento e sempre que as queira. Todo usuário deve poder extinguir seus perfis e informações de uma base de dados, transferir essas informações e acedê-las como e para que fim deseje.
  5. Finalmente, quando tais dados forem processados de forma intensa e em enorme volume, a figura do profissional encarregado da proteção de dados tornar-se-á obrigatória. Para empresas que tenham a obrigação de nomear ou mesmo contratar tal profissional, recomenda-se que não apenas usem o know-how de um profissional que percebe das regras e leis, mas que também saiba aplicá-las de forma objetiva aos negócios online da empresa. Em outras palavras, se tem dúvidas a respeito de aspetos legais do RGPD, pague horas adicionais a um escritório de advogados – se precisar de um encarregado, que zele diariamente pelos sistemas que sua empresa possui na web, recorra a um técnico em segurança da informação, um engenheiro ou profissional web que tenha como implementar, mensurar e avaliar de maneira técnica o nível de proteção e conformidade de suas aplicações em relação às normas.

Segurança online – correção ou desenvolvimento

O web design e o desenvolvimento de aplicativos para a web hoje dispõem de inúmeras ferramentas e melhores práticas no que se refere à segurança online. Certificados SSL, sistemas de encriptação de dados, APIs de verificação de vulnerabilidades, plugins diversos que corrigem falhas ou problemas de segurança em plataformas. Tudo isso possui vantagens e pode ser, em suma, utilizado por qualquer website para melhorar seu desempenho no tocante à segurança de dados. Entretanto, há dois problemas em relação à postura “corretiva” que vem sendo adotada por muitos em face aos novos regulamentos e mesmo exigências do consumidor:

  1. O custo distribuído de melhorias, aprimoramentos e correções, muitas vezes, equivale ou até supera os custos de desenvolvimento das mesmas ferramentas desde o zero
  2. Ajustes, geralmente levados adiante em etapas ou partes, e não de maneira geral, não apenas passam desapercebidos diante do usuário, mas podem não ser suficientes para atender às exigências impostas por normativas como o RGPD ou GDPR.

Mas, quando decidir por correções e quando priorizar o desenvolvimento de soluções completamente novas? Bem, é exatamente NESSE tópico que as ditas consultorias, que hoje aparecem em todo lado, deveriam estar a concentrar esforços em seus trabalhos e relatórios de conformidade e adequação ao RGPD. Formações e avaliações em relação à postura e preparação de cada empresa para as normas do RGPD são, sem dúvida, algo importante. Contudo, com poucas semanas até que as regras sejam de fato impostas, a fase de “preparação” parece ter ficado para trás.

Segurança Online

RGPD ou GDPR – novos regulamentos que deixam um grande problema nas mãos do empresário… que tem de ser resolvido para já.

Ao menos em Portugal, mas também ao redor de toda a União Europeia, poucas empresas parecem ainda oferecer soluções. É evidente que a maioria do empresariado não preparou-se da forma que deveria para as modificações e necessidades que o novo regulamento impõe – mas os prazos não tornar-se-ão de maneira alguma maiores se esses empresários assistirem a cursos e palestras neste momento.

Saber é importante – mas para contornar a aparente falta de preocupação dos anos anteriores em relação ao RGPD, as empresas agora precisam de ferramentas de segurança online e compliance. Consultores podem e devem atuar na sugestão e na instrução de uso dessas ferramentas, mas sem elas, formações e avaliações são apenas mais papel – e, por mais que muitas entidades portuguesas possam discordar, mais papel, no mundo moderno, significa necessariamente retrocesso.