Em um cenário globalizado, com inovações e sistemas tecnológicos surgindo dia após dia, empresas de médio e grande porte precisam ter como uma das principais preocupações o tema segurança da informação e a conformidade com as leis de proteção de dados.
O relatório "Cost of a Data Breach Report 2024" da IBM revela que o custo médio global de uma violação de dados em 2024 foi de US$ 4,88 milhões, um aumento de 10% em relação a 2023, representando o maior aumento anual desde a pandemia.
Vamos entender melhor sobre esse cenário e o que empresas de desenvolvimento de software precisam saber em relação ao tema?
O número de ataques cibernéticos vem subindo diariamente, especialmente nos últimos dois anos. No ano passado, por exemplo, a potência norte-americana chegou a investigar um grande ataque contra pelo menos 200 empresas locais, que conseguiu se infiltrar por uma companhia de tecnologia que presta serviços de administração de redes.
Diante desse cenário, o risco de um vazamento de dados gerar uma situação catastrófica e colocar em pauta a confiança de quem mais importa, os clientes, fez com que o mundo corporativo passasse a tratar mais do assunto, não só pela necessidade de cumprir normas e leis de proteção de dados, como também por realizar um trabalho detalhado no macro e no micro.
O tema se torna ainda mais delicado com as linhas de projetos entre empresas de tecnologia que estão em territórios diferentes, com foco em aprimoramento de aspectos de desenvolvimento otimizados com a ajuda de provedores ou parceiros. Ou seja: o conhecido Outsourcing, um investimento bem mais variado que somente a ideia de terceirização.
O modelo citado implica também uma atenção maior por parte das empresas contratadas. Com ele, espera-se ainda uma preocupação com entrega de serviços, suporte, consultorias, planejamento, execução de projetos, entre outros, incluindo o bom manejo com dados sensíveis.
Dentro do Outsourcing, existem diferentes maneiras de trabalhar, sendo elas:
O ponto-chave é que, quanto mais distante, maior é a necessidade de interpretar melhor as legislações de proteção de dados que regem nos locais de destino. Sendo assim, tratar cibersegurança pode ser um investimento complexo, devido à interpretação das leis existentes hoje em cada território.
Agora imagina somar isso ao cenário e à visão de uma empresa que planeja desenvolver em outros locais. Imagine querer operar ou manter contratos fora do país e esbarrar com outras leis de proteção de dados determinantes para esse movimento comercial, com nações e pessoas que pensam diferente. Aqui, é preciso se preocupar com a soma da complexidade e variabilidade legislativa, cultural e jurisdicional.
Mas tenha ponderação: desistir de expandir e traçar linhas de trabalho internacionais pela complexidade desse tema não é o caminho, seja Nearshore ou Offshore. Nesse cenário, usualmente a estratégia compensa os riscos assumidos e sempre temos a possibilidade de adotar boas práticas para evitar que essas incertezas se tornem inconvenientes.
É válido lembrar que todas as partes envolvidas contratualmente possuem responsabilidades no que tange à proteção de dados dos clientes. Este é um dos principais pontos a serem considerados na formação de um contrato, respeitando e aplicando as legislações que competem ao acordo.
É determinante conhecer bem, não só o território parceiro em questão, mas também a cultura desse local. Seja dos Estados Unidos para a Europa, dos Estados Unidos para a América do Sul, dos Estados Unidos para a Ásia, esse processo exige conhecimento técnico.
Isso porque, ao sentir confiança no trabalho de uma empresa que vai contratar, sentindo que haverá um zelo maior pelas leis de proteção de dados, dependendo da localização dela, é o que vai definir se o modelo o fluxo do desenvolvimento é Onshore, Nearshore ou Offshore.
Embora não tenha uma regulação unificada, possui leis de proteção de dados federais aplicáveis em casos de vazamento de dados e legislações estaduais como:
Nesse caso, trata-se de um cenário Onshore.
Se a ideia é atingir clientes e parcerias na Europa, a referência é clara:
Aqui já falamos de Offshore.
Na América Latina, contratos costumam ser Nearshore. No Brasil, a LGPD (Lei Geral de Proteção de Dados), vigente desde 2020, tornou-se uma das leis de proteção de dados mais completas do mundo.
O importante é entender que, sendo Onshore, Nearshore ou Offshore, é necessário interpretar o regulamento e como isso propõe uma postura comercial diferente mútuo, que precisam entender o funcionamento e como isso deve ser aplicado nos contratos.
É importante reforçar aqui que o investimento mais compensatório está em se adequar as normas dos modelos legislativos, pensando na formação e nas boas práticas. Mas caso a empresa consiga investir na certificação, ela ganha muito em credibilidade.
Por exemplo, o Secure Socket Layer (SSL), desenvolvido pela Netscape, é um protocolo que criptografa dados e garante proteção ponta a ponta, evitando que informações sigilosas para terceiros.
Outro exemplo é a ISO 27001, uma norma internacional de gestão de segurança, que visa atender um conjunto robusto de requisitos e controles. Esses processos têm como objetivo estruturar e aprimorar a forma como a empresa gerencia a segurança da informação.
Já no quesito ferramentas, há soluções que ajudam a impedir ou retardar um ataque, dando tempo para que ele seja identificado e contido. Um exemplo é o navegador Opera, foi o primeiro grande do segmento de navegação a oferecer um serviço de VPN integrado gratuito e ilimitado, proporcionando uma experiência de navegação mais segura. Com a expansão, hoje a marca também oferece VPN Pro, que protege não só a navegação, mas o dispositivo como um todo.
Outro exemplo, é o conjunto de soluções da IBM, que fortalecem a resiliência e a confiabilidade no tratamento de dados. Com o IBM Cyber Vault e IBM Safeguarded Copy, a empresa mantém cópias isoladas dos dados, que não se altera até a data do seu vencimento. Essa abordagem é altamente eficaz, pois impede que criminosos consigam corromper ou manipular esses dados protegidos.
Considere criar grupos ou comitês de segurança pode facilitar na criação de estratégias internas, de modo colaborativo. Além de ser uma ótima oportunidade de educar os colaboradores sobre a temática, é também uma forma de criar porta-vozes da empresa, que vão auxiliar na construção da imagem de uma companhia segura e de confiança, que preza pela proteção dos dados que manuseia. A própria ISO 27001 orienta como boa prática a criação de um comitê.
Certo é que, quando uma empresa passa a ter um olhar mais enfático para o tema, as chances de fechar negócios são maiores. Se você tem uma lei forte no seu país e está adequado ao que ela diz, você tem um nome mais confiável no mercado.
Atrelado a isso, as boas práticas de leis de proteção de dados listadas vão te permitir expandir os negócios e cada vez mais criar cases e parcerias que servirão como exemplo para futuros acordos e comprovantes de expertise para serem apresentados aos clientes em apurações decorrentes de negociações
Outra tendência mundial é a utilização de seguros para agir contra ataques cibernéticos. O mercado global de seguros cibernéticos está em crescimento acelerado, com o tamanho do mercado estimado em cerca de US$ 16,09 bilhões em 2024, com projeção de atingir aproximadamente US$ 32,19 bilhões até 2030, conforme reportado pela MarketsandMarkets.
No Brasil, a procura por esse tipo de seguro aumentou significativamente, com crescimento de 880% entre 2019 e 2023. Houve também um aumento nas precauções das seguradoras, incluindo a imposição de limites máximos por risco (US$ 5 milhões a US$ 10 milhões) e a introdução de cosseguros específicos para riscos de ransomware.
Além disso, os preços das apólices de seguro cibernético continuam a subir globalmente, acompanhando o aumento da exposição e sofisticação dos ataques cibernéticos, com variação entre 20% e 30% no aumento dos preços das apólices.
Ter nome e garantia de confiança também significa ter poder de negociação. Estar alinhado às leis de proteção de dados e às expectativas internacionais abre portas e fortalece a imagem de uma empresa confiável.
Um ponto importante nisso tudo é que ainda vivemos em um cenário relativamente novo e por isso ainda há diferenças grandes de legislações entre os territórios. As leis dos Estados americanos, a GDPR ou a LGPD brasileira, apesar de se sobreporem, sempre terão divergências.
É preciso que essas divergências de leis de proteção de dados sejam e tratadas singularmente de acordo com boas práticas já adotadas previamente e suficientemente satisfatórias para as partes. Isso torna o processo mais moroso, mais pensado (e possivelmente mais confuso), com definição de foro que irá julgar, por exemplo, caso haja alguma incidência. Mas é uma burocracia necessária, pelo menos nesse primeiro momento.
A tendência é que, em breve, boas práticas consolidadas consigam mediar a maior parte dos cenários de falhas, sempre respeitando as legislações de cada território.
Em um ambiente global cada vez mais regulado pelas leis de proteção de dados, contar com parceiros que entendem segurança e desenvolvimento de software é essencial. A DB1 Global Software combina expertise técnica e compromisso com conformidade para entregar projetos que duram gerações. Conheça a DB1 Global Software e veja como podemos fortalecer sua operação.
