Na economia digital atual, são recolhidas diversas informações com muita regularidade. Assim, os dados são atualmente um recurso muito valioso, mas também muito vulnerável. Para as empresas, os dados são fundamentais. Uma boa análise das informações levam ao crescimento, diferenciação e ajudam a garantir a competitividade. Com a crescente importância dos dados, a segurança tem de ser considerada como um aspecto crítico para as organizações. É que o risco de violação de dados confidenciais – devido a incidentes intencionais ou não intencionais – está a aumentar a um ritmo alarmante. É necessário prevenir a violação de dados!
As violações de dados são incidentes de segurança em que informações confidenciais são retiradas de um sistema sem o conhecimento ou a autorização do proprietário.
Segundo um estudo realizado pelo Ponemon Institute, o custo médio de cada informação perdida aumentou em 4,7% de 2017 para 2018 (de 141 dólares para 148 dólares), enquanto o custo total médio de uma violação de dados aumentou de 3,62 milhões de dólares em 2017 para 3,86 milhões de dólares em 2018.
Os temas relacionados com a violação de dados surgem na imprensa a um ritmo diário. Assim, as organizações devem garantir que os dados confidenciais estão protegidos de forma adequada. A ideia é evitar perdas ou roubos. As medidas de segurança incluem as políticas de proteção em vigor. Destacam-se ainda estratégias e ferramentas à disposição para a mitigação de violações.
A proteção de dados confidenciais é mesmo necessária. Não apenas por razões legais ou éticas. Destacam-se também as questões relacionadas à privacidade pessoal. Não obstante da proteção da reputação da empresa. Os dados confidenciais incluem informações pessoais identificáveis (PII), como nomes, números de cartão de crédito, endereços de e-mail ou números de telefone de clientes e funcionários. Destacam-se ainda a propriedade intelectual e segredos comerciais, dados específicos do setor e informações relacionadas a operações e stock.
Vejamos quais as práticas que as empresas podem aplicar em 2019 para se prepararem adequadamente contra uma violação de dados:
Disponibilizar formação sobre segurança
Os colaboradores têm um papel importante em manter as organizações seguras. No entanto, sem uma consciencialização para a questão da segurança e uma formação eficaz, eles podem ser o elo fraco na cadeia de segurança de dados e transformarem-se numa grande vulnerabilidade.
Com o aparecimento de ferramentas de armazenamento na cloud, dispositivos de IoT e tendências de BYOD, é mais fácil do que nunca colocar em risco dados confidenciais.
De acordo com o Relatório de Consciencialização sobre Segurança e Privacidade de 2018, 75% dos colaboradores tiveram problemas com a identificação de práticas recomendadas relacionadas com segurança informática e privacidade de dados.
Uma formação eficiente é algo crítico. Na prática garante que os funcionários estão informados acerca da segurança de dados e que têm o conhecimento necessário para detectar ameaças e evitar fugas. Para além disso podem aprender também a relatar possíveis incidentes de privacidade. É importante formar os colaboradores. Mas não só acerca de riscos específicos da cibersegurança. Assim, é preciso alertar para as repercussões que uma violação de dados pode ter.
Investir na tecnologia de segurança certa
As medidas de cibersegurança são necessárias em todos os setores de negócio. É que as informações confidenciais devem ser protegidas onde quer que sejam armazenadas, enviadas ou usadas. Embora seja muito importante ter um perímetro tradicional de segurança de rede como firewalls, detecção de intrusões e antivírus, as empresas devem considerar também uma abordagem em camadas que incluam não apenas proteção contra ameaças de segurança, mas também a capacidade de identificar riscos de segurança.
A utilização de encriptação e uma política de backup ajuda a reduzir os riscos, ao mesmo tempo que garante que o software é atualizado e corrigido com regularidade. Só com isto será possível dar resposta às vulnerabiliades de rede e até à violação de dados.
As soluções de Prevenção de Perda de Dados (DLP), como o Endpoint Protector, podem ajudar as empresas na prevenção de violações de dados, pois as políticas de proteção podem ser aplicadas com eficácia e o acesso ilegal aos dados pode ser evitado.
Restringir utilizadores finais de partilharem informações confidenciais ou as transferirem a partir de redes empresariais é uma excelente medida.
Da mesma forma é também importante controlar ou bloquear dispositivos não autorizados. As soluções de DLP podem ajudar a proteger os dados em trânsito e em repouso.
Esta solução é um requisito. Não apenas para grandes empresas. Também o é para pequenas e médias empresas.
Cumprir com os regulamentos de proteção de dados
Cada regulamento de proteção de dados é uma indicação de que as empresas são responsáveis pela forma como gerem a privacidade e os dados das pessoas. Quando as organizações dão prioridade à proteção de conteúdos para dar resposta às regulamentações de proteção de dados, têm uma melhor hipótese de evitar a violação de dados e evitar multas e problemas de reputação. A melhor forma de garantir a conformidade é criar uma política de segurança de dados que mantenha as informações protegidas contra riscos internos e externos à empresa.
Entretanto, 2018 foi um ano importante em termos de leis de privacidade do consumidor. São exemplo disso, o Regulamento Geral de Proteção de Dados (GDPR)
Realizar avaliações regulares de vulnerabilidades
A avaliação de vulnerabilidades é o processo destinado a identificar, classificar e dar prioridade às ameaças de segurança, bem como determinar os riscos que elas representam para as organizações. As auditorias de segurança regulares revelam uma imagem clara acerca dos dados e atuam como uma lista de verificação para trabalhar em prol da proteção de dados.
Ao realizarem uma avaliação de vulnerabilidades, as empresas devem considerar todos os aspectos, como armazenamento de dados, acesso remoto para funcionários, estratégia de BYOD e garantir que políticas e procedimentos são adequados.
O Center for Internet Security (CIS) classifica o Continuous Vulnerability Management como a terceira prática mais importante. Acompanhar as vulnerabilidades de forma regular e dar prioridade à sua correção também é importante para fornecer o nível de proteção de dados exigido por diferentes regulamentações.
Desenvolver um plano de resposta à violação de dados
Embora muitas empresas ainda não tenham desenvolvido um plano de resposta a violações, essa estrutura tem um papel importante na interação com incidentes de cibersegurança. Para além disso permite limitar os danos. Pode ainda restaurar a confiança do público e dos funcionários.
O principal objetivo é definir os papéis e as responsabilidades das pessoas encarregadas de gerirem uma violação de dados.
Entretanto, a importância de um plano de resposta também é destacada pelos regulamentos. Por exemplo, no que diz respeito aos requisitos do RGPD, as organizações necessitam de dar resposta às violações de dados dentro de 72 horas após a sua deteção. Isto inclui reunir todas as informações. Depois reportar a violação ao regulador. Por fim, informar os indivíduos afetados. Vários passos em pouco tempo.
Em suma, à medida que a tecnologia continua a impulsionar as empresas, também as deixa mais vulneráveis ao cibercrime. Para reduzir o risco de enriquecer a lista cada vez maior de vítimas de violação, a segurança cibernética deve ser uma prioridade para todas as organizações.