6 formas que a sua empresa pode tolerar um vazamento de dados — e porquê evitá-las

0
48

Culturalmente falando, se preocupar com segurança da informação nunca foi um pouco geral para as empresas brasileiras. Com exceção de multinacionais que possuem filiais cá, o mercado pátrio, no universal, sempre investiu muito pouco em soluções, serviços e processos para prometer a proteção de dados sigilosos, sejam eles corporativos ou referentes aos seus clientes. Justificar a compra de uma solução de segurança cibernética frente ao board de diretores era um verdadeiro parto para os profissionais do setor.

Isso acontece porque sempre foi difícil calcular o ROI (return over investment ou “retorno sobre o investimento”) para tal superfície, já que estamos falando de medidas preventivas. Muitos executivos de tá escalão consideravam uma “besteira” gastar numerário para evitar um pouco que nem sabemos se vai ocorrer ou não. Por muito ou por mal, a mentalidade dos diretores, presidentes e gerentes está mudando, sobretudo em seguida o aumento no número de ataques cibernéticos que vislumbramos ao longo dos últimos anos.

Se nas décadas anteriores somente marcas de renome precisavam se preocupar com malwares ou espionagem cibernética, hoje em dia, os criminosos estão mirando até mesmo em pequenas e médias empresas (PMEs), sabendo que elas não possuem uma boa infraestrutura de segurança. Os ransomwares se tornaram comuns, e, além de suscitar dores de cabeça à quem não tem backups para prometer a perpetuidade de seus negócios, pode resultar em extorsões com ameaças de divulgação de dados sensíveis.

Para completar o pacote, temos agora a Lei Universal de Proteção de Dados (LGPD), que põe no contextura jurídico a obrigatoriedade de toda e qualquer empresa brasileira de prometer a proteção das informações pessoais de seus consumidores. Quem desrespeitar a norma — seja usando dados sem o consentimento de seu titular ou sofrendo vazamentos/violações — pode ser punido com sanções diversas, que variam desde a proibição de suas atividades de processamento de databases (ligeiro) até multas de R$ 50 milhões (pesada).

Imagem: Reprodução/Tyler Franta (Unsplash)

Existem diversas formas pelas quais sua empresa pode tolerar um incidente de segurança da informação. Porém, se você está criando — ou reestruturando — a sua estratégia de proteção de dados agora, existem algumas ameaças muito específicas que merecem sua atenção. O Canaltech resolveu listar seis riscos à informação que são críticos em qualquer empreendimento — e, é simples, também daremos algumas instruções de porquê sua empresa pode prosseguir para evitar ser mais uma vítima.

1) Exploração de vulnerabilidades

Uma vulnerabilidade em um software zero mais é do que um “defeito” em seu código que pode ser explorado por um criminoso para transformá-lo em uma porta de ingressão, sendo usado para invadir máquinas, instalar malwares de espionagem ou infectar seu sistema com um ransomware. Algumas são de conhecimento público; aquelas que são exploradas sem que seu desenvolvedor saiba de sua existência são chamadas de zero day (ou “dia-zero”).

Não há muitos segredos cá — a melhor forma de prometer que sua infraestrutura não possua brechas é mantendo todos os programas, softwares e sistemas operacionais sempre atualizados, instalando os patches de segurança disponibilizados por seus respectivos desenvolvedores. Essa tarefa se tornou desafiadora em tempos de trabalho remoto, mas vale a pena ressaltar tal tópico com seus colaboradores que atuam em mansão.

2) Insider malicioso

Em segurança da informação, chamamos de insider malicioso (ou simplesmente ameaço interna) aquele colaborador que, por qualquer motivo, decide agir contra a própria empresa, tornando-se um criminoso ao repassar informações internas para um concorrente ou imitar dados sensíveis antes de ser desligado, por exemplo. Geralmente, esses funcionários se tornam insiders maliciosos por questões financeiras, sendo pagos por agentes externos.

Imagem: Reprodução/Christina @ wocintechchat.com (Unsplash)

Obviamente, não há porquê prever se qualquer membro de sua equipe poderá lhe “trair” futuramente. Para evitar violações por insiders, é importante prometer a correta classificação de níveis de sensibilidade de cada informação e permitir seu aproximação (privilégio) somente à quem realmente você confia. Um bom exemplo disso são documentos do Google Docs; não devemos configurar um registo sigiloso para que toda a empresa possa visualizar.

3) Má-configuração

Você com certeza já leu notícias de vazamentos de dados ocasionados por má-configuração em servidores, sejam eles on-premise (locais) ou na nuvem. Trata-se de um pouco mais geral do que muitos imaginam: seja por falta de mão-de-obra qualificada ou por um simples deslize na hora de realizar seu projeto, configurar erroneamente um envolvente web pode permitir que indivíduos não-autorizados tenham aproximação a dados sigilosos.

Para evitar esse tipo de problema, é válido contratar serviços de auditoria e red team — ou seja, uma equipe que analisará suas infraestruturas em procura de eventuais brechas desse tipo sob a perspectiva de um criminoso cibernético. Dessa forma, você consegue desenredar se há um pouco de falso com os seus ambientes de processamento e armazenamento de dados antes dos agentes maliciosos, agindo proativamente para emendar as brechas.

4) Terceiros e parceiros comerciais

Nenhuma empresa atua 100% sozinha. Seu empreendimento certamente conta com parceiros comerciais, fornecedores e serviços terceirizados — até mesmo um software-as-a-service (SaaS), que você contratou mediante o pagamento de uma mensalidade, entra nesse rol. E se o incidente de segurança partir desses parceiros com os quais você compartilha ou armazena dados sensíveis?

Imagem: Reprodução/Benjamin Child (Unsplash)

Eis a valor de realizar uma diligência prévia, analisando a infraestrutura de segurança de terceiros e contratando somente quem provar que também se importa com segurança da informação. Quando o ponto são os SaaS, a maioria deles trabalha, hoje em dia, no protótipo de responsabilidade compartilhada — eles se responsabilizam por incidentes causados por irregularidade no software e você se responsabiliza por configurações errôneas.

5) Engenharia social

O Canaltech já até publicou um teor peculiar falando especificamente sobre esse tópico. De zero adianta investir rios de numerário em soluções de segurança se os seus colaboradores não estiverem devidamente treinados para identificar ameaças de engenharia social — ou seja, golpes que manipulam os sentimentos e emoções do ser humano, convencendo-os a adotar um comportamento inseguro.

É por isso que a sua equipe precisa ser treinada com programas de conscientização em segurança da informação. Campanhas educacionais fazem com que seus funcionários se transformem na risca de frente em sua estratégia de proteção de dados, identificando, por exemplo, campanhas de phishing direcionadas (spear phishing) e reportando eventuais riscos à equipe de TI.

Imagem: Reprodução/Icons8 Team (Unsplash)

6) Violação física

Muitos gestores cometem o erro de se olvidar desse tipo de ameaço, já que, atualmente, as operações da maioria das empresas se concentram no envolvente online. Porém, não podemos negligenciar dos riscos de uma violação física — um agente malicioso pode entrar em seu escritório e obter aproximação a documentos sigilosos impressos, aos seus servidores locais ou às máquinas dos colaboradores.

Por isso, invista em uma política de mesa limpa, utilize meios seguros de descartar informações impressas e fortaleça a segurança física de seu escritório, caso tenha um.

Gostou dessa material?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui