Atualmente, em algum momento, é fato que muitas empresas irão enfrentar o problema da violação de dados. Quase todos os dias, há pelo menos uma manchete nas notícias sobre hackers roubando dados de algum lugar, ou de alguém, que eles não deveriam. Em um dia aconteceram violações no Facebook, no outro dois milhões de cidadãos do Reino do Marrocos tiveram seus dados expostos e, no Brasil, uma falha expôs dados de milhares de chaves do PIX de clientes do Banco Estadual de Sergipe. Esses são apenas alguns exemplos de violações de dados ocorridas recentemente.
Então, entender como as violações de dados ocorrem é importante para saber como reduzir riscos de segurança e saber como agir para evitar esse problema generalizado.
Como a violação de dados ocorre e o que acontece a seguir
Uma violação de dados, na definição da Trend Micro, é “um incidente em que informações são roubadas ou extraídas de um sistema sem o conhecimento ou autorização do proprietário”.
No Relatório de Investigações de Violações de Dados (DBIR), de 2021, a Verizon observou que as violações são normalmente causadas por:
- Ataques de phishing ou hacks criminosos por meio de redes
- Sites maliciosos, com malwares voltados para fraudes ou espionagem
- Erros humanos
O resultado, especialmente se a empresa estiver sob leis, como a LGPD ou GPDR, pode ser uma multa alta – as multas relacionadas à LGPD podem chegar a R$ 50 milhões.
Violação de dados em 2021
As violações de dados estão aumentando? De acordo com estatísticas coletadas no segundo trimestre de 2021, sim. Eva Velasquez, presidente e CEO da Identity Theft Resource Center, observa que existe “um aumento nas violações de dados em 2021 em comparação com 2020, principalmente por causa do número crescente de ataques de phishing, ataques de ransomware e ataques à cadeia de suprimentos”.
Os nomes associados a algumas dessas violações também são bem conhecidos: Amazon, Facebook, Microsoft e Tesla divulgaram informações involuntariamente.
No Brasil, uma pesquisa do MIT mostrou que o vazamento de dados nesse país cresceu 493% nos últimos anos. Dados de mais de 230 milhões de brasileiros foram expostos há alguns meses e, recentemente, os sistemas do Ministério da Saúde foram invadidos, prejudicando o acesso ao comprovante de vacinação contra a Covid-19 e dados sobre a doença.
A verdade é que muitas empresas ignoraram advertências até que leis de proteção de dados e privacidade fossem aprovadas e mesmo depois da aprovação, durante o período que tiveram para se adaptar às novas normas.
Como reduzir riscos de segurança
Isso não significa que uma violação de dados seja inevitável. Embora não seja possível evitar 100% dos ataques, os riscos podem ser reduzidos.
Controle de Acesso
Hoje, o gerenciamento de documentos digitais e registros em papel torna a governança da informação um desafio, que pode ser vencido com um controle de acesso eficiente.
Pense no mundo físico e digital
Phishing, e-mails com SPAM, ligações inesperadas e de pessoas desconhecidas. Tudo isso se enquadra no amplo guarda-chuva da engenharia social, que pode ser definida como manipular as pessoas para que divulguem informações confidenciais ou pessoais para serem usadas para fraudes. Ou seja, um método popular para que pessoas mal-intencionadas obtenham acesso a informações que não deveriam.
Voltando ao DBIR da Verizon, a empresa relata que houve “um salto nas violações de engenharia social como um padrão em relação ao ano passado, com uma tendência de aumento desde 2017”.
Este vídeo demonstra como muitas vezes pensamos que o que vemos é o que iremos obter e, essencialmente, que é possível entrar em qualquer lugar, basta ter uma escada.
Eduque e envolva a equipe sobre os riscos de segurança
Embora o vídeo reproduza a engenharia social de maneira cômica, ele deixa clara a necessidade de instruir a equipe para evitar riscos de violação de dados.
A prevenção não é algo que possa ser gerenciado apenas por um grupo de pessoas, é preciso vigilância de todos dentro da empresa para garantir que as informações sejam acessadas apenas pelas pessoas certas no momento correto.
Todos os funcionários precisam fazer parte do processo e entender o que é um e-mail de phishing, como lidar com dados confidenciais, entre outros fatores de risco.
Como explicamos no whitepaper “Como criar um programa moderno de gerenciamento de registros e informações”, “o debate é vital para envolver a empresa no processo de desenvolvimento do plano de registros. Para que qualquer iniciativa seja bem-sucedida, todos os funcionários devem ter a oportunidade de contribuir para o seu desenvolvimento”.
Construir um programa de gestão de informações para proteger e controlar os dados contra uma violação que seja realmente adotado por todos na empresa, começa com três etapas principais:
Colete feedback: obtenha informações de toda a empresa sobre os tipos de registros gerenciados ou criados.
Forme um comitê: crie um conselho de governança da informação com representantes de todos os departamentos para fornecer informações sobre novos procedimentos e necessidades de treinamento, apresentar os problemas à medida que surgirem e impulsionar a adoção do programa entre os funcionários.
Encontre um parceiro: pesquise parceiros de gestão de informações, não apenas fornecedores, que podem ajudar em cada etapa do processo de gerenciamento do ciclo de vida das informações, independentemente de começar com papel ou arquivos digitais.
Proteger as informações é um ato contínuo
Reduzir riscos de violação de dados é um processo contínuo. Depois de criar uma estratégia de segurança e ganhar a confiança da equipe, é hora de configurar uma auditoria regular dos processos.
E, mesmo que o programa de prevenção esteja atrasado ou apresentar problemas, a etapa mais importa é: INICIAR. Então, se isso ainda não ocorreu, corra.
Fale com um dos nossos especialistas e saiba como a Access pode ajudar sua empresa a gerenciar suas informações com eficiência.
