As violações de dados já causaram prejuízos de R$ 6,45 milhões no Brasil, afirma relatório Cost of Data Breach Report 2022, da IBM em parceria com o Instituto Ponemon, um aumento de 10% nos últimos dois anos. Além disso, o relatório destaca que 83% das organizações sofreram mais de uma violação de dados desde o começo de suas operações.
Isso deixa claro que, hoje em dia, você pode ter certeza de contar com três coisas: morte, impostos e… violações de dados.
Em um dia, são divulgadas violações do Facebook. No outro, dados de cidadãos do Marrocos são vazados, e isso tudo relatado há poucos meses. Na verdade, todos os dias, há pelo menos uma manchete informando sobre hackers ou algum roubo de dados de algum lugar e/ou de alguém que não deveria.
Exatamente por esse motivo, é importante entender como as violações de dados ocorrem, explorar várias maneiras de reduzir riscos de segurança e encontrar dicas para lidar com esse problema de violações de dados generalizado.
Como as violações de dados ocorrem e o que acontece logo depois
Uma violação de dados é definida pela Trend Micro como: “um incidente em que informações são roubadas ou extraídas de um sistema sem o conhecimento ou autorização do proprietário do sistema”.
O Relatório de Investigações de Violações de Dados (DBIR) de 2021, da Verizon, identificou que as violações mais frequentes são causadas por:
- Organizações que sofrem nas mãos de hacks cibercriminosos por meio de redes e e-mails de phishing, ou
- Sites que entregam malware para cometer fraudes ou espionagem ou de outra forma casos categorizados como “erros humanos”
O resultado, especialmente se uma organização estiver sob jurisdição do LGPD ou de outras leis voltadas para proteger a privacidade de dados, pode ser uma multa extremamente alta. O relatório da Verizon, por exemplo, relata que 95% das organizações impactadas por incidentes de segurança cibernética sofreram multas que variaram de US$ 826 a US$ 653.587.
Entre a LGPD, a GPDR e centenas de outras leis locais, normas de privacidade são onipresentes e a aplicação dessas leias só tende a aumentar com o tempo.
Violações de dados nos últimos anos
As violações de dados estão aumentando? De acordo com diversas estatísticas coletadas nos últimos meses, sim. Eva Velasquez, presidente e CEO do Identity Theft Resource Center, observa que eles estão “vendo uma mudança com o aumento das violações de dados em 2021 em comparação com 2020, principalmente devido ao crescente número de ataques de phishing, ataques de ramsonware e ataques à cadeia de suprimentos”.
Dados da Federação Brasileira de Bancos (Febraban) também mostram um aumento de 80% nas tentativas de ataques de phishing em 2021 no Brasil. Em outro estudo, a Sophos divulgou que pelo menos metade das empresas brasileiras sofreram algum tipo de ataque cibernético, com 56% desses ataques resultando em dados criptografados.
Os nomes associados a essas violações de dados também são muito mais reconhecíveis, pelo menos no que diz respeito às grandes empresas. Amazon, Facebook, Microsoft e Tesla divulgaram informações involuntariamente. No Brasil, Lojas Renner, CVC, Porto Seguro, Atento e Serasa Experian, além de órgãos governamentais, como o Ministério da Saúde, estão entre algumas das empresas impactadas.
Como é possível perceber, os nomes das empresas que sofreram uma ou mais violações aparecem no topo das mais conhecidas em seus segmentos. Rob Sobers, da empresa de segurança cibernética Varonis, observa que “também é evidente que as organizações ainda não estão preparadas o suficiente para violações, embora essas estejam se tornando cada vez mais comuns”.
A verdade é que muitas empresas ignoraram décadas de advertências antes que leis como LGPD e GDPR fossem aprovadas, bem como durante o período de carência dessas leis até que fossem aplicadas efetivamente.
Isso não significa que as violações de dados sejam inevitáveis. Embora ninguém pode afirmar que elas sejam 100% evitáveis, os riscos de segurança cibernética podem ser reduzidos.
Como mitigar riscos de segurança cibernética
Controle de acesso
Hoje, gerenciar documentos digitais e registros em papel torna a governança da informação um desafio, tornando o controle de acesso essencial para evitar violações de dados.
Pense tanto no físico quanto no digital
Phishing, e-mails de SPAM, telefonemas inesperados, pessoas que você não conhece aparecendo e dizendo que têm um compromisso urgente – tudo isso se enquadra no amplo guarda-chuva conhecido como engenharia social.
A engenharia social é definida pelo Oxford English Dictionary como “o uso de mentiras para manipular as pessoas a divulgarem informações confidenciais ou pessoais que podem ser usadas para fins fraudulentos”. Esse é um método muito popular para que cibercriminosos obtenham acesso a informações indevidamente.
Voltando ao relatório da Verizon, eles relatam “um salto nas violações de dados usando a engenharia social como um padrão no ano passado com uma tendência geral de alta desde 2017.”
E a psicologia é uma ferramenta difícil de superar. Este vídeo demonstra como muitas vezes pensamos que o que vemos é o que obtemos e, essencialmente, se você tem uma escada, pode entrar em praticamente qualquer lugar. Embora o vídeo reproduza a engenharia social para rir, isso torna nosso próximo ponto ainda mais importante.
Eduque e envolva a equipe nos riscos de violação de dados
A prevenção contra violação de dados não é algo que você pode gerenciar sozinho ou uma obrigação única da área de TI, é preciso contar com a vigilância de todos dentro da organização para garantir que as informações sejam acessadas apenas pelas pessoas certas e no momento certo.
Todos precisam fazer parte do processo e entender como é um e-mail de phishing, como lidar com dados confidenciais e muito mais.
Como tratamos no artigo How to Build a Modern Records and Information Management Program, “a consulta é vital para envolver a organização no processo de desenvolvimento de um plano de registros. Para que qualquer iniciativa em toda a empresa seja bem-sucedida, todos os funcionários devem ter a oportunidade de contribuir para o seu desenvolvimento.”
A criação de um programa de gerenciamento de informações para proteger e controlar as informações contra violação de dados (que os funcionários irão adotar) começa com três etapas:
- Colete feedback: obtenha informações de toda a organização sobre os tipos de registros que gerenciam ou produzem
- Crie um comitê: crie um conselho de governança de informações com representantes de cada departamento para coletar informações sobre novos procedimentos e necessidades de treinamento, trazer à tona questões à medida que surgirem e impulsionar a adoção do programa entre os funcionários
- Encontre um parceiro para ajudar: pesquise parceiros de gerenciamento de informações, não apenas fornecedores, que possam ajudar em todas as etapas do processo de gerenciamento de todo o ciclo de vida das informações, independentemente de começarem com arquivos em papel ou digitais.
Proteger as informações não é um trabalho único
Chegamos ao final? Infelizmente não. A segurança e a redução de riscos de violação de dados são um processo contínuo. Uma vez que se tenha tudo escrito e gravado e toda a equipe participado, é hora de configurar uma auditoria regular de seus processos.
Mesmo que o plano para evitar uma violação de dados não esteja a altura dos desafios da empresa ou tem sua implementação atrasada, o passo mais importante é simples: comece.
Pode parecer intimidante no começo, mas há um velho ditado que diz: “a melhor época para plantar uma árvore foi há 20 anos, o segundo melhor momento é agora”. Então, se a empresa ainda não o fez, plante essa árvore agora.
Recursos adicionais
Conheça mais dicas sobre como criar um programa de conformidade de privacidade que seja compatível agora e escalável para amanhã em nosso guia Desenvolvendo um programa de privacidade que funcione.
Transforme a gestão da informação dentro da sua empresa. Fale com um dos nossos especialistas e conheça nossas soluções.
