O tema é crítico e emergencial, ainda somos usuários que terceirizamos as nossas responsabilidades na prevenção e cuidados para maior segurança das informações. A geração da nuvem enfrenta desafios de segurança para armazenar esses dados.
A internet não tem fronteiras, negócios digitais já nascem globais, integrados e cada vez mais na nuvem. É preciso ter clara ciência que os “riscos e as responsabilidades“ devem levar em consideração os locais de atuação de sua empresa, assim como as informações de cidadãos e corporações de outros países para avaliar seu limite de responsabilidades.
Em maio de 2017, entrou em vigor a General Data Protection Regulation (GDPR), a nova regulamentação da União Europeia para proteção de dados que também atinge empresas em qualquer lugar do mundo que tenham negócios com clientes na Europa. Em julho deste ano, o senado brasileiro aprovou a lei que cria padrões apropriados para a proteção dos dados pessoais e define as situações em que estes podem ser coletados e tratados tanto por empresas quanto pelo poder público no País.
É fato que há um novo cenário e mercado mundial em formação. É necessário prezar pela “educação digital“ para elevar a maturidade no tema, existem muitos usuários, empresas desinformadas e, consequentemente, altamente vulneráveis.
A falha de segurança divulgada recentemente pelo Facebook expôs dados de 120 milhões de usuários da maior rede social do mundo. Também alertou que os questionários da NameTests coletam informações que são consideradas sigilosas. Os dados dos participantes eram coletados e armazenados em um arquivo JavaScript, que poderiam ser facilmente acessados por criminosos e utilizado para fins maliciosos.
Cabe lembrar que nas últimas décadas tivemos inúmeros e estrondosos casos de vazamentos de informações que deixaram muitos aprendizados e provaram o quanto é importante investir em segurança.
Entre os principais fatores sobre como prevenir vazamento de dados em sua organização, vale alguns alertas: temos que nos responsabilizar por nossas informações, controlar quem, como e onde são utilizadas. Deve-se manter na nuvem dados de identidade e outras informações, além de fazer um gerenciamento inteligente e integrado de dados, de forma preditiva. É importante proteger o CPF ou CNPJ para prevenir fraudes. A certificação digital, que comprova a identidade de pessoas físicas ou jurídicas, também assegura as transações online de documentos que necessitam de assinaturas entre as empresas, fornecedores, clientes e parceiros.
As ameaças internas deve-se ao fato de que a TI tende a focar na segurança do perímetro da rede em contra-ataques externos e dá pouca atenção às atividades maliciosas que acontecem na rede. A crescente mobilidade de dados corporativos e dispositivos torna roubos internos ainda mais vulneráveis. Diante disso, as empresas têm de repensar suas estratégias de segurança para garantir que hackers não entre.
Pesquisas mostram que a grande maioria dos ataques maliciosos internos é causada por funcionários insatisfeitos e que planejam deixar a empresa devido a cortes esperados ou por ter um novo emprego. Mas também as pessoas caem em ataques de phishing e clicam em links maliciosos em redes sociais.
É fundamental estabelecer políticas bem definidas e de fácil compreensão. No entanto, muitas empresas falham nesse ponto. Não se devem criar políticas apenas para ter uma lista de auditoria ou compliance. É essencial dar direções sobre requerimentos e comportamento esperado e definir, de forma explícita, atividades proibidas.
O risco de uma invasão e vazamento de informação está cada vez mais frequente. E não podemos ignorar que este também é um novo mercado do crime, afinal, quanto vale as informações para você e para o mercado? A prevenção tem que ser de forma preditiva e não mais proativa, dependendo do valor da informação ter que ser blindada ao extremo.
Esse tema precisa sair da teoria e fazer parte do DNA das corporações e das pessoas. A segurança física é geralmente ignorada quando se pensa em prevenir ataques internos, mas roubo é um crime de oportunidade.
(*) Longinus Timochenco é diretor de Cyber Defense Latam da Stefanini Rafael