Casos de perda de dados corporativos: que lição tirar disso?

O relatório Norton Cyber Security Insights 2016, feito pela Symantec, apontou números alarmantes de vítimas dos crimes cibernéticos, como perda de dados corporativos ou violações de informações. Segundo o relatório, cerca de 689.4 milhões de usuários foram afetados no mundo — sendo 42.2 milhões somente no Brasil.

É claro que, por mais que o perfil do usuário em estudo englobe pessoas que usufruem da internet em suas residências — os chamados “usuários domésticos” — esse elevado número de ocorrências deve impactar mais a vida das empresas, sobretudo em relação à sua própria segurança digital.

Assim, caso esteja sentindo certa preocupação, nós sugerimos que você encare isso como um bom sinal! A falta de preocupação  é o primeiro erro a ser cometido pela maioria das empresas.

Segurança de dados: a sua empresa faz isso da forma certa?

Certamente, não é a primeira vez que você ouviu falar sobre segurança de dados, não é mesmo? Essa questão tem sido frequentemente discutida devido ao crescimento da influência da tecnologia sobre os negócios.

A migração para um ambiente informatizado — assim como a transformação digital — sempre promoveram, discretamente, o grande desafio de criar um mecanismo de segurança eficiente. O que se torna um problema, a partir do momento em que o fator financeiro cumprir o papel de vilão, atuando como a maior barreira para se investir em uma robusta solução de segurança e levando o gestor a subestimar a sua importância.

Quando uma empresa acredita agir suficientemente bem delegando a tarefa a um funcionário com conhecimento razoável sobre segurança, por exemplo, ela praticamente atesta que os seus dados não possuem valor algum. Então, como o proprietário agiria caso os dados confidenciais dos clientes fossem roubados ou violados?

A questão é que não se deve esperar acontecer o pior para tomar atitudes necessárias. Investir em segurança está longe de ser um gasto, visto que a integridade dos dados — assim como o acesso restrito apenas a usuários autorizados — já pagam todo o dinheiro investido.

Não seria de nenhum exagero considerar, inclusive, que o investimento é lucrativo. Afinal, se informações forem perdidas, o prejuízo terá um preço muito maior.

Quais são os 5 erros que comprometem a segurança dos dados de uma empresa?

Falamos anteriormente sobre as empresas caírem na ilusão de se acharem seguras, criando mecanismos de segurança frágeis, mas considerados suficientes para garantir que os dados estão bem guardados — seja por subestimarem as ameaças ou por pura falta de conhecimento.

Agora, elencaremos os 5 erros capazes de atestar se uma empresa está, ou não, equivocada a respeito da Segurança da Informação. Vejamos:

1. Desconhecer as ameaças internas (insider threats)

A insider threat — também conhecida como ameaça interna — pode ser entendida como o perigo que corre por dentro da própria empresa a ser atacada. Em outras palavras, são ameaças representadas pelos próprios colaboradores ou pessoas ligadas à empresa.

Muitas coisas podem motivar uma pessoa a se tornar um insider threat, como o uso das informações confidenciais para ganho pessoal ou financeiro, ou, simplesmente, um software malicioso, instalado por um funcionário, que esteja abrindo portas para o invasor.

Em suma, alguém pode se tornar uma ameaça tanto de forma intencional como não intencional, do mesmo modo que o indivíduo pode estar disfarçado — não ser um funcionário, mas sim alguém infiltrado.

2. Não definir uma Política de Segurança da Informação

Embora isso seja mesmo muito importante, a blindagem dos dados não deve se resumir a uma boa infraestrutura e implantação de ótimas soluções de hardware e software do mercado.

Os colaboradores (de todos os níveis hierárquicos) devem ser os principais guardiões da informação. Afinal, como já explicamos, muitas das ameaças que uma empresa está sujeita a sofrer são internas. Sendo assim, a solução deve começar de dentro para fora.

Estabelecer uma Política de Segurança da Informação eficiente, em que todos os funcionários recebam treinamentos, orientações e advertências sobre os perigos acerca da integridade dos dados já é um grande passo para prevenir a empresa das ameaças.

Mas o que é, exatamente, uma Política de Segurança da Informação? Basicamente, trata-se de um documento elaborado pelo gestor de TI (em conjunto com diretores dos demais departamentos), no qual são registrados princípios e diretrizes de segurança — que deverão ser seguidas por todos os colaboradores da organização.

3. Acreditar que a empresa não será alvo de cibercriminosos

Ter plena convicção de que nenhum cibercriminoso se interessará em invadir o sistema da empresa é um erro tremendo e, de certo ponto, incompreensível. Afinal, se existe dinheiro girando em função do negócio, como poderia um cracker não se interessar em invadi-lo?

Quando há esse menosprezo pela onda — que está mais para um tsunami — de crimes cibernéticos que aflige inúmeros negócios todos os anos, é natural que a empresa se torne um alvo fácil. Afinal, a gestão é orientada a economizar com a segurança, que, como se diz por aí, nunca é demais.

4. Investir somente na proteção dos servidores

Fornecer toda a segurança possível ao servidor é importante e indispensável, mas não é o essencial. Em um ambiente de TI, existem os mais diversos computadores e dispositivos conectados, como se estivessem acorrentados uns aos outros.

Diante disso, um ataque ao PC de um funcionário qualquer, por exemplo, pode ser o suficiente para o invasor adquirir as suas credenciais e, consequentemente, o acesso a determinadas informações e privilégios.

Em suma, partindo da premissa que as ameaças podem vir de quaisquer componentes conectados dentro da empresa, é essencial criar meios de segurança para todos os computadores, e não somente para os servidores críticos.

5. Não divulgar a violação de dados

Por mais difícil que seja assumir um erro, é mais do que fundamental divulgar o ocorrido para recuperar a confiança dos clientes. Negligenciar isso pode significar, entre muitas coisas, que a empresa não está sendo transparente e, muito menos, honesta.

Segundo Giovanni DeMeo, vice-presidente de marketing e análise global da Interactions, recomenda-se que a comunicação deve acontecer o quanto antes, e deve permanecer constante, atualizando os clientes sobre a situação e explicando o que está sendo feito para solucionar o problema.

Ransomware: esse vírus pode acabar com a sua empresa?

Em tempos mais “remotos”, quando o assunto era malwares ou vírus de computador, o CRASH e o também famoso cavalo de troia eram sempre citados.

Nos dias atuais as pragas atendem por nomes mais sofisticados, além de possuírem funcionalidades muito mais agressivas e ameaçadoras para o mundo corporativo, capazes até mesmo de destruir uma empresa.

Uma dessas ameaças se chama ransomware, que é usada para fazer uma espécie de sequestro dos dados para que sejam liberados mediante um pagamento — ou seja, a empresa se torna refém dos cibercriminosos.

Na prática, os dados da vítima são criptografados para bloquear o acesso e só podem ser descriptografados pelo infrator. É como se, ao logar em um computador, o usuário não conseguisse acessar os seus arquivos e só pudesse recuperá-los pagando pelo resgate.

Em um ambiente corporativo, um ataque de ransomware pode gerar indisponibilidade e inoperabilidade do sistema, violação de dados, interrupção de serviços e processos, danos irreparáveis de dados, perda de confiabilidade por parte dos clientes etc. Além, é claro, de mais prejuízo financeiro decorrente da recuperação de dados.

De fato, os ataques de ransomware têm crescido muito nos últimos anos, sendo o Brasil vítima de cerca de 92% dos casos na América Latina. É o líder isolado — o que faz das empresas brasileiras alvos constantes, correndo sérios riscos.

1. Como o ransomware surgiu e se expandiu

Antes da criptografia aparecer no mundo da tecnologia, os criminosos usavam de um malware que bloqueava sistemas operacionais e outros recursos, para, então, pedir por um valor de resgate. Na época, esses não eram chamados de hackers ou crackers, mas sim blockers.

Com o avanço dos meios de pagamento digitais, essa prática deixou de ser viável. e os casos envolvendo blockers foram se extinguindo. Porém, com a chegada da cryptomoeda (principalmente os bitcoins), o golpe voltou com tudo. Isso porque essas moedas não são controladas pelo governo, portanto, não há como rastreá-las.

E como a criptografia já era uma realidade, os cryptors (como eram chamados) passaram a fazer os seus ataques criptografando dados e discos, e exigindo que uma quantia considerável fosse paga para que o acesso fosse liberado.

Após essas ondas de cibercrimes, os então chamados cryptors migraram para o ransomware. Ou seja: a prática já existia há muito tempo, ela apenas se desenvolveu a ponto de crescer de 131.111 tentativas entre 2014/15 para 718.536 entre 2015/16 (de acordo com análises da especialista em cibersegurança Kaspersky).

2. A tendência de ocorrências envolvendo ransomware para 2017

Infelizmente, assim como a economia brasileira — que, aparentemente, não pode piorar — os ataques de ransomware, que já não são poucos, devem aumentar em 2017. E os fatores para essa previsão se concretizar são muitos.

Um bom exemplo está no crescimento da Internet das Coisas, que tem gerado a criação de invenções incríveis, como casas inteligentes e componentes de infraestrutura. Tudo isso, por outro lado, pode ser mais um alvo para ataques de ransomware.

Imagine, por exemplo, o terror que uma família enfrentaria ao ter a sua casa remotamente dominada por criminosos. Ou que você está dentro de um carro altamente tecnológico, que terá suas funções dominadas por terceiros!

Então, se a sua empresa possui recursos como esses — a exemplo do controle de água e energia existente em alguns hospitais — é mais importante ainda investir em proteção.

E a verdade é que, enquanto as empresas ainda se colocarem na condição de pobres reféns, por não possuírem garantias de que não serão atacadas, a onda de ransomware não só continuará como também dará origem a novos malwares ainda piores.

É preciso, portanto, investir pesado em segurança não só com vista em proteger os dados, mas também em desmotivar os criminosos a agirem. Quanto maior o avanço das tecnologias de segurança, maiores serão os casos em que criminosos fracassaram, até que passem a ser pegos.

3. Orientações do FBI para vítimas de ransomware

Tamanha proporção que os casos de ataques tomaram fez com que até mesmo o FBI começasse a colaborar no combate ao ransomware. Publicando, inclusive, conteúdos altamente recomendáveis para quem se responsabiliza pela segurança de dados da empresa, como o Ransomware on The Rise.

Dentre as orientações do FBI, um bom destaque é que, caso a empresa sofra algum ataque dessa natureza, ela não deve fazer o pagamento do resgate em hipótese alguma. Afinal, o pagamento não garante que todos os dados sejam desbloqueados, e a atitude estimula os criminosos a continuarem investindo nesses ataques.

O que podemos aprender com os casos de sequestro de dados?

1. HSBC perde informações de sobre 180 mil clientes

Em abril de 2008, a versão on-line do jornal britânico The Guardian noticiou que o banco HSBC passaria por uma investigação em decorrência de uma perda de dados — mais especificamente um disco contendo dados confidenciais de 180 mil clientes, incluindo informações ligadas a seguros e hipotecas.

Um fator agravante do caso é que o montante de informações só estava protegido por senha, sem criptografia. Embora a instituição tenha declarado que nenhum cliente foi prejudicado, a Autoridade de Serviços Financeiros (FSA) multou três filiais em $3.2 milhões de euros.

2. Governo britânico perde dados bancários de 25 milhões de pessoas

De fato, dados bancários são uma verdadeira mina de ouro para os criminosos. Em novembro de 2007, o mesmo The Guardian havia noticiado que o governo da Grã-Bretanha perdeu nada menos que 25 milhões de dados bancários. Será possível imaginar a dimensão disso tudo?

Nesse caso, quem portava e se responsabilizava pelos dados era o HMRC — que funciona como a Receita Federal brasileira — e o conteúdo em questão era referente às famílias que recebiam pensão para os filhos menores de 16 anos.

3. Hospital americano é atingido por ransomware e extorquido

Um caso mais recente ocorreu em 2016, desta vez envolvendo o Kansas Heart Hospital, localizado na cidade de Wichita (a mais populosa do estado americano de Kansas).

Segundo o presidente do hospital, tudo começou quando um funcionário do hospital perdeu o acesso aos dados, que haviam sido bloqueados por cibercriminosos. A condição para que o hospital voltasse a ter acesso aos arquivos, no entanto, era pagar uma quantia em dinheiro.

Após fazer o pagamento dos valores exigidos pelos invasores, apenas um acesso limitado aos dados foi concedido ao hospital — que foi intimado a fazer um novo pagamento. O hospital não viu outra saída que não fosse efetuar o pagamento e, assim, recuperou o acesso aos dados de seus pacientes.

Que lições tirar desses casos?

Bem, todas essas 3 situações envolveram grandes instituições e órgãos, que não teriam sofrido tanto prejuízo se tivessem feito um investimento mais efetivo na segurança de dados.

Portanto, se empresas que trabalham com um altíssimo volume de dados já registraram problemas como esses, por que deixar os dados corporativos da sua empresa expostos aos perigos cibernéticos?

Quanto realmente custa a perda de dados corporativos?

Uma eventual perda de dados corporativos pode gerar sequelas que vão muito além de arquivos danificados ou dinheiro gasto para recuperá-los. Transparência é uma questão muito importante para o cliente — que, por sua vez, é o maior patrimônio que uma empresa pode ter.

Portanto a verdadeira perda pode chegar longe. A começar pela reputação que é manchada, resultando tanto na perda de clientes como em uma maior dificuldade para reconquistá-los e conseguir novos clientes.

Afinal, o cliente prejudicado não fará uma boa “propaganda” da empresa que não levou a segurança a sério, tratando os seus dados com menos valor do que, de fato, merecem.

Voltando para o aspecto financeiro, temos dois fatores agravantes: o primeiro envolve as questões legais, em que a aplicação de multas está prevista em contrato; a outra está relacionada ao montante que será desperdiçado para resolver um problema que jamais deveria ter acontecido.

Nesse sentido, é impossível mensurar em números o quanto a sua empresa perderia ao sofrer com a perda de dados. Porém, como você conhece o negócio e, principalmente, os seus clientes, sabe o valor que ele tem e quanto isso tudo implicaria em danos.

Por outro lado, se a sua empresa faz um investimento significativo em segurança e trata os dados corporativos com o mesmo carinho que trata os seus cofres, ela será altamente respeitada e conceituada no mercado.

Sendo assim, considere este mais um ótimo motivo para a sua empresa investir na segurança. E se você ainda não sabe por onde começar, não se preocupe! Logo abaixo passaremos algumas dicas providenciais para você já começar a garantir a proteção das informações. Confira:

Gerenciando dados corporativos: afinal, como se proteger dos riscos do Ransomware?

Agora, você deve estar se perguntando: o que as empresas fazem para promover a segurança de dados?

Obviamente, com a perda de dados se tornando uma das maiores preocupações no mercado nos últimos anos, executivos e dirigentes rapidamente passaram a investir em boas práticas, como fazer auditorias de backup e buscar por soluções para proteção e gerenciamento de dados corporativos.

Então, por que o interesse no gerenciamento de dados? Bem, lembre-se de um dos principais erros que comprometem a segurança de informações: as ameaças internas (insider threats).

Por mais que haja uma infraestrutura em questão de hardware e software, todos esses mecanismos podem não significar nada quando o criminoso tem em mãos o controle dos dados. Com isso, a função do gerenciamento é tomar esse controle, para que nenhum outro indivíduo conquiste o pleno acesso.

Conhecidas como DLP (Data Loss Prevention), as tecnologias de prevenção de perda de dados servem para prestar o auxílio necessário para evitar que informações sejam perdidas em decorrência de vazamento, por exemplo. Mas, para estabelecer o controle dos dados é preciso seguir alguns passos, como:

  • determinar os dados que devem ser protegidos com base na confidenciabilidade;
  • mensurar a relevância que cada informação tem para os negócios;
  • avaliar os riscos e estabelecer os controles de segurança necessários para garantir a proteção dos dados que requerem maior atenção;
  • implementar os sistemas de acordo com os requisitos de segurança, considerando as probabilidades indicadas pela avaliação de riscos.

Quais as vantagens desses passos?

Tais medidas são úteis para casos em que é preciso ter controle de dados não estruturados, ou seja, que estão espalhados em dispositivos variados em todos os departamentos da empresa.

Nesse caso, determinar os dados a serem protegidos é uma tarefa que deve ser realizada em conjunto com os setores em questão, definindo, assim, as regras para controlar o acesso aos dados. E mensurar a relevância nada mais é do que determinar o impacto que o vazamento ou a perda de determinada informação causaria.

Por fim, a avaliação de risco serve ainda para ter uma noção da probabilidade das possíveis ameaças se concretizarem. Com base nisso, a empresa pode estabelecer diferentes tipos de controle para cada tipo de dado, criando medidas que estejam alinhadas aos requisitos que garantem a devida proteção.

Gostou de saber como proceder para evitar a perda de dados corporativos na sua empresa? Quer receber novas dicas diretamente na sua caixa de e-mails? Basta assinar a nossa newsletter!


Compartilhe com um amigo!