5 Problemas de perdas de dados

Top 5 problemas da perda de dados nas empresas

A perda de dados nas empresas é um assunto que sempre está em alta e são diversos os fatores que influenciam na preocupação com a Segurança da Informação: a constante importância do setor de TI para os negócios, o valor de cada informação nos dias de hoje, o crescimento na onda de ataques cibernéticos etc.

Por que a Segurança de Dados é fundamental para as organizações? Quando informações cruciais são perdidas ou violadas, os prejuízos financeiros, morais e éticos passam a ser iminentes. Multas previstas em contrato, quebra de confiança por parte dos clientes e custos com recuperação são outras consequências certas.

Ainda não investe na Segurança de Dados da sua empresa?

O aumento nas receitas do mercado de software de segurança previsto para 2018 (cerca de 38.2 bilhões de euros) é uma prova de quanto as companhias estão procurando blindar os dados armazenados em seus sistemas.

Investir em soluções completas de segurança, assim como a adequação aos padrões internacionais — como o ISO 27001 e 27002 — para a montagem políticas de segurança, acima de tudo deve ser encarado como um esforço pelo comprometimento que as corporações devem ter com os seus clientes.

Porém, a empresa que é referência na Segurança da Informação ganha certas vantagens no mercado, como:

  • forma preventiva de reduzir custos, visto que a empresa fica imune a danos financeiros decorrentes da perda de dados;
  • contribuição para a boa imagem da empresa em comparação aos concorrentes que não possuem certificações e infraestrutura de segurança adequada;
  • reputação construída ao longo do tempo, na qual resultará em clientes satisfeitos.

Mas para que exatamente serve o investimento afinal? Quais as principais causas da perda de informações? A seguir elencamos 5 razões comuns para que isso aconteça. Aproveite para analisar se a segurança de dados em sua empresa deixa — ou não — a desejar.

5 principais causas de perda de dados nas empresas

1. Inexistência de uma Política de Segurança da Informação

É pertinente que esse fator esteja no topo da lista, pois parte dos demais fatores elencados são consequências do não estabelecimento de uma Política de Segurança da Informação.

Imaginemos que um funcionário, recém-contratado, logo ao conhecer seu novo ambiente de trabalho depara-se com os colegas livremente acessando páginas diversas e sendo irresponsáveis para com o patrimônio da empresa.

A sua primeira impressão será de que a empresa não se importa com a segurança ou não tem noção dos riscos que a internet oferece. Se ele considerará isso bom ou não, dependerá exclusivamente do seu senso de profissionalismo.

Definir uma política é fundamental para criar uma organização no que corresponde ao uso da tecnologia dentro da empresa. Os dados são um elemento de altíssimo valor e não devem, em hipótese alguma, ficar vulneráveis às ameaças externas.

1.1 O que é e como criar uma Política de Segurança?

É um documento que deve ser produzido pelo departamento de TI junto aos demais departamentos da empresa, no qual serão descritos os princípios, as diretrizes e as regras de uso da tecnologia.

A implementação do conteúdo na prática é feita por meio de treinamentos, orientações e advertências (sempre que necessário). Medidas como essas fazem com que os próprios funcionários se tornem guardiões da informação e permaneçam estimulados ao auto-policiamento.

2. Danos com vírus e malware

A cada dia surgem mais ameaças para a Segurança da Informação, seja a execução de novas técnicas de penetração, seja a criação de um novo tipo de vírus / malware. Segundo um relatório da Symantec, 42.4 milhões de usuários foram afetados por cibercrimes no Brasil em 2016.

Fato é que nenhuma empresa está segura nos dias de hoje, sobretudo aquelas que até o momento não implantaram um mecanismo de defesa que ao menos amenize os riscos. Em meio a tanto, não é difícil encontrar empresas que não acreditam que podem entrar na mira dos cibercriminosos.

Os ataques cibernéticos em companhias têm como maiores consequências o roubo, a violação e o sequestro de dados sigilosos armazenados em seus sistemas.

Em outros casos, os quais podemos enxergar como “menores”, o sistema operacional sofre danos às vezes irreparáveis e fica mais exposto, com as portas vulneráveis a invasões.

3. Desconhecimento das ameaças internas

As ameaças internas (insider threats) são representadas por colaboradores, terceiros que estejam em ambientes restritos ou pessoas infiltradas — o que se configura, também, como uma falha geral de segurança — e, naturalmente, passam a ter acesso pleno ou parcial, caso haja uma hierarquia de acesso, aos dados da empresa.

Em ambas as situações, o insider threat não necessariamente é uma pessoa mal-intencionada. Dependendo do nível de supervisão, assim como as políticas de uso da tecnologia, é comum que funcionários tenham liberdade para visitar qualquer página da web e baixar conteúdos. Com isso, as contaminações oriundas de sites hospedados em servidores maliciosos e malware costumam ser a causa-efeito.

4. Problemas com energia elétrica

As quedas de energia oferecem riscos maiores em ambientes administrativos, em que aplicações de software de produtividade, como as ferramentas do Office, são utilizadas a todo momento.

Possivelmente, você — enquanto usuário doméstico — já pode ter perdido informações que não foram salvas antes da energia acabar. Imagine então o quanto um ambiente com dezenas de computadores está sujeito a perder?

Outro ponto a ser ressaltado sobre os perigos da queda de energia é o impacto ao qual os computadores estão expostos. Quando desligados inadequadamente, o sistema operacional pode apresentar falhas de boot ou a própria CPU ter algum de seus componentes queimados — inclusive o disco rígido (HD).

5. Falhas humanas

Pode-se entender como “falhas humanas” alguns acidentes e práticas não recomendadas que envolvem aspectos físicos e lógicos, tais como:

  • remoção de um dado ou arquivo por acidente;
  • gravação em cima de um arquivo existente;
  • desinstalação / alteração de arquivos cruciais do sistema;
  • exposição da máquina a líquidos (água, café etc.);
  • distrações que resultem na danificação do computador (quedas, armazenamento em ambientes de risco, entre outros).

Os riscos que ameaçam a integridade física dos computadores são ainda mais recorrentes quando a empresa fornece notebooks ou dispositivos móveis, como o tablet, como ferramentas de trabalho. Não é por acaso que algumas fabricantes de laptops oferecem garantias contra danos acidentais.

6. Corrupção de dados

Essa causa está diretamente relacionada à vulnerabilidade do sistema, pois, na maioria das vezes, os arquivos são corrompidos por consequências de ataques de ransomware (sequestro de dados).

O ransomware é um malware que tem como principal função criptografar ou impedir o acesso a uma grande quantidade de arquivos de um computador, sistema de dados ou até mesmo de uma rede inteira. Para que o acesso seja retomado, o vírus exige um pagamento (geralmente feito em criptomoedas, como o Bitcoin) em troca de uma senha que libera o acesso ao dispositivo. Caso o resgate não seja feito ou o usuário tente desbloquear o aparelho por força bruta, dados podem ser removidos permanentemente.

7. Falta de backup

Da mesma forma que a falta de uma boa solução de antivírus deixa o sistema vulnerável, a negligência com o backup é altamente prejudicial para a empresa — além de ser um dos principais motivos que levam à perda de dados.

A sua empresa está com dificuldades para seguir o cronograma de backup? Então um software de automatização de backup profissional é a uma das soluções para garantir que as cópias de segurança sejam feitas com frequência.

Ah, não posso deixar de dizer que a Eco IT é especialista em Backup Profissional para empresas. Veja mais sobre nosso serviço aqui: EcoCloudBackup

Por outro lado, caso a dificuldade seja acompanhar se o processo está sendo executado corretamente, é recomendado fazer auditorias de backup.

O que o mundo corporativo pensa acerca da Segurança de Dados?

Um relatório divulgado pela Dell em março de 2016, cujas informações foram coletadas por meio de pesquisas com mais de 1300 tomadores de decisão em negócios e também do setor de TI, nos abre um panorama do mundo a respeito das maiores preocupações das companhias com a proteção de dados.

Dentre todas as conclusões que se pode tomar a partir do documento, os seguintes índices retratam a densidade do problema:

  • 3 a cada 4 executivos (C-suite) consideram a segurança de dados uma prioridade, mas apontam que a questão ainda precisa ser melhor difundida entre os tomadores de decisão;
  • mais da metade dos entrevistados esperam investir mais em segurança nos próximos cinco anos;
  • 58% apontam a falta de profissionais altamente treinados no mercado, o que pode levar a metodologias, técnicas e práticas desatualizadas;
  • 73% dos tomadores de decisão estão preocupados com malwares e ataques cibernéticos, principalmente nos Estados Unidos, Índia e França (vale lembrar que o Brasil lidera os índices de cibercrimes na América Latina);
  • 82% limitam os pontos de acesso a dados por parte dos funcionários;
  • 57% se preocupa com a qualidade da encriptação usada na empresa.

Com base na pesquisa, é correto afirmar que a maioria das empresas estão atentas às ameaças cibernéticas e estão dispostas a melhorar a segurança de dados, seja no sentido de criar níveis de acesso mais restritos ou de investir em tecnologias e pessoas mais bem capacitadas para cuidar proteger as informações.

Perdi dados da minha empresa, o que pode ser pior que isso?

Se para você a perda de acesso a documentos relevantes já é um prejuízo significativo, saiba que essa é somente a ponta do iceberg.

Nós abordamos concisamente, em tópicos anteriores, sobre os danos econômicos e outros — que afetam diretamente nos processos de TI do negócio — inseridos a cada byte perdido. Agora, tocaremos mais nesse ponto para que você compreenda melhor esses impactos.

Veja a seguir alguns impactos que a perda de dados pode causar à sua empresa.

1. Custos para a recuperação dos dados

Recuperar os dados não é uma tarefa simples, afinal, o serviço poderá abranger reparos físicos, elétricos e lógicos do disco rígido, além de resolver outros problemas que impedem a leitura dos dados — que podem estar corrompidos.

Ou seja, a complexidade da recuperação demanda um trabalho árduo e minucioso, e é justamente a densidade desse trabalho que definirá o preço final do serviço, embora possa existir serviços que usem outros critérios para definir o preço.

2. Multas e penalidades

Dependendo do contrato firmado entre as partes, a perda de dados nas empresas pode resultar em multas e penalizações.

Podemos citar como exemplo o caso da Ameriprise Financial, que ocorreu em 2006, devido à perda temporária de um notebook — roubado do automóvel de um funcionário — que armazenava informações de mais de 150 mil usuários. A empresa foi multada em 25 mil dólares, valor que cobriu o custo das investigações feitas pelo estado de Massachussetts.

3. Perda no controle dos processos

Quando os dados permanecem indisponíveis por horas ou dias, consequentemente a empresa passa por sérias dificuldades para dar continuidade aos processos.

Você já imaginou, por exemplo, se um presídio perdesse dados de todos os detentos que foram presos nos últimos anos? De repente o Estado teria milhares de presos “anônimos”, o que causaria, no mínimo, uma grande repercussão.

O pior é que, no ano de 2008, um fato como esse já aconteceu no Reino Unido, quando o departamento Home Office britânico perdeu os dados de todos os presos da Inglaterra e do País de Gales — cerca de 84 mil pessoas.

Em muitas situações, dependendo do segmento da empresa, o caos administrativo e a falta de controle podem empurrá-la para a falência.

4. Prejuízos financeiros

Dessa vez não nos referimos às despesas, mas sim ao valor que pode ter sido roubado diretamente com a perda de dados bancários, que são o principal alvo dos cibercriminosos.

Para exemplificar a situação temos um caso mais recente, ocorrido em 2014, que não envolve exatamente a perda, mas sim a violação de dados — o que de certa forma não deixa de ser uma perda, visto que as informações caíram nas mãos erradas.

O caso que ficou conhecido como JPMorgan Chase Data Breach (Caso JPMorgan de Violação de Dados), que consistiu no roubo de informações de mais de 76 milhões de famílias e 7 milhões de pequenas empresas. Para realizar a trama, os hackers usaram as credenciais de um funcionário do banco e acessaram o sistema.

Acontecimento semelhante a esse foi protagonizado pelo banco HSBC, quando, em 2008, perdeu de dados (que estavam protegidos somente por senhas) de mais de 180 mil clientes. Na época, três de suas filiais foram multadas em mais de 3 milhões de euros pela Autoridade de Serviços Financeiros (FSA).

5. Perda de clientes

Perder dados pode significar também perder os seus clientes. Permitir que informações sigilosas, muitas vezes relacionadas às empresas que contrataram os seus serviços, é um problema que dificilmente gerará uma compreensão.

Que outros danos derivam desse impacto? Decerto os clientes insatisfeitos não permanecerão calados, o que prejudicará (e muito) a empresa para a aquisição de novos clientes — sobretudo se houver escândalos sobre o caso.

Resumindo, o seu negócio foi obrigado a arcar com: a recuperação de dados, o tempo de indisponibilidade, as penalidades legais previstas em contrato, a perda de clientes e os obstáculos a serem enfrentados até que tudo volte ao normal.

Quero proteger a minha empresa! Armazenar dados em nuvem é suficiente?

O armazenamento na nuvem, também conhecido pelo termo cloud computing, tem sido uma solução adotada por cada vez mais empresas que estão em busca de segurança e disponibilidade dos dados, consolidando-se como alternativa ao tradicional datacenter.

Mas, o que diferencia a nuvem do datacenter? Uma breve e válida definição para os datacenters é que são infraestruturas de servidor, instaladas interna ou externamente, que armazenam e disponibilizam os dados do usuário 24 horas por dia. Já a nuvem, em vez de manter os dados em um só local, faz a replicação dos dados em vários servidores espalhados pelo mundo, ou por diversos locais geográficos, de forma automatizada, escalável e com pouquíssima ou nenhuma interação humana.

Como o datacenter consiste em manter os dados em um único local, por mais que estejamos falando de uma infraestrutura de alto nível, o servidor está sujeito a sofrer perda total em casos de desastres (naturais ou humanos), gerando como consequência muitas dores de cabeça!

Essa diferença primária entre os métodos nos explica a razão da nuvem estar em constante crescimento. A computação em nuvem fornece mais garantias da disponibilidade dos dados, pois é mais maduro com relação a imunidade aos desastres que “rondam” os datacenters.

No entanto, a segurança por trás da infraestrutura de cloud computing é o suficiente para que os dados estejam efetivamente protegidos? Vamos a uma pequena análise!

Segurança da computação na nuvem

Grandes serviços de computação na nuvem, como a Amazon Web Services (AWS) e Microsoft Azure, são fornecidos por empresas de alta confiabilidade e devidamente certificadas pelos mais respeitados institutos que avaliam a Segurança da Informação e a infraestrutura. Além disso, assim como em datacenters de excelência, os clientes contam com alguns dos maiores experts do mercado global para assegurar que os sistemas estejam imunes a ameaças cibernéticas.

Levando em consideração todos esses aspectos, é natural que muitos executivos e tomadores de decisão concluam que migrar para a nuvem é o suficiente. No que cabe a responsabilidades do fornecedor, esse raciocínio faz sentido, porém, nem sempre os problemas acontecem por parte do fornecedor — na verdade, são raríssimos os casos.

A segurança dos dados dependerá sempre de a empresa seguir ou não as melhores práticas, ou seja, definir mecanismos que venham a blindar os arquivos de perda, roubo e violação. Portanto, colocar os dados na nuvem não é o suficiente: é necessário atentar-se a tudo que acontece no ambiente interno da empresa.

Confira a seguir algumas dicas e melhores práticas recomendadas para empresas que decidem armazenar os dados na nuvem.

Os pontos fracos do cloud computing para a Segurança da Informação

O problema pode estar dentro da própria empresa

Você se lembra de quando falamos sobre as ameaças internas (cyber threats)? Elas são um grande risco para as informações armazenadas na nuvem — assim como para outros tipos de armazenamento de dados —, pois o acesso passa a ser inteiramente virtual.

Diante disso é primordial que os departamentos restrinjam o acesso para prevenir que terceiros ou funcionários não autorizados se aproximem dos computadores.

A falha humana é um outro aspecto relevante. Quando os colaboradores não tratam as informações com a devida responsabilidade, eles se tornam verdadeiras brechas para que um cibercriminoso invada o sistema e colete as credenciais de acesso (login e senha), o acesso indevido ao ambiente em nuvem pode ser feito em poucos instantes.

Dependência da conexão de banda larga

Uma das maiores vantagens do cloud computing é ao mesmo tempo um ponto fraco: a infraestrutura é externa. A partir do momento em que a empresa migra completamente para a nuvem, ela dispensa a necessidade de manter uma infraestrutura local.

O maior benefício disso é a redução de custos, pois o investimento em equipamentos é reduzido consideravelmente. Em contrapartida, basta a conexão com a internet falhar e todos os serviços passam a ficar inoperantes, ou seja, a empresa não consegue acessar dados e aplicações.

Quais são as soluções para estabelecer a segurança na nuvem?

1. Tenha um Plano de Continuidade de Negócios

Um Plano de Continuidade de Negócios (PCN), como o próprio nome diz, serve para manter em funcionamento os processos do negócio quando ocorrer alguma paralização, inoperância ou desastre.

A estrutura do PCN se subdivide em 4 planos, que são:

  • Plano de Contingência;
  • Plano de Administração de Crises;
  • Plano de Recuperação de Desastres;
  • Plano de Continuidade Operacional.

2. Invista em software de segurança para o ambiente interno

Por mais que as senhas utilizadas por todos os funcionários sejam complexas, conforme orientações, fato é que o acesso à nuvem continuará apresentando vulnerabilidades enquanto não houver uma solução de antivírus e firewall eficazes.

Programas de criptografia de dados são fundamentais para impedir que as credenciais de acesso dos funcionários sejam coletadas — sem uma estrutura de segurança, isso pode acontecer mesmo que eles apliquem as melhores práticas.

3. Crie uma política de backup de dados

Da mesma forma que a política de segurança é fundamental para prevenir informações das ameaças internas e externas, a política de backup é essencial para garantir que os dados não sejam perdidos — isto é, estejam sempre recuperáveis.

Na política de backup de dados, define-se a frequência com que as cópias de segurança serão realizadas, que tipo de cópia será executada (incremental ou completa) e no que elas serão baseadas (criticidade / frequência em que informações são introduzidas).

Algumas diretrizes recomendadas para construir uma política de backup eficiente são:

Registros e documentação

Estabelece que todo backup realizado deve ser registrado nos mínimos detalhes e armazenados junto a uma documentação contendo os procedimentos recomendados para uma eventual recuperação.

Níveis de backup

Os dados não devem ser tratados com igualdade, afinal, existem os que são mais e menos importantes para os negócios — os que se enquadram na primeira categoria merecem maior atenção.

Cabe à empresa analisar o nível de cada informação e o respectivo método de backup a ser executado. É importante que essa estratégia evolua na medida em que a empresa (e seu volume de dados) cresce.

Na computação em nuvem, especificamente, muitas empresas adotam a Nuvem Híbrida para conceder mais proteção aos dados relevantes (armazenados no modo de Nuvem Privada), distinguindo-os dos dados não cruciais (movidos para a Nuvem Pública).

Localidade remota

Uma medida bastante válida é armazenas cópias de backup em localidade distinta, que garantirá a integridade dos dados mesmo que um desastre venha a ocorrer.

Neste post você aprendeu sobre as causas e impactos envolvendo a perda de dados nas empresas e esperamos que o conteúdo tenha sido de grande utilidade!

Quer adquirir ainda mais conhecimento sobre o tema? Então conheça alguns casos de perda de dados corporativos e as lições que devemos tirar disso!

O post Top 5 problemas da perda de dados nas empresas apareceu primeiro em Experiência Digital.


Compartilhe com um amigo!