0
0
Cabe às empresas ir além da papelada e dos firewalls para avaliar as situações que podem estar colocando seus dados em risco
Por Luciano Alves de Oliveira*
Entre a quebra do UE-EUA Privacy Shield (acordo assinado entre a União Europeia e os EUA que permite a transferência de dados com a proteção adequada), e a preocupação com a preparação para LGPD no Brasil, é evidente que os países ao redor do mundo – e, como resultado, as empresas – estão analisando com mais atenção o que significa proteção de dados e privacidade. Isso é bom, pois os problemas relacionados à segurança dos dados só estão crescendo: ataques cibernéticos, fraude e roubo de dados foram as principais preocupações observadas na avaliação do Fórum Econômico Mundial sobre os principais riscos deste ano.
Portanto, cabe às empresas ir além da papelada e dos firewalls para avaliar as situações que podem estar colocando seus dados em risco. Aqui estão cinco áreas de preocupação que, às vezes, são esquecidas pelas empresas.
Trabalhar com fornecedores do mercado cinza
Os fornecedores do mercado cinza (não reconhecidos pelo fabricante), oferecem soluções fora dos canais de distribuição legais. As empresas recorrem a essas soluções porque muitas vezes são mais atrativas financeiramente. O problema com esse provedor, entretanto, é que ele não é realmente o proprietário do código-fonte e o barato pode sair caro.
Isso deixa as empresas vulneráveis a dois problemas. Primeiro, a falta de conhecimento do produto por parte do fornecedor do mercado cinza pode resultar em configurações e personalizações que deixam os dados expostos. Em segundo lugar, como o produto está sendo distribuído fora dos canais de distribuição legais, ele não está sendo atualizado conforme necessário… o que leva ao ponto dois.CIO2503
Algumas vezes, como no caso de trabalhar com um provedor do mercado cinza, tantas mudanças inesperadas foram feitas na estrutura do sistema subjacente que é simplesmente impossível que a atualização ocorra ou o patch seja instalado.
Utilizar produtos desatualizados e sem correções
As atualizações e patches do produto costumam ser necessários para lidar com vulnerabilidades de segurança. Quando eles não são aplicados, o acesso backdoor aos dados pode ser possível. Na verdade, de acordo com um estudo da Tripwire, os profissionais de segurança de TI afirmam que 27% das violações são resultado de patches não aplicados em tempo hábil.
Algumas vezes, isso simplesmente acontece como resultado da falta de gerenciamento adequado de patches. No entanto, empresas que trabalharam com fornecedores do mercado cinza, não reconhecidas pelo fabricante, tiveram seus sistemas alterados por mudanças inesperadas na estrutura que simplesmente tornou-se impossível que a atualização ocorra ou o patch seja instalado.
Não avaliar o relacionamento com fornecedores
É tentador esperar que todos tenham o mesmo interesse na proteção de dados que você e sua equipe, mas se você operar sob essa premissa, estará colocando seus dados em risco. Esteja você trabalhando com consultores ou provedores de serviços, você precisa obter um bom entendimento das medidas que eles implementaram para proteger seus dados contra uso indevido ou violação. Certifique-se de fazer perguntas suficientes para obter um entendimento completo de suas práticas de segurança e incluir as expectativas de segurança diretamente em seus contratos.
Ajude os funcionários a entender conceitos como engenharia social e ataques de phishing. Certifique-se de que eles sabem o que fazer se encontrarem algo suspeito.
Não treinar adequadamente os funcionários
Desde a criação de senhas fracas até o não uso de redes seguras, às vezes são seus funcionários bem-intencionados que são a maior preocupação. É por isso que um treinamento de conscientização adequado deve ser realizado. Ajude os funcionários a entender conceitos como engenharia social e ataques de phishing. Certifique-se de que eles sabem o que fazer se encontrarem algo suspeito. E, principalmente agora, enquanto todos estão trabalhando em home office, certifique-se de que suas redes pessoais estejam protegidas e, se possível, exija o uso de uma VPN.
Não definir processos de resposta a incidentes claros
E o que acontece se ocorrer um incidente? Bem, quanto mais tempo dura o incidente, mais dados estão em risco. Em uma pesquisa do Grupo OTRS com executivos de TI em todo o mundo, perguntamos o que melhor os ajudaria a lidar de forma mais adequada com as violações. Para 40% dos entrevistados a primeira coisa de que precisavam era processos de gerenciamento de incidentes mais claramente definidos.
Claro, nunca há 100% de certeza quando se trata de gerenciar a segurança de seus dados, mas existem proteções que você pode implementar. Em primeiro lugar, olhe internamente: invista em treinamento, documente os processos de respostas a incidentes e os automatize sempre que possível. Em segundo lugar, examine seus fornecedores: determine se eles estão em conformidade com os regulamentos de dados, trabalhe exclusivamente com os fabricantes de software, certifique-se de não ser enganado por fornecedores não reconhecidos pelo fabricante da solução. Ao prestar atenção a essas áreas-chave, seus dados ficarão mais seguros e você estará menos sujeito a multas e a publicidade negativa que muitas vezes pode ocorrer após uma violação.
*Luciano Alves de Oliveira é o Diretor Geral da OTRS Brasil e Portugal
FONTE: CIO