Como combater o vazamento de dados
Longinus Timochenco, da Stefanini Rafael
O mundo da segurança cibernética está evoluindo e as novas tecnologias estão ajudando indiretamente os hackers a encontrar brechas na segurança de dados. Um exemplo recente da crescente escala desses crimes foi o ataque de ransomware conhecido como WannaCry. Vale lembrar que já existe o alerta de novos ataques em massa para 2019 nos ambientes de IoT – Internet das coisas e de automação industrial. É importante manter atenção constante, pois são espaços altamente vulneráveis e que precisam de soluções de cyber defense.
Também é fundamental que os colaboradores das organizações entendam que as informações corporativas não são de propriedade pessoal. Dessa forma, sempre haverá responsabilização legal nos casos de incidentes. Além disso, é importante comunicar de forma clara, objetiva e recorrente sobre os riscos de vazamento. Cada um dos colaboradores precisa ser orientado a diferenciar informações sensíveis daquelas sem necessidade de proteção, obedecendo às regras da empresa.
É recomendável que se obtenha uma blindagem robusta com criptografia, que tenha resposta técnica e de maior eficiência na proteção de dados sensíveis. Politica de segurança precisa ser implementada, institucionalizada, treinada e acordada formalmente por todos, por meio de um Programa de Integridade, de Compliance. As empresas também necessitam da assinatura de NDA, um termo individual de sigilo com cada colaborador, em que ele tome conhecimento do código de ética e das normas internas sobre o uso de ativos virtuais e de informações confidenciais.
Reforço que segurança da informação não é responsabilidade somente do departamento de tecnologia, mas deve fazer parte da agenda da alta gestão, que será responsabilizada legalmente pela ineficiência dos controles existentes, caso haja algum incidente. O papel da TI é automatizar os processos existentes definidos pela política interna e garantir a eficiência do cumprimento das regras estabelecidas.
Pessoas, processos e tecnologia
Existem muitas maneiras pelas quais as organizações podem proteger os seus negócios contra ataques cibernéticos, começando pela forte atuação em “Pessoas, Processos e Tecnologia“. O maior desafio que enfrentarão será desenvolver a “cultura”, que deve começar pela liderança. Nesse sentido, as organizações precisam definir regras simples, claras, objetivas e assertivas para que não engessem o negócio e tenham condições de conscientizar, treinar, testar, responsabilizar, monitorar e aplicar penalidades/sanções quando necessário.
As regulamentações para privacidade de dados estão no mercado global e daqui para frente serão mais rígidas em função da fragilidade do mercado quando o tema é proteção de dados. Quanto antes iniciarmos essas práticas dentro de nossas organizações, o sofrimento cultural e os investimentos necessários serão menores, aumentando a credibilidade junto ao mercado, além da reputação e aderência às boas práticas.
Precisamos estar preparados de forma preditiva, utilizando ferramentas de segurança e os aprimoramentos de privacidade necessários para proteger os ativos mais valiosos.
Por fim, a avaliação de risco permite que se tenha uma noção sobre ameaças que podem se concretizar. Com base nisso, a empresa pode estabelecer diferentes tipos de controle para cada tipo de dado, criando medidas alinhadas aos requisitos que garantem a devida proteção.
É CISO – Chief Information Security Officer & Diretor de Governança Corporativa na KaBuM!. Tem mais de 25 anos de experiência em tecnologia e possui forte atuação em defesa, governança corporativa, risco & fraude, compliance e gestão de TI. Membro do Comitê Brasil de Segurança da Informação ISO IEC JTC1 SC 27 na ABNT Brasil, Timochenco desenvolveu uma série de trabalhos junto a consultorias e grandes corporações globais no gerenciamento de projetos estratégicos, auditorias e combate a crimes cibernéticos. Premiado – Security Leaders Brasil 2014 e 2016.
