Como se proteger contra vazamento de dados?

É praticamente impossível que você não tenha sido impactado por alguma notícia de vazamento de dados ou ataques cibernéticos a grandes corporações nos últimos meses. O que surpreende é que muitas dessas empresas são reconhecidas pelo seu investimento em Tecnologia e Segurança da Informação.

Aquela falsa sensação de segurança sobre a aquisição de uma única solução milagrosa de segurança que exterminará 100% dos riscos de sofrer um ataque começa a cair por terra a partir do momento que entendemos que a segurança é composta por várias camadas, e que cada camada possui um papel importante a ser desempenhado e protegido.

Quando falávamos sobre segurança, o que nos vinha à mente era um Firewall, posicionado em local não estratégico para proteção da organização, sem DMZ (Zona Desmilitarizada), utilizado para políticas de roteamento e controle de acesso básico. Vivenciamos histórias de organizações que não sabiam porquê precisavam de um firewall e nos solicitavam soluções de firewall (totalmente nu) sem as funcionalidades de Proteção Contra Intrusões, controle de conteúdo URL e controle contra Malwares, com a justificativa de que precisavam gastar o budget disponível para segurança.

Quando o barato sai caro

O valor de Segurança da Informação sempre foi muito questionado. As organizações sempre reservaram budget para investimentos em arquiteturas que lhe trariam retornos palpáveis de investimentos, e por muito tempo Segurança da Informação fez parte das arquiteturas que não tinham prioridade ou valor.

Com a chegada da LGPD – Lei Geral de Proteção de Dados – as companhias foram forçadas a se conscientizar sobre a coleta, manipulação, tratamento e descarte dos dados. Precisaram entender que por trás de uma organização, existe um ciclo de vida dos dados de Colaboradores, Clientes (Físicos e Jurídicos), terceiros que fazem o compartilhamento dessas informações pessoais e sensíveis. Com a lei, a ocorrência de um vazamento de dados dentro desse ciclo poderá acarretar em multas, perda de clientes, proibição de atividade comercial do negócio e principalmente na perda de credibilidade.

Existem organizações no mundo inteiro que, ao não se preocuparem devidamente com a segurança, ou por até terem soluções mas não utilizarem corretamente, sofreram ataques como Ransomware (software nocivo que restringe o acesso ao sistema infectado com uma espécie de bloqueio e que cobra o resgate em criptomoedas para que o acesso possa ser restabelecido). Na maioria dos casos, mesmo pagando pelo resgate, os dados não foram restabelecidos, causando a falência dessas organizações – por multas aplicadas ou pela mancha na reputação.

Para se ter uma ideia do quanto esses ataques são nocivos, no ano passado foi registrada a primeira morte por causa de Ransomware, onde o malware paralisou as atividades de um Hospital na Alemanha e a paciente que precisava de atendimento urgente teve que ser transferida para outra cidade, mas não resistiu.

Vale lembrar que a LGPD não se aplica apenas à Cibersegurança. Ela veio para adequar a Segurança da Informação como um todo (digital e física). O setor de Recursos Humanos é um exemplo disso: quantos currículos, informações sobre proposta de contratação com informações de cargo, salários, benefícios, cópias de documentos (RG , CPF, CNH), entre outros documentos são recebidos diariamente? Já parou para pensar se essas informações estiverem em cima de uma mesa onde qualquer pessoa possa pegar, olhar, fazer uma cópia, ou se essa informação for interceptada através de um e-mail trocado? É preciso estabelecer segurança de ponta à ponta.

Para ajudar a proteger os seus dados pessoais, a Yssy preparou dicas importantes de como se prevenir:

Proteção Pessoal:

  • Procure não acessar sites desconhecidos.
  • Tome cuidado redobrado ao digitar os seus dados em qualquer plataforma ou formulários: você pode estar facilitando o trabalho de um criminoso. Sabe aquele site que você usa para fazer a conversão de arquivos de word para pdf? Pode ter alguém olhando o conteúdo dos seus documentos.
  • Sabemos que é muito cansativo criar e lembrar várias senhas complexas, e não é uma boa pratica utilizar uma única senha para tudo, anotar em um caderno as suas senhas nem muito menos salvá-las no navegador. A melhor alternativa é a utilização de Gerenciadores de senha (software usado para armazenar todas as suas senhas em segurança, em um cofre criptografado).
  • Quando possível, utilize o “Segundo Fator de Autenticação, 2 Factor Authentication ou MFA (Multi Factor Authentication)”. Trata-se de um software responsável por validar cada tentativa de acesso com um código diferente – token.
  • Cuidado ao utilizar ferramentas de e-mail. Muitas vezes, os Cybercriminosos utilizam e-mails recém-criados através para se fazerem passar por alguma instituição. Valide o endereço de e-mail para identificar se é legitimo.
  • Não saia clicando em todos os links que chegam nos e-mails. Procure passar o cursor do mouse por cima da URL sem clicar e visualize o endereço de direcionamento. Para os arquivos em anexos, é necessário possuir uma solução de anti-malware para análise de conteúdo caso não conheça o remetente não abra.

Pesquise se suas credenciais foram vazadas:

  • Minha Senha by Axur: https://minhasenha.com
  • Have I been Pwned: https://haveibeenpwned.com/
  • Identity Leak Checker: https://sec.hpi.de/ilc/

Proteção Corporativa:

  • Todas as informações compartilhadas para proteção pessoal também são válidas para proteção corporativa.
  • É necessário mapear o ciclo de vida dos dados pessoais e sensíveis dentro da organização para que a melhor solução de segurança seja utilizada para protegê-los. Existem soluções capazes de classificar esses dados como sensíveis, pessoais e confidenciais e aplicar políticas para controlar quem pode acessá-los e ter a visibilidade de identificar caso algum usuário mal-intencionado ou desavisado envie esses dados sem a devida autorização.
  • Revise politicas dentro das soluções de segurança para identificar possíveis by-pass de colaboradores que as administram e apenas dê permissão de acesso suficiente para que os colaboradores realizem seu trabalho.
  • O tempo médio de persistência de uma ameaça sem que a vítima descubra é de 56 dias. Esse período é mais que suficiente para coletar todos os dados. Existem ferramentas de gestão de vulnerabilidades capazes de identificar vulnerabilidades nos ativos, aplicações, containers a fim de validar as portas que estão abertas, saber o nível de exposição, criticidade, identificar se já existe alguma comunidade falando sobre essa tal vulnerabilidade e se já existem ferramentas criadas para exploração. Você consegue analisar através do score de prioridade quais as vulnerabilidades mais críticas para seu negócio e mitigá-las.
  • É muito importante ter um cronograma para identificar os patches novos e homologá-los em ambiente controlado para liberar para seu ambiente de produção. Os criminosos estão em busca de bugs e vulnerabilidades para adentrar a sua rede.
  • Tenha um bom plano de continuidade dos negócios. Quando tudo der errado, quais os passos a serem seguidos caso haja um vazamento de dados ou algum desastre?
  • Não descuide da segurança física. Um exemplo muito comum: em restaurantes perto de grandes centros comerciais, pelo fato das vagas das mesas serem muito concorridas, os colaboradores de empresas próximas deixavam o seu crachá em cima da mesa enquanto faziam o seu pedido. Nesse meio tempo, alguém mal intencionado pode se aproveitar para roubar o crachá ou tirar foto do mesmo, e esse mal feitor copiar o crachá para entrar no  prédio da empresa ou utilizar as informações (CPF e Nome completo).
  • Capacitação da equipe de segurança: é muito importante que a equipe seja treinada para que saibam identificar e responder rapidamente a um incidente de segurança.
  • Por último e não menos importante, treine constantemente a sua equipe para simular possíveis situações reais de vazamentos de dados consciente ou inconscientemente. Explique o que são os dados pessoais e sensíveis, ilustre quais serão as penalidades sofridas pela organização caso haja algum descuido. Existem ferramentas que ajudam nesse quesito de conscientização, com treinamentos, simulações de phishing e avaliações para validar o entendimento dos colaboradores.

Muitas vezes, apenas a adoção dessas medidas não é o suficiente para manter seu negócio realmente seguro, principalmente quando faltam profissionais experts em segurança da informação no time. A Yssy pode te ajudar com um portfólio rico em soluções de Segurança. Temos uma equipe preparada para ajudar você e sua empresa nessa jornada, realizamos treinamentos de capacitações e conscientização, possuímos diversos serviços para gerir as suas soluções seguindo as melhores práticas do mercado.