Em um cenário cada vez mais digital, conectado e remoto, a segurança da informação é um assunto muito sério. Afinal, os dados das empresas e de seus clientes são patrimônios valiosos, que precisam ser protegidos a todo custo. Até porque essas informações são agora regidas por leis rigorosas, como a LGPD. Portanto, acredito que as políticas de segurança devem, mais do que nunca, ser consideradas prioritárias para as empresas.
Para reforçar o meu argumento, cabe observar que os ataques cibernéticos se tornaram cada vez mais frequentes e complexos nos últimos anos. Estudo do Ponemon Institute aponta que 63% das pequenas empresas enfrentaram vazamentos de informações, e 52% desses ataques tiveram os dados dos clientes como alvos.
Para fazer frente a essas ameaças, é fundamental que as empresas aumentem os cuidados com a segurança. Essa recomendação é válida principalmente para aquelas que lidam com dados sensíveis, como dos setores médico, jurídico e de contabilidade. Neste artigo, ressalto a importância de levar a sério a segurança dos clientes e darei dicas para você proteger seu patrimônio mais valioso: os seus dados.
Os ciberataques ameaçam a todos
O roubo ou a exposição de dados sensíveis das empresas é muito mais comum do que você pode imaginar. E acredite quando digo que o tamanho da sua empresa não é uma justificativa para não pensar nisso, pois essas ameaças atingem a todos. Segundo se convencionou dizer, a questão agora não é se a sua empresa vai ter algum incidente de segurança – mas sim quando isso vai acontecer.
Mesmo os pequenos e médios negócios são alvos, justamente porque muitas vezes eles não se preocupam com a gestão dos dados. Apesar dos riscos atuais, 77% das empresas ainda não têm um plano de resposta a incidentes de segurança. E mesmo aquelas que contam com esses planos, não os testam regularmente.
Por outro lado, os cibercriminosos estão mais preparados do que nunca. Para realizar os ataques, eles se valem das mais diversas técnicas, como tentar adivinhar as senhas de acesso ou explorar vulnerabilidades em softwares desatualizados. Para agravar a situação, eles passaram a concentrar os seus ataques em empresas e setores específicos, que lidam com dados sensíveis, como os que exemplifiquei acima: áreas de saúde, advocacia, contabilidade e seguros. Mas não são apenas estes setores que correm riscos.
LGPD: o tempo se esgota rapidamente
Diante da regulação em torno da segurança dos dados, a privacidade das informações se tornou imprescindível para as organizações. Até porque o impacto de uma violação de dados sobre as pequenas e médias empresas é tão grande que muitas vezes elas são obrigadas a fechar as portas após um incidente. Com a LGPD, esse impacto pode ser ainda maior.
A nova Lei já está em vigor desde setembro de 2020 e irá aplicar punições a partir de agosto deste ano. Portanto, a verdade é que já passou da hora de se planejar, até porque o valor das punições é bastante alto, variando de 2% do faturamento bruto até 50 milhões de reais por infração. Essa é uma situação que todos nós queremos evitar, não é mesmo?
Porém, apesar de o prazo para adequação estar quase se esgotando, muitas empresas ainda não conseguiram ajustar os seus processos à LGPD. Um levantamento realizado pela BluePex em julho de 2020 demonstra que apenas 2% das pequenas e médias empresas se consideram realmente preparadas para a nova Lei. No total, 63% disseram que se sentem parcialmente preparadas, e 30%, totalmente despreparadas.
Para ficar em conformidade com a nova Lei e garantir a segurança de seus dados, as empresas devem realizar adequações em todos os seus setores, incluindo aspectos legais, de privacidade e governança. Para coordenar essas ações, é recomendável que elas formem um Grupo de Trabalho, liderado pelas equipes de Segurança da Informação, Jurídica, TI, RH e de Compliance.
Ciberproteção exige prontidão constante
Manter os dados seguros exige um regime de prontidão permanente contra as ameaças cibernéticas, seja no controle das conexões ou no armazenamento e compartilhamento de dados. Afinal, o aumento do trabalho remoto após a crise da COVID-19 e a migração rápida para a nuvem introduziram uma série de novas ameaças e desafios para a segurança.
Um dos principais requisitos necessários para reduzir os riscos de ataques é possuir uma infraestrutura adequada, com monitoramento de rede, detecção de ameaças e correção de vulnerabilidades. Mas o uso dessas ferramentas pouco adiantará se não estiver alinhado com uma boa gestão na área de Segurança da Informação.
Para se certificar de que a sua estratégia está funcionando, também é importante realizar um assessment para avaliar os processos internos e fazer as correções necessárias. Essa avaliação envolve um diagnóstico completo a respeito não só do ambiente de TI, mas de todo o caminho que os dados percorrem e também das questões jurídicas envolvidas.
Em relação às principais ferramentas para ter o essencial de uma proteção de dados, tenho algumas dicas para dar. Nem vou comentar sobre o básico de endpoint protection e backup de dados, pois acredito que todas as empresas entendem hoje que este tipo de ferramentas é mais do que essencial – é vital para não sofrer problemas constantes.
Então, a primeira indicação que faço é olhar para como os colaboradores gerenciam suas senhas. Para ser realmente seguro, todo acesso aos sistemas das empresas deve passar por uma camada adicional no processo de login. Na autenticação em dois fatores, o usuário precisa possuir um dado adicional e saber mais informações antes de efetivamente ter permissão de acesso. É uma ferramenta simples de ser aplicada e que geralmente já está inclusa no sistema de endpoint protection que as empresas possuem, mas elas não sabem disso.
Minha outra sugestão está relacionada ao bem mais precioso das empresas e que, no dia a dia, acaba ficando esquecido: os dados confidenciais e sensíveis. Isso é agravado, como mencionei, por regulamentações como a LGPD, e é cada vez mais difícil ter controle sobre estes dados com o atual cenário de trabalho remoto dos colaboradores.
Para preservar a integridade destes dados e documentos sensíveis, uma boa opção é recorrer ao DLP (Data Loss Prevention). Essa solução permite fazer um gerenciamento de eventos e uma varredura de conteúdos rápida e eficiente, com ótima relação custo-benefício. Graças à sua implantação simples e rápida, ela se adapta bem a qualquer realidade de negócio.
E já bastante conhecida, porém pouco utilizada pela maioria das empresas, está a criptografia. Esse recurso protege a confidencialidade das informações e evita que sejam acessadas por pessoas não autorizadas. Desse modo, garante-se que os arquivos enviados – sejam eles documentos, contratos judiciais ou prescrições médicas – são válidos e não sofreram quaisquer alterações. Ainda, caso o dispositivo de um dos colaboradores seja perdido ou roubado, terá a certeza de que os dados contidos ali não poderão ser acessados.
Cabe ainda destacar que para se ter uma proteção eficiente não basta contar com as melhores ferramentas, pois muitas vezes os ataques buscam enganar as pessoas envolvidas. Por isso, eu considero muito importante conscientizar todos os colaboradores sobre os riscos trazidos por essas ameaças. Procure apresentar a seus funcionários uma política de segurança e realize com eles treinamentos regulares. Você ainda pode elaborar palestras e desenvolver um manual de boas práticas para auxiliá-los a compreender como os hackers agem, de fato.
Proteção para empresas de todos os tamanhos
Mas será que as pequenas e médias empresas também podem se proteger desses ataques, mesmo sem contar com grandes orçamentos e profissionais altamente especializados?
Atualmente não é mais necessário investir em soluções de segurança caras e difíceis de manter para garantir uma boa proteção. Algumas empresas oferecem esse tipo de serviço de forma terceirizada, ficando responsáveis por todo o processo de implantação e manutenção dessas soluções. Desse modo, organizações de todos os tamanhos podem contar com tecnologias avançadas e profissionais bem-preparados, sem que para isso precisem fazer grandes investimentos em tecnologia e mão de obra.
