A tecnologia está a evoluir a um ritmo inacreditável. Embora isto tenha aumentado a eficiência, as oportunidades de negócio e as inovações excitantes, também abriu a porta a um risco sem precedentes. Embora as organizações tenham evoluído com a tecnologia da época, o mesmo acontece com os criminosos. Já não limitados por limitações físicas, podem visar qualquer pessoa, em qualquer parte do mundo com o simples clique de um botão.
Os dados para uma empresa são o novo ouro, por isso, tal como os bancos têm cofres de protecção, as empresas também precisam desses tipos de cofres de protecção e práticas de segurança.
Da Gestão de Dados de Saúde aos Serviços Financeiros - Ninguém está Seguro
O que sabemos é que os agentes de ameaça tendem a visar aqueles que têm acesso privilegiado a dados sensíveis. Ataques cibernéticos proeminentes ao longo dos anos confirmam isto, com estabelecimentos de saúde, bancos, e outras instituições financeiras desproporcionadamente visados. Talvez o mais conhecido destes tenha sido o de 2017. Ataque de resgate de WannaCry afectando organizações em mais de 150 países. WannaCry visava empresas que executam versões mais antigas e não corrigidas do Windows, resultando em quase 4 mil milhões de dólares em danos totais.
As coisas também não abrandaram desde então. Cibercriminalidade saltou 600% como resultado da pandemia de COVID-19. A partir de 2022, 66% das pequenas e médias empresas sofreram um ataque cibernético apenas nos últimos 12 meses. Além disso, os peritos prevêem que até 2023, os cibercriminosos terão exposto mais de 33 mil milhões de registos para o mundo.
Este é um problema grave, e só vai ficar mais caro com o passar do tempo. Então, o que pode ser feito? Aqui estão cinco formas de as organizações poderem garantir a segurança dos seus dados empresariais.
1. Reforçar a infra-estrutura informática
A infra-estrutura informática engloba amplamente as tecnologias, hardware, software, e componentes de rede envolvidos no funcionamento dos sistemas de informação de uma empresa. Isto inclui tudo, desde servidores de armazenamento de dados a plataformas de correio electrónico utilizadas pelos empregados.
Como pode imaginar, dado o seu amplo alcance, a infra-estrutura informática é uma parte crucial de qualquer organização. É o que permite às empresas armazenar e partilhar dados sensíveis, comunicar com clientes e clientes e realizar operações do dia-a-dia.
Alvo principal para os cibercriminosos
Dada a importância da infra-estrutura informática, é essencial que as organizações tomem as medidas necessárias para a proteger. Isto significa ter um sistema de segurança robusto que detecta e responde às ameaças em tempo real, rápida e eficientemente.
O investimento em soluções como gateways de correio electrónico seguras, redes privadas virtuais (VPNs) e outros perímetros de segurança, seguindo os protocolos DMARC, são um bom ponto de partida. Desempenhando funções como encriptação e monitorização de redes, estas ferramentas podem tornar muito mais difícil aos cibercriminosos o acesso a dados sensíveis.
2. Administrar auditorias regulares
Tal como as auditorias no mundo empresarial, as auditorias ciber-segurança são avaliações periódicas da postura de segurança de uma organização. Especificamente, auditorias de segurança são avaliações abrangentes das políticas, procedimentos e tecnologias de segurança de uma empresa ou organização. Ajudam a identificar e corrigir potenciais vulnerabilidades antes de se tornarem problemas. Podem também acontecer durante os relatórios posteriores à acção para ajudar a determinar o que correu mal e evitar que volte a acontecer.
Para garantir a segurança dos dados da empresa, as auditorias são uma obrigação. No entanto, muitas ainda não as administram com regularidade. De facto, um estudo recente mostrou que 47% das pequenas empresas não têm qualquer compreensão de como se protegerem contra ataques cibernéticos, e muitos não têm qualquer estratégia formal de segurança cibernética em vigor.
A falta de preparação é real na protecção de dados
Esta falta de preparação é um problema grave, uma vez que deixa as empresas vulneráveis a ataques. Isto é especialmente grave para qualquer pessoa responsável pela gestão de dados de saúde ou outros dados sensíveis de clientes, uma vez que os registos roubados acabarão provavelmente por ser vendidos na Dark Web. Os cibercriminosos estão sempre a evoluir e a actualizar os seus métodos - as empresas que não fazem o mesmo pelas suas defesas estão numa séria desvantagem.
Auditorias regulares ajudam a preencher esta lacuna, assegurando que a postura de segurança de uma organização está actualizada. Devem ocorrer pelo menos anualmente, e mais frequentemente se houver alterações significativas na infra-estrutura de TI ou na postura de segurança.
3. Limitar o acesso aos dados
Os dados são a força vital de uma empresa. Por causa disso, os dados devem ser restritos aos empregados que "precisam de saber" e a ninguém para além disso. Quanto maior for o acesso aos dados, maior a probabilidade de os actores ameaçarem eventualmente encontrar uma abertura. Quanto mais dados uma organização tiver, mais haverá a perder no caso de uma violação.
A limitação do acesso aos dados atenua este risco, pelo que as organizações devem empregar técnicas como controlos de acesso baseados em papéis e classificação de dados. A adopção destas medidas torna muito mais difícil para os cibercriminosos deitarem as mãos a informações sensíveis. É também um passo obrigatório para garantir a segurança dos dados das empresas.
4. Remover informação obsoleta e implementar cópias de segurança seguras
Para indústrias seleccionadas como os serviços financeiros e de saúde, a privacidade e a segurança dos dados são tudo. Nos cuidados de saúde, pode significar vida ou morte. As organizações destas indústrias lidam com informação extremamente sensível que lhes exige o cumprimento de regulamentos rigorosos, tais como o Health Insurance Portability and Accountability Act (HIPAA) nos Estados Unidos.
Um dos aspectos mais importantes da privacidade de dados é a remoção informação pessoalmente identificável (Pii) já não é necessário. Isto inclui coisas como registos antigos de clientes, dados financeiros, e ficheiros de empregados. O facto de não o fazer deixa as organizações abertas a ataques, pois os criminosos informáticos podem explorar informação obsoleta para obterem acesso a sistemas sensíveis.
É também crucial fazer backups diários e ter backups seguros no local em caso de ataque bem sucedido. Isto permite que as organizações restaurem rapidamente os seus sistemas, minimizando qualquer impacto de violação de dados.
5. Adoptar um Conjunto de Mentes de Segurança
Uma das formas mais importantes de melhorar a segurança é mudar a forma como os empregados pensam sobre o assunto. A maior parte dos empregados não pensa em "segurança de dados é o trabalho de outra pessoa". Claro que este não é o caso e todos, desde o CEO até à sala do correio, deveriam submeter-se a uma formação de sensibilização para a segurança para conduzir este ponto para casa. A segurança dos dados é da responsabilidade de todos.
Para aqueles com acesso privilegiado a dados sensíveis, como os responsáveis pela conformidade, os profissionais de gestão de dados de C ou de cuidados de saúde, é necessária uma formação adicional e personalizada em matéria de segurança.
O resultado final: Cada empregado deve compreender os riscos e as potenciais consequências de uma violação de dados. Igualmente importante, eles devem saber o que fazer em caso de ataque. A criação de uma cultura de segurança irá salvaguardar dados valiosos - para não falar de empregos.
Nota de despedida
medida que o cenário da ameaça cibernética continua a evoluir, o mesmo deve acontecer com as práticas de segurança de dados. Se não o fizerem, ficarão vulneráveis a ataques com enormes consequências tanto na perda de receitas como nas relações com os clientes. Tomar as medidas acima referidas irá garantir a segurança dos dados empresariais para organizações de todo o tipo e dimensão.
Para mais informações sobre a Formação de Sensibilização em Segurança ThriveDX, por favor visite aqui.
