Cinco maneiras de colocar os seus dados em risco

Cabe às empresas ir além da papelada e dos firewalls para avaliar as situações que podem estar a colocar os seus dados em risco.

Por Luciano Alves de Oliveira | OTRS

Entre a quebra do UE-EUA Privacy Shield (acordo assinado entre a União Europeia e os EUA que permite a transferência de dados com a proteção adequada), e a preocupação com a preparação para RGPD em Portugal , é evidente que os países ao redor do mundo – e, como resultado, as empresas – estão a analisar com mais atenção o que significa proteção de dados e privacidade. Isto é bom, pois os problemas relacionados com a segurança de dados estão a crescer: ataques cibernéticos, fraude e roubo de dados foram as principais preocupações observadas na avaliação do Fórum Econômico Mundial sobre os principais riscos deste ano.

Portanto, cabe às empresas ir além da papelada e dos firewalls para avaliar as situações que podem estar a colocar os seus dados em risco. Aqui estão cinco áreas de preocupação que, às vezes, são esquecidas pelas empresas.

Trabalhar com fornecedores do mercado cinza

Os fornecedores do mercado cinza (não reconhecidos pelo fabricante), oferecem soluções fora dos canais de distribuição legais. As empresas recorrem a essas soluções porque muitas vezes são mais atrativas financeiramente. O problema com estes fornecedores, entretanto, é que não são realmente o proprietário do código-fonte e o barato pode sair caro.

Isto deixa as empresas vulneráveis a dois problemas. Primeiro, a falta de conhecimento do produto por parte do fornecedor do mercado cinza pode resultar em configurações e personalizações que deixam os dados expostos. Em segundo lugar, como o produto está a ser distribuído fora dos canais de distribuição legais, ele não está a ser atualizado conforme necessário… o que leva ao ponto dois.

Algumas vezes, como no caso de trabalhar com um fornecedor do mercado cinza, tantas mudanças inesperadas foram feitas na estrutura do sistema subjacente que é simplesmente impossível que a atualização ocorra ou o patch seja instalado.

Utilizar produtos desatualizados e sem correções

As atualizações e patches do produto costumam ser necessários para lidar com vulnerabilidades de segurança. Quando eles não são aplicados, o acesso backdoor aos dados pode ser possível. Na verdade, de acordo com um estudo da Tripwire, os profissionais de segurança de TI afirmam que 27% das violações são resultado de patches não aplicados em tempo hábil.

Algumas vezes, isto simplesmente acontece como resultado da falta de gestão adequada de patches. No entanto, empresas que trabalharam com fornecedores do mercado cinza, não reconhecidas pelo fabricante, que tiveram os seus sistemas alterados por mudanças inesperadas na estrutura simplesmente tornou-se impossível que a atualização ocorra ou o patch seja instalado.

Não avaliar o relacionamento com fornecedores

É tentador esperar que todos tenham o mesmo interesse na proteção de dados que você e a sua equipe, mas se operar sob esta premissa, estará a colocar os seus dados em risco. Esteja a trabar com consultores ou fornecedores de serviços, precisa obter um bom entendimento das medidas que estes implementaram para proteger seus dados contra uso indevido ou violação. Certifique-se de que faz as perguntas suficientes para obter um entendimento completo de suas práticas de segurança e inclui as expectativas de segurança diretamente nos seus contratos.

Ajude os funcionários a entender conceitos como engenharia social e ataques de phishing. Certifique-se de que eles sabem o que fazer se encontrarem algo suspeito.

Não dar formação adequada aos funcionários

Desde a criação de senhas fracas até o não uso de redes seguras, às vezes são os seus funcionários bem-intencionados que são a maior preocupação. É por isso que uma fromação de consciencialização adequada deve ser realizada. Ajude os funcionários a entender conceitos como engenharia social e ataques de phishing. Certifique-se de que eles sabem o que fazer se encontrarem algo suspeito. Principalmente agora, enquanto todos estão em teletrabalho, certifique-se que as suas redes pessoais estejam protegidas e, se possível, exija o uso de uma VPN.

Não definir processos de resposta a incidentes claros

O que acontece se ocorrer um incidente? Bem, quanto mais tempo dura o incidente, mais dados estão em risco. Em um estudo do Grupo OTRS com executivos de TI em todo o mundo, perguntamos o que melhor os ajudaria a lidar de forma mais adequada com as violações. Para 40% dos entrevistados a primeira coisa de que precisavam era processos de gestão de incidentes mais definidos.

Claro, nunca há 100% de certeza quando se trata de gestão a segurança dos seus dados, mas existem proteções que você pode implementar. Em primeiro lugar, olhe internamente: invista em formação, documente os processos de respostas a incidentes e os automatize sempre que possível. Em segundo lugar, examine seus fornecedores: determine se estão em conformidade com os regulamentos de dados, trabalhe exclusivamente com os fabricantes de software, certifique-se que não esta a ser enganado por fornecedores não reconhecidos pelo fabricante da solução. Ao prestar atenção a estas áreas-chave, os seus dados ficarão mais seguros e você estará menos sujeito a multas e a publicidade negativa que muitas vezes pode ocorrer após uma violação.

Autores

Artigos relacionados

O seu comentário...

*

Top