Violações de segurança de dados e explorações continuam a criar manchetes. Organizações e aplicações estão sob constante ataque por cibercriminosos e o número de violações de dados está aumentando drasticamente ano a ano, fazendo crescer exponencialmente o risco de roubo de identidade e fraude.

Uma violação de dados sensíveis tem o poder de destruir os ativos de uma empresa, derrubando operações inteiras, tornando públicas informações críticas e e-mails embaraçosos, por isso faz sentido tomar todas as medidas necessárias para proteger seus dados.

As violações de dados podem ocorrer a partir de uma variedade de cenários diferentes, desde ataques cibernéticos em grande escala e técnicas de hacking, até atividades maliciosas direcionadas a partir de um dispositivo portátil que pode causar a interrupção de sistemas, descobrimento de bugs e políticas de segurança precárias ou inexistentes.

A causa mais comum das falhas de segurança de dados são senhas fracas, que podem ser facilmente reveladas. De acordo com o “Relatório de Investigação de Violação de Dados 2015” da Verizon, 76% das intrusões de rede ocorreu como resultado de credenciais fracas. Hackers quebram senhas com a ajuda de ferramentas e técnicas específicas, usando malware ou ataques phishing. Uma vez que a senha certa está nas mãos erradas, é “game over” para a empresa e para o usuário. Aqui estão algumas dicas para ajudá-lo a evitar violações de dados.

Aplicar uma política de proteção por senha forte para evitar uma violação de dados
A primeira dica desta postagem do blog é que a imposição de uma política de proteção de senha forte na empresa é um ato sábio e deve ser levado a sério. Afinal, as estatísticas não mentem. Senhas devem ser razoavelmente complexas e difíceis de adivinhar, devem combinar letras maiúsculas e minúsculas, números e símbolos. Uma boa senha deve evitar combinações básicas (por exemplo, “q1w2e3”) e deve ser única, mesmo se tiver um significado. As senhas devem ser alteradas regularmente e uma verificação em duas etapas, quando se adiciona um token por exemplo, é recomendada.

Realizar uma avaliação de risco
Iniciar todo projeto com a segurança da informação em mente é a melhor e mais eficiente maneira de evitar uma violação de dados. Por exemplo, um planejamento adequado pode garantir que os desenvolvedores criem políticas de senha fortes ao escrever códigos. Quando se trata de proteger sua aplicação de tais ameaças, quanto mais cedo você começar, melhor. Ao realizar uma avaliação de risco, você começa identificando ameaças e vulnerabilidades seguidas pela avaliação de que tipo de informações confidenciais sua empresa possui e quais seriam mais procuradas por criminosos cibernéticos, como números de cartão de crédito, números de CPF e outras informações pessoais. Com a crescente onda dos ataques cibernéticos, o estágio de avaliação de risco para proteger a segurança da sua aplicação é um passo vital do seu Ciclo de Vida de Desenvolvimento de Software (SDLC).

Restringir o acesso dos funcionários a dados confidenciais e usar a criptografia de dados
Muitas violações de dados são causadas por ameaças internas maliciosas e, embora na maioria das vezes não seja proposital, recomenda-se que apenas funcionários confiáveis ​​e necessários tenham acesso aos dados que os criminosos cibernéticos podem procurar. Um exemplo recente de uma enorme violação de segurança de dados causada por um erro humano é o da Cruz Vermelha Australiana, cujos registros foram acessados ​​por hackers que agora têm a informação privada de mais de 500.000 doadores de sangue. Erros humanos ocorrem, portanto, para aumentar a proteção de seus dados, é recomendado instalar software de criptografia em todos os dispositivos e certificar-se de que todos os dispositivos e contas estão bloqueadas com senhas fortes.

Mantenha seu software e sistemas operacionais atualizados
Qualquer sistema de software pode ter falhas e, mais cedo ou mais tarde, alguém vai descobri-las. Como os malwares estão em constante evolução, a maioria das atualizações de software e SO são lançadas após a identificação de novas vulnerabilidades. Mesmo que a atualização pendente inclua apenas “melhoramentos e correções de erros”, é vital realizar a instalação para todos os programas, protegendo assim seus ativos. Deve-se atualizar o sistema operacional e o software de antivírus, assim que for lançado um novo “patch”.

Rafael Souza é especialista de segurança e membro do time de segurança ofensiva do Intelligence Lab da CIPHER, reconhecido no Apple Security Hall of Fame e Microsoft Security Researchers Award