A privacidade dos dados é uma preocupação emergente em todo o mundo, como indicamos no nosso blog sobre previsões para 2018. Por ser um tema tão estratégico para as empresas, vamos estressar o tema com alguns detalhes adicionais.

Em anos recentes, as vulnerabilidades de segurança e o vazamento de dados aumentaram consideravelmente. Por isso, regulamentos globais de privacidade de dados estão sendo desenvolvidos por diversos países e indústrias, endereçando as principais consequências das brechas. A iminente vigência do Regulamento Geral de Proteção de Dados da União Européia (GDPR) gera alertas para as empresas que têm negócios com parceiros europeus.

Contudo uma legislação como o GDPR destina-se apenas a proteger a privacidade dos consumidores e garantir medidas de direcionamento para as organizações que estão lidam com os dados do consumidor. Ao longo dos últimos anos, vimos muitas brechas de dados em grandes organizações. Na verdade, é surpreendente o número de brechas reportadas apenas em 2017:

  • 8 – E-Sports Entertainment Association (ESEA)
  • 1 – Xbox 360
  • 1 – PSP
  • 7 – InterContinental Hotels Group (IHG)
  • 17 – Arby’s
  • 6 – River City Media
  • 7 – Verifone
  • 15 – Dun & Bradstreet
  • 19 – Saks Fifth Avenue
  • 20 – UNC Health Care
  • 21 – America’s JobLink
  • 6 – IRS Data Retrieval Tool
  • 25 – Chipotle
  • May 2 – Sabre Hospitality Solutions
  • May 3 – Gmail
  • May 10 – Bronx Lebanon Hospital Center
  • May 12 – Brooks Brothers
  • May 17 – DocuSign
  • May 31 – OneLogin
  • May 31 – Kmart
  • 14 – University of Oklahoma
  • June 15 – Washington State University
  • 20 – Deep Root Analytics
  • 27 – Blue Cross Blue Shield/Anthem
  • 10 – California Association of Realtors
  • 13 – Verizon
  • 30 – Online Spambot
  • 2 – TalentPen/TigerSwan
  • 7 – Equifax
  • 21 – US Securities and Exchange Comm (SEC)
  • 21 – SVR Tracking
  • 26 – Sonic
  • 28 – Whole Foods
  • 6 – Disqus
  • 12 – Hyatt Hotels
  • 14 – Maine Foster Care
  • 21 – Uber
  • 24 – Imgur
  • 1 – TIO Networks (adquirida pela PayPal)
  • 10 – Ebay
  • 19 – Alteryx

Com base nos exemplos acima, podemos afirmar que qualquer indústria está sujeita a ocorrem violações de dados – o que pode levar a exposição de milhões de registros confidenciais. As entidades governamentais globais estão preocupadas com os impactos negativos para o consumidor. Essas violações de dados provocaram esforços desarticulados para aplicar controles sobre as empresas que não conseguem proteger os dados do consumidor.

Como resultado deste tipo de incidente, as empresas podem experimentar impactos financeiros, penalidades previstas na lei, queda na fidelização de clientes e na sua reputação. Mas, para implementar as políticas e controles de segurança adequados, as organizações enfrentam sérios obstáculos para proteger de dados.

Para alavancar o sucesso na proteção de dados, o avanço das políticas corporativas de segurança é mandatório. Qualquer organização que esteja lidando com a privacidade de seus clientes deve se investir em eficiência de segurança, isto é, em políticas mais rigorosas e tecnologias avançadas. As políticas de segurança bem planejadas são estratégicas para sua organização. Elas devem definir (de forma a atender às necessidades peculiares de sua organização) quem gere o programa de segurança, o que é prioritário em termos de prevenção e proteção, quando e onde acionar as medidas necessárias e quais são estas medidas. É necessário prestar atenção especial a:

  • Métodos aceitáveis de compartilhamento de arquivos
  • Diretrizes de uso da Internet
  • Uso adequado de dispositivos sem fio
  • Uso adequado de tecnologias criptografadas
  • Políticas de senha
  • Aplicações proibidas
  • Serviços proibidos
  • Políticas de Privacidade
  • Políticas de backup
  • Acesso remoto aceitável
  • Descarte adequadamente os dados (sensíveis e não sensíveis)
  • Políticas de spam

Para começar a desenvolver suas políticas de segurança, considere realizar uma avaliação de segurança em suas operações atuais. Isso é instrumental para identificar as lacunas e os pontos fortes em seu programa.

Depois de concluir uma avaliação do seu status de segurança, é hora de identificar quais as tecnologias e ferramentas ainda são necessárias em sua estratégia de segurança para proteger melhor seus dados. Usar um framework, como NIST, ISO, PCI DSS, SANS ou outros, deve facilitar a avaliação. Para simplificar, veja o gráfico abaixo e determine quais áreas ainda não estão implementadas ou precisam de desenvolvimento adicional em seu ecossistema:

Fonte: https://www.networkworld.com/article/2931576/security0/a-framework-to-help-make-sense-of-cybersecurity-tools.html

Quando se trata de proteger dados confidenciais, algumas das ferramentas chave são a criptografia, o monitoramento regular, os backups e as soluções de endpoint. A criptografia é focada inteiramente em dados, no seu armazenamento, proteção e transmissão. As soluções de endpoint podem usar criptografia para evitar perda de dados e vazamento, impor políticas de proteção de dados unificadas em todos os seus servidores, redes e dispositivos, reduzindo assim o risco de violação de dados.

Ferramentas de monitoramento como IDS/IPS e SIEM são importantes no monitoramento de atividades mal-intencionadas em sua rede e para alertar a equipe apropriada para responder ao evento. Por fim, uma solução de backup pode ajudar a restaurar a perda de dados por erro humano, durante um ataque de ransomware, por exemplo. Uma prática válida é a regra 3-2-1:

Considere como sua organização coleta e transmite informações confidenciais. Agora, também considere as lacunas e as áreas de melhoria em sua postura de segurança atual. Quais áreas você pode melhorar para garantir que a organização esteja protegendo os dados sensíveis do cliente?