Recentemente, novos escândalos sobre privacidade de dados de grandes empresas foram descobertos e divulgados no mundo todo. Primeiro, o Facebook, onde cerca de 50 milhões de usuários tiveram suas informações vazadas, por meio de um teste de personalidade, para a empresa de marketing político Cambridge Analytica. Ainda, um e-mail interno também foi exposto, no qual o VP Andrew “Boz” Bosworth fala que o crescimento da empresa deve ser prioridade, mesmo que alguns usuários sofram literalmente com isso.

Depois, o Grindr, um dos mais famosos aplicativos de relacionamentos para o público LGBT, vazou dados dos seus usuários sobre o status de HIV de cada um, data do último teste realizado, além de localização e telefone para duas empresas parceiras de monitoramento de dados, a Apptimize e a Localytics. Ao todo, mais de 3,6 milhões de pessoas foram atingidas.

Ambos os casos tiverem repercussão bastante negativa. As ações do Facebook despencaram 6,8% após o escândalo e a empresa chegou a perder U$ 95 bilhões em valor de mercado. Já o grupo chinês KunLun Group Limited, que adquiriu o Grindr em janeiro, teve queda de 4,7% de suas ações na bolsa de Pequim. Isso sem contar uma série de críticas que os dois receberam.

A falha na segurança de dados já é uma das maiores preocupações atuais. As vulnerabilidades de segurança e o vazamento de dados aumentaram consideravelmente nos últimos anos e só no ano passado mais de 40 empresas tiveram brechas reportadas.

Qualquer indústria está sujeita a violações de dados. Como resultado deste tipo de incidente, elas podem experimentar não só impactos financeiros, como também penalidades previstas na lei, queda na fidelização de clientes e na sua reputação. Mas, para implementar as políticas e controles de segurança adequados, as organizações enfrentam sérios obstáculos para proteger os dados.

Para alavancar o sucesso na proteção de dados, o avanço das políticas corporativas de segurança é mandatório. Qualquer organização que esteja lidando com a privacidade de seus clientes deve investir em eficiência de segurança, isto é, em políticas mais rigorosas e tecnologias avançadas.

As políticas de segurança bem planejadas são estratégicas para qualquer organização. Elas devem definir quem gere o programa de segurança, o que é prioritário em termos de prevenção e proteção, quando e onde acionar as medidas necessárias e quais são estas medidas.

É necessário prestar atenção especial em:

Métodos aceitáveis de compartilhamento de arquivos

Diretrizes de uso da Internet

Uso adequado de dispositivos sem fio

Uso adequado de tecnologias criptografadas

Políticas de senha

Aplicações proibidas

Serviços proibidos

Políticas de Privacidade

Políticas de backup

Acesso remoto aceitável

Descarte adequadamente os dados (sensíveis e não sensíveis)

Políticas de spam

Para começar a desenvolver políticas de segurança, deve-se realizar uma avaliação de segurança nas operações atuais. Isso é instrumental para identificar as lacunas e os pontos fortes. Depois disso, é hora de identificar quais as tecnologias e ferramentas ainda são necessárias na estratégia de segurança para proteger melhor os dados. Usar um framework, como NIST, ISO, PCI DSS, SANS ou outros, deve facilitar a avaliação.

Quando se trata de proteger dados confidenciais, algumas das ferramentas-chave são a criptografia, o monitoramento regular, os backups e as soluções de endpoint. A criptografia é focada inteiramente em dados, no seu armazenamento, proteção e transmissão. As soluções de endpoint podem usar criptografia para evitar perda de dados e vazamento, impor políticas de proteção de dados unificadas em todos os seus servidores, redes e dispositivos, reduzindo assim o risco de violação de dados.

Ferramentas de monitoramento como IDS/IPS e SIEM são importantes no monitoramento de atividades mal-intencionadas na rede e para alertar a equipe apropriada para responder ao evento. Por fim, uma solução de backup pode ajudar a restaurar a perda de dados por erro humano, durante um ataque de ransomware, por exemplo.

Wolmer Godoi,  CISSP (Cybersecurity and professional services director) da Cipher.

Fonte: Tiinside