O vazamento de dados teve destaque nos principais sites e noticiĂĄrias nos Ășltimos tempos. Recentemente por exemplo vimos um grande escĂąndalo envolvendo o Facebook. O que nos chamou mais atenção nesse vazamento foi verificar o quanto estamos vulnerĂĄveis. AlĂ©m disso, vimos o quanto esse tipo de situação pode ser danosa em nossas vidas e tambĂ©m para as empresas, mesmo aquelas que possuem polĂticas de segurança.
Infelizmente sempre teremos esse risco, entretanto, com algumas açÔes simples podemos reduzir as chances de isto acontecer. AlĂ©m disso, Ă© possĂvel minimizar os impactos para os clientes quando esse tipo de incidente ocorrer.
Conscientização é o primeiro passo para reduzir o vazamento de dados
Primeiro, vamos falar em conscientização. Afinal, muitas empresas ainda tratam a segurança dos dados com restrição. à comum esse tipo de comportamento quando são associados a necessidade de investimentos especializados. Esse é um erro estratégico.
A realidade mostra que investir em segurança da informação é fundamental, principalmente em um momento que temos clientes cada vez mais conectados e realizando operaçÔes financeiras online.
Antes de qualquer ação ou investimento a ser feito, a conscientização é o primeiro passo para garantir a segurança dos dados corporativos e dos clientes.
Portanto, deve-se entender que vazamento de dados Ă© um incidente que expĂ”e, de forma nĂŁo autorizada, informaçÔes confidenciais ou protegidas. Eles causam prejuĂzos financeiros e de imagem para empresas e pessoas.
Além disso, o roubo de dados pode envolver informaçÔes pessoais, de identificação pessoal, segredos comerciais ou propriedade intelectual. Os tipos de informaçÔes mais comuns em um vazamento de dados são os seguintes:
- NĂșmeros de cartĂŁo de crĂ©dito;
- Identificadores pessoais como CPF e identidade;
- InformaçÔes corporativas;
- Listas de clientes;
- Processos de fabricação;
- CĂłdigo-fonte de software.
Os ataques virtuais costumam ser associados às ameaças avançadas, visando a espionagem industrial, interrupção de negócios e roubo de dados.
Como evitar violaçÔes e roubo de dados
NĂŁo hĂĄ nenhum produto ou controle de segurança que possa impedir violaçÔes de dados. Essa afirmação pode parecer estranha para nĂłs que trabalhamos com tecnologia. Afinal, para que servem os diversos ativos de hardware e software especĂficos para ĂĄrea de segurança?
Os melhores meios de impedir violaçÔes de dados envolvem boas pråticas e noçÔes båsicas de segurança bem conhecidas, veja exemplos:
- A realização de testes contĂnuos de vulnerabilidade e penetração;
- Aplicação de proteçÔes, que inclui processos e polĂticas de segurança;
- Uso de senhas fortes;
- Uso de hardware de armazenamento seguro de chaves;
- Uso de hardware para gerenciamento de chaves e proteção de dados;
- Aplicação consistente dos patches de software para todos os sistemas.
Embora essas etapas ajudem a evitar intrusÔes, os especialistas em segurança da informação, a exemplo da EVAL, incentivam o uso de criptografia de dados, certificados digitais e autenticação dentro do conjunto de boas pråticas recomendadas.
Conheça também os outros 5 passos para evitar o vazamento de dados
O aumento do uso de aplicativos e o armazenamento de dados em nuvem causou um aumento da preocupação do vazamento e roubo de dados.
Por isso, os passos que vamos descrever consideram a computação em nuvem como a principal infraestrutura de TI adotada pelas empresas para hospedar seus produtos, serviços e ferramentas que fazem parte do processo produtivo.
1. Desenvolva um plano de resposta a vazamento de dados
Pode parecer estranho a recomendação de um plano de resposta vir antes da construção de polĂticas e processos de segurança, mas vai fazer sentido. Na verdade, nĂŁo existe uma ordem certa na elaboração dos documentos, atĂ© porque a construção serĂĄ feita a vĂĄrias mĂŁos e todos sĂŁo independentes.
Um plano de resposta a vazamento de dados consiste em um conjunto de açÔes destinado a reduzir o impacto do acesso nĂŁo autorizado a dados e a mitigar os danos causados ââse uma violação ocorrer.
Dentro do processo de elaboração, existem etapas, que quando bem definidas, vĂŁo servir de base para elaboração de suas polĂticas e processos de segurança. Para vocĂȘ ter uma ideia o desenvolvimento desse plano nos traz abordagens do tipo:
- AnĂĄlise de impacto nos negĂłcios;
- Métodos para recuperação de desastre;
- Identificação dos dados confidenciais e crĂticos da sua organização;
- Definição de açÔes para proteção com base na gravidade do impacto de um ataque;
- Avaliação de riscos do seu ambiente de TI e identificação de åreas vulneråveis;
- Anålise da atual legislação sobre violação de dados;
- E outros pontos crĂticos.
Citamos alguns pontos, mas um plano de resposta a vazamento de dados aborda outras ĂĄreas que tambĂ©m servem de base para a construção das polĂticas de segurança.
Como estamos considerando um ambiente em nuvem, a estratĂ©gia a ser construĂda no plano de resposta a vazamento de dados deve ter a participação do fornecedor da infraestrutura de nuvem.
Vale destacar ainda que muitos dos recursos disponĂveis na nuvem jĂĄ possuem caracterĂsticas prĂłprias que ajudam na construção e execução dos planos.
Â
|
2. Ter uma polĂtica de segurança da informação que contemple a proteção dos dados
Uma polĂtica de segurança geralmente Ă© considerada um “documento vivo”, o que significa que ela nunca Ă© concluĂda, sendo continuamente atualizada Ă medida que os requisitos de tecnologia e estratĂ©gias da empresa mudam.
A polĂtica de segurança de uma empresa deve incluir em seu conteĂșdo uma descrição de como a companhia realiza a proteção dos seus ativos e dados.
Neste documento Ă© apresentada ainda uma definição de como procedimentos de segurança serĂŁo executados e os mĂ©todos para avaliar a eficĂĄcia da polĂtica e como as correçÔes necessĂĄrias serĂŁo feitas.
Vale lembrar que faz parte das polĂticas de segurança a adoção do termo de responsabilidade assinado pelos colaboradores para que eles se comprometam com a segurança da informação e o nĂŁo vazamento de dados.
Assim como o plano de resposta a vazamento de dados, a polĂtica de segurança tambĂ©m Ă© um documento amplo com vĂĄrios pontos, mas que nĂŁo foram descritos neste artigo.
3. Certifique-se de ter uma equipe treinada
Assim sendo, como vocĂȘ deve saber, treinamento Ă© um ponto crucial para evitar o vazamento de dados. A capacitação de funcionĂĄrios aborda a segurança em vĂĄrios nĂveis:
- Ensina aos funcionårios sobre situaçÔes que possibilitam vazamentos de dados, a exemplo das tåticas de engenharia social;
- Garante que os dados sejam criptografados Ă medida que açÔes sejam executadas conforme as polĂticas e planos de segurança;
- Certifica que os processos envolvidos sejam os mais dinùmicos e automåticos, de forma a atingir a conformidade das legislaçÔes;
- Assegura a conscientização dos funcionårios quanto a importùncia da segurança da informação, reduzindo riscos de ataques.
4. Adote ferramentas eficazes na proteção dos dados
Em uma arquitetura de nuvem adotada pelas empresas, a existĂȘncia e uso de ferramentas que contribuam para garantir a segurança da informação Ă© obrigatĂłria. AlĂ©m de ativos de hardware e software deve-se encontrar como recursos:
- Ferramentas para monitorar e controlar o acesso à informação;
- Ferramentas para proteger o dado em movimento (canal SSL/TLS);
- Ferramentas para proteger o dado em repouso (em banco de dados e arquivos);
- Ferramentas para proteger o dado em memĂłria;
- Ferramentas de prevenção à perda de dados (DLP).
Em resumo, as abordagens adotadas por essas ferramentas sĂŁo Ășteis e obrigatĂłrias quando o objetivo Ă© bloquear a saĂda de informaçÔes confidenciais. Elas sĂŁo fundamentais para reduzir o risco de vazamento de dados quando gerenciados atravĂ©s de serviços de infraestrutura na nuvem.
5. Teste seu plano e as polĂticas, abordando todas as ĂĄreas consideradas de risco
Da mesma forma que as outras seçÔes descritas sĂŁo importantes, o valor de realizar verificaçÔes, assim como as validaçÔes das polĂticas e dos planos de segurança fazem deste Ășltimo passo um dos mais crĂticos.
Como resultado, a empresa deve realizar auditorias profundas para garantir que todos os procedimentos funcionem de forma eficiente e sem margem para erros. Porém, para muitos, a etapa de testes deve ser uma das partes mais desafiadoras. Então a årea de segurança da informação deve sempre buscar evitar o vazamento de dados.
Por outro lado, Ă© muito difĂcil colocar em execução todos os procedimentos descritos. Principalmente devido ao fato de que temos as operaçÔes da empresa sendo executadas a pleno vapor.
Quando não planejado corretamente, os testes podem causar forte impacto na rotina da organização. Entretanto, essa validação é fundamental para proteger a empresa em relação ao vazamento de dados e não pode ser negligenciada.
Por fim, os passos descritos no artigo certamente vĂŁo ajudar sua empresa na prevenção de incidentes de segurança. Apesar de uma aparente complexidade Ă© plenamente possĂvel adotĂĄ-los e ter sucesso na prevenção ao vazamento de dados.
Enfim, aproveite e assine nossa newsletter e fique por dentro das novidades e tecnologias EVAL. Continue acompanhando nossos conteĂșdos no blog e aproveitando nosso perfil do Linkedin para estar sempre informado.
Sobre a Eval
A EVAL estĂĄ a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saĂșde, educação e indĂșstria, Desde 2004, oferecemos soluçÔes de Autenticação, Assinatura EletrĂŽnica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituiçÔes de saĂșde, escolas e universidades, alĂ©m de diferentes indĂșstrias.
Com valor reconhecido pelo mercado, as soluçÔes e serviços da EVAL atendem aos mais altos padrĂ”es regulatĂłrios das organizaçÔes pĂșblicas e privadas, tais como o SBIS, ITI, PCI DSS, e a Lei Geral de Proteção de Dados (LGPD). Na prĂĄtica, promovemos a segurança da informação e o compliance, o aumento da eficiĂȘncia operacional das empresas, alĂ©m da redução de custos.
Inove agora, lidere sempre: conheça as soluçÔes e serviços da Eval e leve sua empresa para o prĂłximo nĂvel.
Eval, segurança é valor.