Exposição de Dados Sigilosos: o ponto fraco das empresas

Confira neste artigo

Muitas empresas estão deixando a exposição de dados sigilosos impactar diretamente arquivos sigilosos expostos para a maioria dos funcionários, sem um controle de acesso correto, além de manterem contas de usuários inativos e não trocarem senhas com regularidade.

Estas informações foram apontadas na pesquisa Data Gets Personal: 2019 Global Data Risk Report realizada pela Varonis Data Lab em vários países diferentes, inclusive o Brasil.

Ao focar em manter cibercriminosos distantes, muitas empresas tem dado pouca ou nenhuma atenção a exposição de dados sigilosos. Afinal, em vários casos, informações e pastas importantes têm acesso livre para todos os colaboradores e não contam com monitoramento.

É mais ou menos como você possuir vários meios para evitar que sua casa seja invadida, mas deixar um cofre cheio e aberto no meio da sala. Se alguém passar “vai ganhar um presente”.

Esses problemas deverão ser analisados pelas empresas, já que não se trata apenas de segurança. Afinal, além dos riscos nesse sentido, com a LGPD próxima a entrar em vigor esse tipo de caso pode gerar multas por não conformidade.

Mas vamos abordar melhor este assunto mais para a frente neste mesmo artigo.

Alta exposição de dados sigilosos

O estudo analisou 54 bilhões de documentos em 785 empresas de 30 ramos e 30 países diferentes. Foi descoberto que 53% das organizações analisadas tinham mais de 1000 arquivos sensíveis expostos a todos os colaboradores.

Para se ter uma ideia, em média cada funcionário possuía acesso a 17 milhões de arquivos.

Não são apenas os arquivos, mas pastas de documentos também possuem muita exposição. 51% das empresas analisadas tinha mais de 100 mil pastas abertas para todos os funcionários.

Além dos números

Dados sigilosos com acesso liberado a muitos (ou todos os) colaboradores representam um alto risco para as empresas. Há diversas formas utilizadas por cibercriminosos para tentar chegar às informações sensíveis das companhias.

Se um funcionário for vítima de phishing, por exemplo, isso poderá causar danos extensos a empresa em uma exposição de dados sigilosos da organização. Inclusive recentemente nós noticiamos casos de phishing que ocasionaram danos extensos. 

Esses problemas não são difíceis de resolver. Basta gerenciar os acessos a arquivos e pastas, principalmente aqueles com dados como informações confidenciais de funcionários, clientes, parceiros e projetos.

Além disso, o uso da criptografia, também aliado a uma boa governança das chaves criptográficas é muito importante para manter as informações seguras.

Assim, se em último caso alguma coisas vazar, quem obter um arquivo não vai conseguir acessar os dados contidos nele.

Usuários inativos que não saem do sistema e senhas que não mudam

Outro dado apontado pelo estudo é que contas de usuários inativos não são deletadas. 58% das empresas encontraram contas de mais de 1000 usuários inativos.

No geral são pessoas que saíram da companhia por algum motivo, mas seu acessos aos computadores e sistemas ainda existem. Além disso, mais de um terço dos funcionários possuía senhas que não expiram nunca.

Quem agradece por esses fatores são os cibercriminosos. Apesar de buscar dados valiosos, eles precisam de um caminho até essas informações e contas que estão no ar sem uso se tornam uma boa opção para realizar invasões.

Senhas que não mudam são mais fáceis de serem quebradas por força bruta e quando isso ocorre essas contas se tornam uma excelente porta de entrada por muito tempo.

 

Informações sensíveis fazendo hora extra durante a exposição de dados sigilosos

Geralmente os dados sigilosos armazenados por uma empresa são necessários por determinado período de tempo a fim de atender necessidades de uso ou questões jurídicas, mas depois eles devem ser deletados.

É como descartar um cartão de crédito após seu vencimento. Quando dados importantes não são mais necessários, não há motivo para continuar com o seu armazenamento.

Mantê-los é correr um risco desnecessário.

Entretanto, 72% das pastas de arquivos analisadas continham informações antigas, que já deveriam ter sido apagadas. Além disso, do total de dados, 53% eram velhos, não deveriam mais estar sob posse das empresas.

Junte essas constatações ao fato de que a maior parte das companhias estavam trabalhando com permissões a uma quantidade maior de pastas do que elas conseguem administrar e, usando uma expressão popular, nós temos um cenário com muitas informações importantes dando sopa.

Conformidade e LGPD

O relatório menciona que “dados com muita exposição representam um grande risco para as organizações independente de tamanho, área ou localização”.

Fora as principais leis sobre uso de dados sigilosos e sensíveis, como GDPR e LGPD, essa grande exposição de informações sensíveis pode gerar problemas jurídicos para as empresas através de outras legislações.

Mas aqui no Brasil, com a Lei Geral de Proteção de Dados batendo à porta, é importante que as empresas busquem a conformidade para não serem afetadas de maneira negativa em breve.

A LGPD tem trechos claros sobre anonimização de dados, além de responsabilidade e registro de acesso, mas aqui destacamos o artigo 46.

Ele diz que “os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.

Resumindo, não é qualquer um que pode ter acesso e mesmo o cuidado com “situações acidentais” devem ser tomado.

É necessário avançar no desafio da exposição de dados sigilosos

O estudo também constatou que apenas 5% das pastas estavam protegidas. Por tanto, há um caminho importante a ser percorrido.

Nos casos como os citados durante este artigo é necessário mudar a cultura em relação ao armazenamento de dados e medidas de segurança.

Não se pode ficar para trás dos cibercriminosos e nem fora de conformidade com a lei.

Sobre a Eval

A EVAL está há mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria. Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presentes nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias. 

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos. 

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível. 

Eval, segurança é valor. 

Sobre o(s) autor(es):

Autor