5 Melhores Práticas para a Prevenção da Violação de Dados em 2019. Na economia digital atual, um volume crescente de informações é coletado e os dados estão se transformando não apenas em um recurso mais valioso, mas também mais vulnerável.
Para as empresas, tornou-se um insumo fundamental para o crescimento, a diferenciação e a manutenção da competitividade. Com a crescente importância dos dados, a segurança das informações está evoluindo para um aspecto crítico para as organizações, pois o risco de violação de dados confidenciais – devido a incidentes intencionais ou não intencionais – aumenta em um ritmo alarmante.
Violações de dados são incidentes de segurança em que informações confidenciais são vazadas ou roubadas de um sistema sem o conhecimento ou a autorização do proprietário do sistema.
De acordo com um estudo realizado pelo Ponemon Institute, o custo médio de cada registro perdido aumentou em 4,7% de 2017 para 2018 (de US $ 141 para US $ 148), enquanto o custo total médio de uma violação de dados aumentou de US $ 3,62 em 2017 para US $ 3,86 milhões em 2018, marcando um aumento de 6,4%.
Como as violações de segurança fazem novas manchetes toda semana, as empresas devem garantir que os dados confidenciais sejam adequadamente protegidos, a fim de evitar perda ou roubo. As medidas de segurança incluem as políticas do que e como têm que ser protegido, bem como as estratégias e ferramentas à sua disposição para a mitigação de violações.
A proteção de dados confidenciais é necessária não apenas por razões legais ou éticas, mas também por questões relacionadas à privacidade pessoal, bem como pela proteção da reputação da empresa. Os dados confidenciais incluem informações pessoais identificáveis (do inglês PII), como nomes, números de cartão de crédito, endereços de e-mail ou números de telefone de clientes e funcionários, bem como propriedade intelectual e segredos comerciais, dados específicos do setor e informações relacionadas as operações.
Vejamos quais práticas as empresas podem aplicar em 2019 para se preparar adequadamente contra uma violação de dados:
Treinamento em conscientização sobre segurança
Os funcionários têm um papel importante em manter suas organizações seguras; no entanto, sem conscientização de segurança e treinamento efetivo, eles podem ser o elo fraco na cadeia de segurança de dados e representar uma grande vulnerabilidade.
Com o surgimento de ferramentas de armazenamento na nuvem, dispositivos de IoT e tendências de BYOD, está mais fácil do que nunca colocar em risco dados confidenciais.
De acordo com o 2018 State of Privacy and Security Awareness Report , 75% dos funcionários solicitados tiveram problemas com a identificação de práticas recomendadas relacionadas a comportamentos corretos em segurança cibernética e privacidade de dados.
Um treinamento eficiente é um componente crítico e significa garantir que os funcionários sejam informados sobre a importância da segurança de dados, tenham o conhecimento necessário para detectar ameaças e evitar vazamentos e tenham o poder de relatar possíveis incidentes de privacidade. É importante treiná-los sobre os riscos específicos de segurança cibernética da indústria e da empresa, bem como sobre as repercussões que uma violação de dados pode ter.
Para uma melhor proteção cibernética, o acesso a informações confidenciais deve ser limitado em base do “need to know” e é importante incluir exemplos reais de incidentes relatáveis no treinamento de funcionários. Eles também devem estar cientes de suas responsabilidades ao usar um computador em uma rede comercial.
As políticas de segurança devem ser atualizadas regularmente, pois as ameaças estão sempre mudando e os cibercriminosos estão se tornando mais inteligentes.
Invista na tecnologia de segurança certa
As medidas de segurança cibernética são necessárias em todos os setores de negócios, pois as informações confidenciais devem ser protegidas onde quer que sejam armazenadas, enviadas ou usadas.
Embora seja importante ter a segurança de perímetro de rede tradicional como firewalls, detecção de intrusão e antivírus, as empresas devem considerar uma abordagem em camadas que inclua não apenas proteção contra ameaças de segurança, mas também identificar, monitorar riscos de segurança e responder a ameaças de segurança e incidentes.
O uso de padrões de criptografia e uma política de backup ajuda a reduzir os riscos, ao mesmo tempo é crucial para minimizar as vulnerabilidades da rede garantindo que o software seja atualizado e corrigido regularmente
As soluções de Prevenção de Perda de Dados (DLP), como o Endpoint Protector, podem ajudar as empresas na prevenção de violações de dados, pois as políticas de proteção podem ser aplicadas com seu uso e o acesso ilegal aos dados pode ser evitado.
Restringir usuários finais de compartilhar informações confidenciais ou transferi-los de redes corporativas também é possível, bem como controlar ou bloquear dispositivos não autorizados.
As soluções de DLP podem ajudar a proteger os dados em trânsito e em repouso.
Atualmente, como as questões de segurança digital ameaçam empresas de todos os portes, implantar essa solução é um requisito não apenas para grandes empresas, mas também para pequenas e médias empresas.
Cumprir com as regulamentações de proteção de dados
Cada regulamentação de proteção de dados é uma indicação de que as empresas são responsáveis pela forma como gerenciam a privacidade de dados e os dados das pessoas.
Quando as organizações priorizam a proteção de conteúdo para atender às regulamentações de proteção de dados, elas têm uma melhor chance não apenas de evitar o vazamento de dados, mas também de evitar multas e problemas de reputação. A melhor maneira de garantir a conformidade é criar uma política de segurança de dados que mantenha os dados protegidos contra riscos internos e externos à empresa.
2018 foi um ano importante em termos de leis de privacidade do consumidor e regulamentos rigorosos estão se tornando mais prevalentes em escala global. Alguns deles afetam países ou territórios específicos, como o Regulamento Geral de Proteção de Dados (GDPR) ou a Lei de Privacidade de Dados brasileira (LGPD), enquanto outros como o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) ou o Portability Insurance Accountability Act (HIPAA) se concentram em setores específicos.
Para empresas que processam, armazenam ou transmitem informações de cartão de crédito, o PCI DSS dita quem pode manipular e usar informações pessoais confidenciais, como números de cartão de crédito.
Dentro de um ambiente de saúde, o HIPAA regula quem pode ver e usar informações de saúde protegidas, como o nome de um paciente ou os dados de planos de saúde e exames. Além disso, muitos países têm leis de notificação de violação de dados que exigem que entidades privadas e públicas notifiquem os indivíduos sobre violações envolvendo dados pessoais.
Realizar avaliações regulares de vulnerabilidade
A avaliação de vulnerabilidade é o processo destinado a identificar, classificar e priorizar ameaças de segurança, bem como determinar os riscos que elas representam para as organizações.
Auditorias de segurança regulares revelam uma imagem clara sobre os dados e atuam como uma lista de verificação para trabalhar em prol da proteção de dados.
Ao realizar uma avaliação de vulnerabilidade, as empresas devem considerar todos os aspectos, como armazenamento de dados, acesso remoto para funcionários, estratégia de BYOD e garantir que políticas e procedimentos sejam adequados.
O Center for Internet Security (CIS) classifica o Continuous Vulnerability Management como a terceira prática mais importante em seus 20 Critical Security Controls. Detectar vulnerabilidades regularmente e priorizar sua correção também é importante para fornecer o nível de proteção de dados exigido por diferentes regulamentações.
Desenvolver um plano de resposta à violação de dados
Embora muitas empresas ainda não tenham desenvolvido um plano de resposta a violações, essa estrutura tem um papel importante em lidar melhor com os incidentes de segurança cibernética, além de limitar os danos e restaurar a confiança do público e dos funcionários.
O principal objetivo é definir os papéis e responsabilidades das pessoas encarregadas de gerenciar uma violação; incluindo um projeto de notificação e resumindo o processo de investigação também é vital.
A importância de um plano de resposta também é destacada pelas regulamentações. Por exemplo, sob os requisitos do GDPR, as organizações precisam responder às violações de dados dentro de 72 horas após a detecção; isso inclui reunir todas as informações relacionadas, reportar a violação ao regulador relevante e informar os indivíduos afetados.
Como a tecnologia continua a impulsionar as empresas, também continua a torná-las vulneráveis ao cibercrime. Para reduzir o risco de enriquecer a lista cada vez maior de vítimas de violação, a segurança cibernética deve se tornar uma prioridade para todas as organizações.
Endpoint Protector
Veja abaixo um pouco mais do EPP – Endpoint Protector da CoSoSys e contate a MindSec para maiores informações.
Veja também:
- As 8 coisas que você precisa incluir na política de segurança cibernética de seus funcionários
- Falha de ‘Dirty Sock’ no snapd permite acesso root aos servidores Linux
- Dell rompe com Cylance e revigora a proteção de endpoint com o CrowdStrike
- Netshoes é multada em R$500 mil por vazamento de informações de 2 Milhões de clientes
- Como melhorar a resposta a incidentes e o tempo de remediação
- Uma certeza na vida – A CRISE
- Google alerta sobre “zero day” antes do lançamento do novo iOS 12.1.4
- Servidores RDP podem invadir dispositivos de cliente
- Vulnerabilidade do Microsoft Exchange permite que invasores obtenham privilégios de administrador de domínio
- Vulnerabilidade na rede de telefonia permite captura de SMS usado como 2FA
- Antivírus DATLESS revoluciona mercado de Endpoint
- Mais 24 Milhões de documentos financeiros vazam na Amazon S3
Deixe sua opinião!