Segundo estudo “Data Under Attack: 2018 Global Data Risk Report”, produzido pelo Varonis Data Lab, em média 21% das pastas no ambiente corporativo estão acessíveis a todos, e 41% das empresas têm ao menos mil arquivos sensíveis abertos a todos os funcionários. O relatório apresenta ainda alguns insights preocupantes sobre o nível de criticidade da superexposição e falta de proteção de arquivos e e-mails em empresas ao redor do mundo.
O relatório consolidado capturou dados de risk assessments feitos em 130 organizações, incluindo empresas clientes e potenciais clientes, em mais de 50 países, incluindo o Brasil – uma amostra representativa de mais de 30 segmentos e tamanhos de indústria. Para este relatório, a Varonis analisou mais de 5 bilhões de arquivos, mais do que o dobro do número do relatório divulgado em 2017, com uma média de 36.242 usuários, 3.531.978 pastas e 48.051.109 arquivos por empresa.
Uma série de problemas que geram riscos para as organizações, como violações de dados, ameaças internas e ataques de ransomware de grandes proporções foram verificados no estudo. Entre as principais falhas identificadas estão os grandes grupos de acesso ou, pior ainda, os grupos globais de acesso, em que muitos funcionários acabam acessando muitos dados sensíveis. De acordo com o estudo, 58% das empresas têm mais de 100 mil pastas abertas a todos os funcionários.
O problema dos dados obsoletos e sensíveis regulamentados por padrões como GDPR e PCI também gera desafios para as empresas. De acordo com a pesquisa da Varonis, em média 54% dos dados das empresas são obsoletos, gerando uma série de custos de armazenamento e complicando a gestão da informação. Outra descoberta do estudo é de que 46% das empresas têm mais de 1.000 usuários com senhas que nunca expiram.
Segundo Carlos Rodrigues, vice-presidente da Varonis para a América Latina, as empresas estão atoladas em dados desprotegidos, mas parecem ter pouca noção de que estão correndo riscos.
“Os hackers aproveitam falhas de segurança para ganhar acesso a sistemas desprotegidos e arquivos sensíveis. Fingindo que são usuários comuns, os cibercriminosos tentam obter informações críticas para obter ganhos econômicos, pessoais e até políticos”, explica o executivo da Varonis.
“Basta um único vazamento para que uma empresa vire notícia, e temos visto milhares de pastas com dados sensíveis e confidenciais em risco nos risk assessments que executamos. Assim como temos visto casos em que um único servidor desatualizado pode causar desastres, uma única pasta desprotegida é o suficiente para colocar o negócio em risco, e não é preciso ser um expert para fazer isso”.
Para o executivo da Varonis, os executivos estão começando a entender agora o quanto os dados super-expostos podem ser arriscados para a empresa, e precisam saber que existe uma solução para isso.
“Um modelo de privilégios mínimos, em que os usuários devem ter acesso apenas aos recursos de que precisam para trabalhar, pode limitar drasticamente os danos causados por hackers e ameaças internas. Quando o acesso aos dados é limitado apenas aos usuários que realmente precisam deles, os hackers também ficam limitados aos recursos de que a conta comprometida dispõe, reduzindo os potenciais danos”, explica Carlos Rodrigues.