As recentes violações de dados sofridas pelo Yahoo, anunciadas em setembro e dezembro de 2016, e pelo serviço de compartilhamento de vídeos Dailymotion, também em dezembro de 2016, demonstram a importância de contar com um plano de resposta a incidentes e mostram que várias empresas ainda têm dificuldades para resolver vulnerabilidades de segurança simples.
“Não importa o quanto você invista em ferramentas de segurança, nada é infalível, especialmente quando o elo mais fraco são os usuários, que precisam de acesso aos dados para realizar seus trabalhos. Diante disso, as empresas, assim como os indivíduos, ainda falham ao seguir práticas básicas de segurança de dados”, afirma Carlos Rodrigues, vice-presidente regional da Varonis na América Latina.
Ao comentar o caso do Yahoo, que em dezembro anunciou uma violação de dados com comprometeu informações de 1 bilhão usuários, incluindo nomes, endereços de e-mail, senhas e telefones, o VP da Varonis afirmou que algumas empresas sofrem violações tão sérias quanto as sofridas pelo Yahoo, mas podem nunca descobrir, pois não investigam isso ativamente.
“Se o Yahoo não contasse com capacidades para detectar evidências de uma invasão, provavelmente nunca teria descoberto essas violações de dados recentemente, que têm sido devastadoras para a marca e podem até custar sua negociação de venda para a Verizon”, afirma Carlos Rodrigues.
Antes disso, em dezembro, o site de compartilhamento de vídeos Dailymotion anunciou que 85,2 milhões de nomes de usuários e endereços de e-mails e 18 milhões de senhas foram roubados de seu banco de dados em outubro. Para o VP da Varonis, o caso é mais um exemplo de que as empresas precisam contar com um plano de resposta a incidentes para proteger os dados caso haja uma violação de dados.
“Não adianta fechar os olhos e esperar que nada de ruim aconteça. Isso não é mais uma opção atualmente. As empresas precisam ter um plano para o que acontece depois de descobrirem uma violação”, ressalta o VP da Varonis na América Latina. “Assim como seria arriscado não contar com um plano de fuga contra incêndios, não faz sentido ignorar a necessidade de um plano de resposta contra uma violação de dados”, exemplifica o VP da Varonis.
“No mínimo, as empresas precisam ter capacidade de identificar o que pode ter sido roubado e deletado e quais são suas obrigações com consumidores, parceiros e shareholders diante de uma violação de dados. Para isso, é importante entender quais tipos de dados estão armazenando para se planejar de acordo”, finaliza Carlos Rodrigues.