As violações de dados têm tirado o sono dos executivos brasileiros. Dados de uma pesquisa do Instituto Ponemon divulgados no último mês indicam que houve um aumento histórico no número de incidentes registrados e nos custos causados às empresas, que chegam a R$ 4,72 bilhões. Os ataques maliciosos, responsáveis por 44% dos casos analisados pelo instituto, são a principal causa de violação de dados.
Casos de grandes violações de dados têm ganhado destaque no mundo todo nos últimos meses. No início deste ano, a Waymo, uma startup propriedade da Alphabet Inc, holding que centraliza o controle de todas as divisões do Google, teve 14 mil arquivos de design roubados por um ex-funcionário, e descobriu que as informações foram parar justo nas mãos dos concorrentes.
O mesmo aconteceu com a BRF em 2015. A empresa, detentora de marcas como Sadia e Perdigão, teve dois computadores roubados de seu departamento de marketing e estranhou a coincidência de prazos e temas entre suas campanhas publicitárias e as da concorrência. Na época, a organização fez um boletim de ocorrência e iniciou uma investigação interna que não trouxe nenhuma conclusão.
Os riscos crescem com o aumento do volume de dados
Estima-se que as empresas tenham gastado bilhões na digitalização de informações, incluindo dados financeiros, planejamentos de marketing, ações estratégicas, informações confidenciais de funcionários e dados ou registros médicos. Muitas organizações, no entanto, subestimaram os riscos envolvidos, focando apenas na produtividade e sem se preocupar se os dados estavam protegidos de hackers, concorrentes e ameaças internas.
Enquanto os dados continuaram crescendo, a segurança da informação ficou para trás, e os efeitos disso são grandes violações de dados como as da Sony, em 2014, do escritório de advocacia Mossack Fonseca, em 2016, e da corretora brasileira XP Investimentos, que teve dados de cerca de 29 mil clientes roubados no início deste ano.
O roubo de arquivos e e-mails é um verdadeiro furacão para os planos de qualquer empresa. O último Varonis Data Risk Report revelou que 47% das empresas tem, no mínimo, 1.000 arquivos sensíveis abertos para todos os funcionários – muitas empresas nem tem ideia da quantidade de informações que armazenam.
Se uma organização guarda dados valiosos, certamente alguém vai tentar roubá-los em algum momento, portanto, é importante estar preparado. Veja alguns dos erros que as empresas cometem e que podem levar a violações de dados:
1. Ignorar a proteção dos dados
A estratégia de segurança tradicionalmente praticada nas empresas está mais focada na proteção de redes e sistemas e no suporte à infraestrutura do que na proteção dos dados, que são na verdade a principal razão para contar com uma infraestrutura.
Assim, as organizações acabam investindo na compra de soluções pontuais para combater ameaças específicas, mas os dados continuam desprotegidos, pois ninguém está observando, por exemplo, quais funcionários estão acessando as informações, se alguém está fazendo cópias dos arquivos ou se os dados estão saindo da rede.
2. Focar apenas em prevenção
O foco em prevenção deixa as empresas vulneráveis a ameaças desconhecidas ou que suas tecnologias não tenham sido feitas para combater. É impossível saber quando um controle de prevenção falha ou quando um usuário interno está se comportando mal.
Sem ferramentas de monitoramento dos dados, é impossível para as empresas identificar os danos causados por uma ameaça interna ou por um cibercriminoso externo.
3. Depender de uma abordagem reativa
Durante anos a principal estratégia de segurança dos dados adotada pelas empresas tem sido fragmentada, reativa e nada estratégica. Isso tem causado uma série de desafios técnicos persistentes, como a necessidade de lidar com as ameaças em constante evolução e lidar com diversos produtos que não se comunicam.
O principal resultado dessa abordagem é a falha em reduzir riscos. Segundo um estudo que a Forrester desenvolveu este ano, apenas 34% das organizações sabem onde seus arquivos sensíveis estão localizados.
Esses erros mostram que empresas com ativos inestimáveis gastam tempo e dinheiro criando, usando e armazenando dados tóxicos, verdadeiras ameaças à reputação, à receita e à segurança.
*Carlos Rodrigues é vice-presidente da Varonis para a América Latina
