Casos de vazamento de dados, como o da companhia norte-americana de crédito Equifax, deveriam estimular mais que apenas espanto. Para empresas que compreendem o valor da informação para os seus negócios e, principalmente, para aquelas envolvidas em sequestro de dados, estes episódios deveriam suscitar a reflexão sobre como estão protegendo os ativos mais importantes de sua marca.
Agora está claro que o caso da Equifax repete uma falha frequente de toda indústria, que é a negligência com certas políticas de segurança. O cibercrime só conseguiu roubar informações porque havia uma vulnerabilidade a ser explorada no website da companhia. A brecha (CVE-2017-5638) havia sido reportada meses antes, em março de 2017. Embora toda vulnerabilidade conhecida deva ser monitorada e mitigada em acordo com as recomendações dos especialistas, no caso da Equifax as correções não foram aplicadas a tempo. Esse relato é comum em diversos outros episódios.
Do ponto de vista tecnológico, existem diversas ferramentas disponíveis no mercado capazes de identificar atividades suspeitas, sejam elas de ameaças conhecidas ou desconhecidas. Essas tecnologias ajudam qualquer empresa a prevenir a ocorrência de ciberataques, monitorando vulnerabilidades de forma automatizada.
Porém, essa não é apenas uma questão de tecnologia. Os ataques não acontecem por falta de produtos preventivos. Estratégia, gestão e cultura organizacional são fundamentais para erigir uma política de segurança de dados robusta, que protege de fato as informações de clientes. E nesse contexto, é necessário abandonar o hábito de considerar que estamos imunes a riscos.
Uma grande organização multinacional está imune porque pode investir em alta tecnologia? Uma pequena ou média está imune porque atua num nicho? Um usuário está imune porque não representa o poder decisório da empresa? Em nenhum dos casos podemos fazer afirmações, porém precisamos enfrentar seriamente o fato de que o risco cibernético é mais real do que se imagina.
Ao testemunhar um crime deste porte, as empresas deveriam se propor um exame aprofundado: se seu plano de segurança da informação realmente funciona. Minha empresa está preparada para enfrentar um ataque avançado? Entendo quais informações e ativos são cruciais para manter o meu negócio? Quais dados não podem ficar desprotegidos em nenhuma circunstância? A abordagem de prevenção contra ameaças endereça minhas reais necessidades? Os produtos que uso se complementam em uma abordagem abrangente? Tenho um plano de recuperação eficiente? Minha equipe de tecnologia está atualizada com as tendências mais recentes? Minha equipe de negócios está educada para se comportar de forma segura em ambientes digitais?
No final das contas, a tecnologia tem real valor quando serve como um meio para sustentar os objetivos de negócios. E nesse caso, a experiência do cliente é fundamental. Hoje, vemos que os principais prejuízos do vazamento de dados, seja no caso da Equifax, seja em outros episódios, são reputação e confiança. Como compromisso estratégico com o negócio e com o cliente, precisamos estar preparados para esta realidade.
* Cleber Ribas é vice-presidente de Vendas da BLOCKBIT