6 passos simples para evitar vazamento de dados – Ouça
11 de fevereiro de 2019O vazamento de dados teve destaque nos principais sites e noticiários nos últimos tempos. Recentemente por exemplo vimos um grande escândalo envolvendo o Facebook
Artigo produzido por: E-VAL Tecnologia
O que nos chamou mais atenção nesse vazamento foi verificar o quanto estamos vulneráveis. Além disso, quanto isso pode ser danoso em nossas vidas e também para as empresas.
Infelizmente sempre teremos esse risco, entretanto, com algumas ações simples podemos reduzir as chances de isto acontecer. Assim como, é possível minimizar os impactos para os clientes quando esse tipo de incidente ocorrer.
1. Conscientização é o primeiro passo para reduzir o vazamento de dados
Primeiramente, vamos falar em conscientização, muitas empresas ainda tratam a segurança dos dados com restrição. É comum esse tipo de comportamento quando são associados a necessidade de investimentos especializados. Esse é um erro estratégico.
A realidade mostra que investir em segurança da informação é fundamental, principalmente em um momento que temos clientes cada vez mais conectados e realizando operações financeiras online.
Antes de qualquer ação ou investimento a ser feito, a conscientização é o primeiro passo para garantir a segurança dos dados corporativos e dos clientes.
Portanto, é preciso entender que um vazamento de dados é um incidente que expõe dados confidenciais ou protegidos de forma não autorizada, causam prejuízos financeiros e de imagem, para as empresas e pessoas.
Além disso, o roubo de dados pode envolver informações pessoais, de identificação pessoal, segredos comerciais ou propriedade intelectual. Os tipos de informações mais comuns em um vazamento de dados são os seguintes:
- Números de cartão de crédito;
- Identificadores pessoais como CPF e identidade;
- Informações corporativas;
- Listas de clientes;
- Processos de fabricação;
- Código-fonte de software.
Os ataques virtuais costumam ser associados às ameaças avançadas, visando a espionagem industrial, interrupção de negócios e roubo de dados.
Como evitar violações e roubo de dados
Por isso, não há nenhum produto ou controle de segurança que possa impedir violações de dados. Essa afirmação pode parecer estranha para nós que trabalhamos com tecnologia, afinal, para que servem os diversos ativos de hardware e software específicos para área de segurança?
Os meios mais razoáveis para impedir violações de dados envolvem boas práticas e incluem noções básicas de segurança bem conhecidas, veja alguns exemplos:
- A realização de testes contínuos de vulnerabilidade e penetração;
- Aplicação de proteções, que inclui processos e políticas de segurança;
- Uso de senhas fortes;
- Uso de hardware de armazenamento seguro de chaves;
- Uso de hardware para gerenciamento de chaves e proteção de dados;
- Aplicação consistente dos patches de software para todos os sistemas.
Embora essas etapas ajudem a evitar intrusões, os especialistas em segurança da informação, a exemplo da E-VAL, incentivam o uso de criptografia de dados, certificados digitais e autenticação dentro do conjunto de boas práticas recomendadas.
Além disso conheça os outros 5 passos para evitar o vazamento de dados
O aumento do uso de aplicativos e o armazenamento de dados na nuvem causou um aumento da preocupação do vazamento e roubo de dados.
Por isso, os passos que vamos descrever consideram a computação em nuvem como a principal infraestrutura de TI adotada pelas empresas para hospedar seus produtos, serviços e ferramentas que fazem parte do processo produtivo.
2. Desenvolva um plano de resposta a vazamento de dados
Pode parecer estranho a recomendação de um plano de resposta vir antes da construção de políticas e processos de segurança, mas vai fazer sentido. Na verdade, não existe uma ordem certa na elaboração dos documentos, até porque a construção será feita a várias mãos e são independentes.
Um plano de resposta a vazamento de dados consiste em um conjunto de ações destinado a reduzir o impacto do acesso não autorizado a dados e a mitigar os danos causados se uma violação ocorrer.
Dentro do processo de elaboração, existem etapas, que quando bem definidas, vão servir de base para elaboração de suas políticas e processos de segurança. Para você ter uma ideia o desenvolvimento desse plano nos traz abordagens do tipo:
- Análise de impacto nos negócios;
- Métodos para recuperação de desastre;
- Identificação dos dados confidenciais e críticos da sua organização;
- Definição de ações para proteção com base na gravidade do impacto de um ataque;
- Avaliação de riscos do seu ambiente de TI e identificação de áreas vulneráveis;
- Análise da atual legislação sobre violação de dados;
- E outros pontos críticos.
Citamos alguns pontos, mas um plano de resposta a vazamento de dados aborda outras áreas que também servem de base para a construção das políticas de segurança.
Como estamos considerando um ambiente na nuvem, a estratégia a ser construída no plano de resposta a vazamento de dados deve ter a participação do fornecedor da infraestrutura de nuvem.
Vale destacar ainda que muitos dos recursos disponíveis na nuvem já possuem características próprias que ajudam na construção e execução dos planos.
3. Ter uma política de segurança da informação que contemple a proteção dos dados
Uma política de segurança geralmente é considerada um “documento vivo”, o que significa que ela nunca é concluída, sendo continuamente atualizada à medida que os requisitos de tecnologia e estratégias da empresa mudam.
A política de segurança de uma empresa deve incluir em seu conteúdo uma descrição de como a empresa realiza a proteção dos ativos e dados da empresa.
Neste documento é apresentado ainda uma definição de como procedimentos de segurança serão executados e os métodos para avaliar a eficácia da política e como as correções necessárias serão feitas.
Vale lembrar, que faz parte das políticas de segurança a adoção do termo de responsabilidade assinado pelos colaboradores para que eles se comprometam com a segurança da informação e o não vazamento de dados.
Assim como o plano de resposta a vazamento de dados, a política de segurança também é um documento amplo com vários pontos, mas que não foram descritos neste artigo.
4. Certifique-se de ter uma equipe treinada
Assim sendo, como você deve saber, treinamento é um ponto crucial para evitar o vazamento de dados. A capacitação de funcionários aborda a segurança em vários níveis:
- Ensina aos funcionários sobre situações que possibilitam vazamentos de dados, a exemplo das táticas de engenharia social;
- Garante que os dados sejam criptografados à medida que ações sejam executadas conforme as políticas e planos de segurança;
- Certifica que os processos envolvidos sejam os mais dinâmicos e automáticos, de forma atingir a conformidade das legislações;
- Assegura a conscientização dos funcionários quanto a importância da segurança da informação, reduzindo riscos de ataques.
5. Adote ferramentas eficazes na proteção dos dados
Em uma arquitetura de nuvem adotada pelas empresas, a existência e uso de ferramentas que contribuam para garantir a segurança da informação é obrigatória. Além de ativos de hardware e software deve-se encontrar como recursos:
- Ferramentas para monitorar e controlar o acesso à informação;
- Ferramentas para proteger o dado em movimento (canal SSL/TLS);
- Ferramentas para proteger o dado em repouso (em banco de dados e arquivos);
- Ferramentas para proteger o dado em memória;
- Ferramentas de prevenção à perda de dados (DLP).
Em resumo, as abordagens adotadas por essas ferramentas são úteis e obrigatórias. De certo, quando o objetivo é bloquear a saída de informações confidenciais.
Elas são fundamentais para reduzir o risco de vazamento de dados quando gerenciados através de serviços de infraestrutura na nuvem.
6. Teste seu plano e as políticas, abordando todas as áreas consideradas de risco
Da mesma forma que as outras seções descritas sejam importantes, o valor de realizar verificações. Igualmente, as validações das políticas e dos planos de segurança fazem deste último passo um dos mais críticos.
Como resultado, a empresa deve realizar auditorias profundas para garantir que todos os procedimentos funcionem de forma eficiente e sem margem para erros.
Porém, para muitos, a etapa de testes deve ser uma das partes mais desafiadoras. Então a área de segurança da informação deve sempre buscar evitar o vazamento de dados.
Por outro lado, é muito difícil colocar em execução todos os procedimentos descritos. Principalmente devido ao fato de que temos as operações da empresa sendo executadas em pleno vapor.
Quando não planejado corretamente, os testes podem causar forte impacto na rotina da organização.
Entretanto, essa validação é fundamental para a sobrevivência da empresa em relação ao vazamento de dados e não pode ser negligenciada.
Por fim, os passos descritos no artigo certamente vão ajudar sua empresa na prevenção de incidentes de segurança. Apesar de uma aparente complexidade é plenamente possível adotá-los e ter sucesso na prevenção ao vazamento de dados.
Fonte: E-VAL Tecnologia