Em meados de maio, uma grande instituição revelou ter sofrido um ataque cibernético que ocasionou o vazamento de dados de 53 mil clientes, expondo a visualização não autorizada de informações relacionadas a contratos de veículos. O número de ataques desse tipo aumentou nos últimos meses. Em abril, outra instituição informou uma fragilidade no sistema que permitiu o vazamento de dados de cartões de crédito de clientes.
Os vazamentos prejudicam a imagem das empresas, e também doem no bolso. Após a entrada da Lei Geral de Proteção de Dados (LGPD), empresas podem ser multadas se deixarem as informações de seus clientes vulneráveis. Por isso, especialistas alertam que não importa o tamanho do negócio, é necessário investir em segurança para proteger os dados dos clientes.
“Estimativas falam que 50% a 60% dos pequenos e médios negócios sofrem algum tipo de ataque cibernético ou vazamento de dados todos os anos e infelizmente eles são os alvos preferidos dos bandidos, já que a maioria não tem estrutura tecnológica robusta para se proteger, como fazem as grandes empresas com equipes de TI. Por isso, essas empresas precisam ficar de olho em outras formas de proteção básicas, como adoção da cultura de proteção de dados por parte dos funcionários e clientes”, alerta Fernando Weigert, diretor da Alias Tecnologia.
Entre as providências indispensáveis, que devem constar nos manuais e normas de qualquer empreendimento, ele enumera as seguintes: evitar exposição desnecessária, não comentar os negócios da empresa, não postar fotos, não abrir e-mails desconhecidos, não abrir boletos de pagamentos, ter cuidados com acessos externos, ler as políticas de privacidade e não repassar senhas são algumas das práticas básicas que devem constar nos manuais e normas da empresa.
Uma pesquisa recente do Massachusetts Institute of Technology (“MIT”) publicada no Journal of Data and Information Quality da ACM (Association for Computing Machinery) aponta que vazamentos de dados aumentaram 493% no Brasil, sendo que mais de 205 milhões de dados de brasileiros vazaram de forma criminosa em 2019. Em número de incidentes relevantes, de grande porte, o país saltou de 3, em 2018, para 16 em 2019, de acordo com a pesquisa.
O que fazer na prática
Mesmo para aquelas empresas que não podem investir muito dinheiro em softwares de segurança ou não contam com um suporte de TI, existem algumas formas básicas e baratas para proteger os dados dos clientes. São elas:
Política de proteção e segurança de dados: produção de um documento com regras práticas e diretrizes sobre segurança da informação. As políticas atualmente devem cumprir as exigências da nova Resolução 4658 em caso de processamento e armazenamento de dados e de computação em nuvem. Essa espécie de manual deve conter as ações mais relevantes para assegurar as informações utilizadas nas organizações, como quem deve ter acesso aos documentos, normas internas de regulação de uso de dispositivos móveis nas dependências da empresa, contrato de confidencialidade, como acessar os dados dos clientes, quem está autorizado e qual a hierarquia, como utilizar redes sociais, entre diversas outras ações que organizam o acesso aos dados.
Backups: Backups regulares evitam a perda de dados dos clientes. Com a ascenção dos chamados “ransomwares” é interessante além dos backups em nuvem ou em storage, ter também os chamados backups removíveis quando possível, ou seja, backups que podem ser removidos e desligados de qualquer que seja a rede. Podemos citar como exemplo os backups em fitas protegidas por chave criptográfica, onde uma fita é imobilizada num cofre, contendo pelo menos os dados do dia anterior se os outros backups e réplicas na nuvem falharem em defender-se de um destrutivo ransomware.
Controle de acesso: O acesso aos dados não deve ser atribuído a qualquer profissional. A responsabilidade precisa estar centrada em um administrador, de preferência com cargos de gerência e confiança da empresa, além disso os acessos quando remotos nunca devem ser feitos via NAT direta como tem sido propagado, mas preferencialmente com VPNs do tipo cliente-servidor que tenham rígidos controles de acessos bem como a identificação do usuário único na VPN com restritos acessos aos serviços necessários. Páginas da web administrativas devem também funcionar com restrição de IP ou VPN. Pela nova LGPD, os responsáveis precisam ter medidas de segurança e técnicas administrativas aptas a proteger os dados pessoais de seus clientes.
Criptografia: Conjunto de técnicas que protegem informações. Por meio dessa solução, apenas pessoas autorizadas conseguem decifrar os dados utilizando códigos de acesso restrito, sem riscos de extravios ou cópias indevidas.
