Casos de vazamentos de dados continuam aparecendo nas manchetes dos jornais com frequência cada vez maior no mundo todo, inclusive no Brasil. Cibercriminosos utilizam técnicas avançadas para acessar os bancos de dados das empresas e roubar dados de clientes como logins, senhas, endereços, números de documentos e de cartões de crédito.
Os dados pessoais dos clientes são vendidos na dark web e podem render um bom lucro a quem conseguir roubá-los. Em posse dessas informações, criminosos podem enviar e-mails falsos contendo malwares, obter acesso às contas de e-mails e redes sociais ou mesmo usar os dados em golpes e fraudes financeiras como clonagem de cartões de crédito.
Mesmo ainda sem uma regulamentação voltada para a proteção de dados dos consumidores, como a que será implementada na União Europeia em breve, a justiça brasileira está começando a cobrar responsabilidade das empresas que tiveram os dados vazados. Em casos recentes, o Ministério Público pediu que empresas atacadas se explicassem à justiça e que notificassem os clientes sobre as informações confidenciais que foram expostas.
Com a exposição na mídia e a exigência de notificação pela justiça, as empresas são obrigadas a assumir as falhas e a se responsabilizarem por eventuais danos causados aos seus clientes. Os prejuízos incluem altos valores para corrigir as falhas de segurança e um grande impacto na reputação da companhia, que pode ser irreversível.
Muitas vezes é difícil saber como aconteceu o ataque, se por uma armadilha de phishing, engenharia social, vulnerabilidades de sistemas, falta de proteção adequada na nuvem, ou mesmo se o atacante conseguiu acesso por meio da rede de uma empresa parceira com falhas de segurança.
Uma boa estratégia contra o vazamento de dados deve ser prioridade para todos os gestores. As principais questões que os gestores fazem são: Como se defender contra esses ataques? A empresa deve investir mais em soluções de segurança para endpoint, criptografia, rede ou nuvem? Antes de sair comprando soluções novas é preciso avaliar a qual é a real postura de segurança da empresa. Cada empresa é diferente e cada uma tem vulnerabilidades diferentes, que devem ser tratadas de forma específica.
Os ambientes tecnológicos se tornaram tão complexos que perdemos a visibilidade do todo. Uma análise de postura de segurança pode fornecer conhecimento detalhado sobre a estrutura, o funcionamento dos produtos, apontar onde estão os riscos e também como aproveitar melhor as soluções já existentes. Muitas vezes os produtos necessários já existem, mas estão mal configurados, não estão integrados ou a equipe não está utilizando todos os recursos disponíveis. Às vezes, revisar os processos e investir em um projeto de classificação de dados é mais eficiente do que a aquisição de novas soluções.
O fato é que as empresas precisam ser mais responsáveis com a coleta e o armazenamento dos dados. As informações pessoais dos clientes têm grande valor no mercado do cibercrime e os atacantes vão continuar aprimorando suas técnicas para tentar subtrair tais informações.
A regulamentação proposta pela União Europeia irá impactar a forma como as empresas lidam com os dados dos clientes e, sem dúvida, novas leis e regras voltadas para a proteção de dados não tardarão a serem implementadas por aqui. A segurança de dados será um fator cada vez mais importante para o sucesso dos negócios e as empresas precisam se preparar o quanto antes para não estarem na próxima manchete do jornal.
* Jeferson Propheta é diretor geral da McAfee no Brasil
