Dando sequência ao artigo anterior, esperamos que tenha sido compreendida a necessidade e o propósito de identificar vazamento de dados nas empresas.
Uma exigência, quando a intenção é prevenir e evitar prejuízos decorrentes desse tipo de incidente de segurança.
Um desafio para a gestão do acesso à internet e de segurança da informação em pequenas e médias empresas.
Por isso, monitorar riscos e controlar o fator humano na internet corporativa são a estratégia e a prática indicadas para que você identifique vazamentos de dados em sua empresa.
Dessa forma, empresários, profissionais de TI e gestores têm condições de combater o acesso indevido, a coleta não autorizada e a exposição pública de dados.
Afinal, prevenir é o melhor remédio. Principalmente, quando se trata de vazamento de dados nas empresas.
Por isso, informação é fundamental para minimizar o impacto do fator humano e dos principais riscos, brechas de segurança, vulnerabilidades e situações nas quais a proteção de dados é ameaçada.
Veja como se prevenir contra vazamento de dados
Assista ao vídeo do canal Olhar Digital com um panorama sobre segurança digital, incidentes de segurança da informação e vazamento de dados.
Em “Vazamento de dados: saiba como se proteger” (6:56), de forma bem didática, veja como os ambientes públicos e corporativos têm vulnerabilidades que podem ser exploradas por criminosos virtuais.
É curioso perceber que a maior parte das pessoas negligencia o cuidado com as próprias informações e acaba as expondo no ambiente virtual, de forma espontânea.
Enfim, fora do âmbito pessoal, esse comportamento se reproduz no ambiente corporativo. O que compromete a segurança de dados e pode penalizar as empresas.
Por isso, todo cuidado é pouco e toda informação é bem-vinda.
Da mesma forma, não custa reforçar a utilidade de políticas de acesso Web, de gestão da segurança da informação e dos processos de compliance. Afinal, permitem prevenir e identificar vazamentos de dados nas empresas.
Vazamento de dados é responsabilidade da gestão da empresa
O vídeo confirma o que já escrevemos: a maioria dos vazamentos de dados ocorrem por imprudência no acesso à internet e no compartilhamento de dados pessoais.
A falta de cuidado e a negligência no acesso à internet causa uma série de transtornos e prejuízos para as pessoas físicas.
Quando esse comportamento se reproduz no âmbito corporativo, os riscos são ainda maiores e as consequências podem levar a grandes prejuízos.
É importante ressaltar que as empresas devem estabelecer e fazer cumprir políticas de acesso à internet e de segurança de dados por seus funcionários.
Afinal, é responsabilidade da gestão empresarial coibir, controlar e monitorar comportamentos de risco dos colaboradores.
Ao permitir comportamento inadequado e/ou impróprio dos funcionários, expõe vulnerabilidades e brechas de segurança. Sobretudo, porque:
- Toda empresa está exposta ao vazamento de dados.
- Sem prevenção e controle, qualquer colaborador pode colocar sua empresa em risco.
- Sem processos de compliance contra o vazamento de dados (tecnologia, ferramentas e controle), as empresas se tornam negligentes.
É obrigação legal de gestores e empresas preservar a integridade, a privacidade de dados e a segurança digital. Para isso, devem utilizar soluções e tecnologias eficientes disponíveis no mercado.
20 recomendações para prevenir vazamento de dados e ameaças digitais
Preparamos uma lista com 20 recomendações de segurança para identificar vazamento de dados nas empresas e outras ameaças digitais.
São recomendações gerais e adequadas para empresas de qualquer ramo e porte protegerem dados (seus e sob sua responsabilidade):
- Prestar mais atenção, controlar o acesso e bloquear sites desconhecidos, indesejados, impróprios ou nocivos.
- Desativar contas digitais não utilizadas.
- Evitar o uso de senhas simples e repetidas.
- Utilizar autenticação de dois fatores.
- Impedir ou controlar o salvamento de arquivos e dados de forma local em computadores e dispositivos móveis sem backup.
- Instituir soluções de Firewall DNS.
- Fazer o acesso remoto aos sistemas e recursos internos da empresa utilizando uma conexão VPN.
- Limitar a publicação de dados e informações sobre a empresa durante o horário de trabalho.
- Criar uma política de gestão do acesso à internet e de segurança de dados.
- Estabelecer um plano de contingência e de redução de danos caso haja um vazamento de dados na empresa ou outro tipo de incidente de segurança.
- Investir em backups e criptografia de arquivos e dados sensíveis que precisam estar na nuvem.
- Comunicar à Autoridade Nacional de Proteção de Dados (ANPD) todo vazamento de dados ou qualquer outro incidente de segurança.
- Não fornecer ou confirmar dados por telefone, ou aplicativos inseguros (WhatsApp, Telegram, Signal, entre outros).
- Cadastrar sua empresa em serviços de alerta, como o da Serasa e do Banco Central, o Registrato.
- Automatizar os processos de compliance contra vazamento de dados na empresa e outros incidentes de segurança.
- Monitorar o risco em seus fornecedores e parceiros.
- Conscientizar os colaboradores sobre a necessidade de prevenir, proteger e identificar vazamento de dados e demais incidentes de segurança.
- Manter a empresa e os processos de compliance em gestão da segurança de dados sempre atualizados.
Identifique vazamento de dados: brechas, vulnerabilidades e principais riscos
O propósito deste artigo é facilitar o acesso à informação. Portanto, reproduzimos trechos sobre origens, motivos, principais riscos, brechas de segurança, vulnerabilidades e situações nas quais a proteção de dados nas empresas é ameaçada.
As fontes de pesquisa e consulta são diversas. Por isso, ao final de cada bloco, estará disponível um “saiba mais” com link direcionado ao conteúdo original.
Origens de vazamento de dados
O vazamento de dados nas empresas pode ser originado do furto de dados por atacantes e códigos maliciosos que exploram vulnerabilidades em sistemas. Com o acesso a contas de usuários, por meio de senhas fracas ou vazadas. Ação de funcionários ou ex-funcionários que coletam informações dos sistemas da empresa e os repassam a terceiros. Furto de equipamentos que contenham dados sigilosos. Erros ou negligência de funcionários, como descartar mídias (discos e pen drives) sem os devidos cuidados.
Principais causas de vazamento de dados
As ocorrências que levam ao vazamento de dados com maior frequência são:
- Furto de identidade e invasão de contas digitais.
- Furto de identidade levando a prejuízos financeiros.
- Violação de privacidade.
- Tentativas de golpes.
A quem recorrer
Caso verifique vazamento de dados e fraude, contate as instituições envolvidas e siga as orientações recebidas. Registre um Boletim de Ocorrência junto à autoridade policial, para viabilizar a apuração e resguardar-se. Caso não saiba qual instituição está envolvida, você pode fazer uma denúncia no site da Autoridade Nacional de Proteção de Dados (ANPD).
Não incentive vazamento de dados e abusos
Não compre listas de dados. Essa prática incentiva que mais vazamentos ocorram e coloca todos em risco. Evite acessar sites e abrir arquivos que confirmem ou exibam informações vazadas. Eles podem ter sido criados com fins maliciosos para expor ainda mais seus dados.
Quantidade de dados que possui e produz
Dados de cadastros, biográficos, profissionais, financeiros e de navegação. São apenas alguns exemplos de circulação por diversas redes e de armazenamento em diferentes sistemas, dispositivos e mídias. Há situações nas quais se perdem informações, ou são indevidamente acessadas e até mesmo coletadas e vendidas sem que você tenha ciência disso. Alguns exemplos dessas situações: perder o celular, computador ou mídia removível. Interceptação durante o tráfego em redes. Um vazamento de dados. No caso de invasão de contas e de sistemas onde ficam armazenados. Reunir informações de navegação sem transparência e compartilhá-las sem consentimento.
Informação para garantir direitos e obrigações
A LGPD existe para que o indivíduo tenha controle sobre seus dados pessoais e saiba como são tratados por organizações públicas, privadas e terceiros. Segundo a Lei, dados pessoais são informações relacionadas à pessoa natural identificada ou identificável. Como titular de dados você tem diversos direitos garantidos pela LGPD, em seu artigo 18.
DDoS Attack
Este tipo de ataque sobrecarrega as atividades do servidor, provoca lentidão no sistema e deixa sites e acessos indisponíveis. Um ataque DDoS é uma das maiores ameaças ao funcionamento pleno dos sistemas. Assim, pode gerar acessos indevidos e, dessa forma, expor as empresas a outros ciberataques e vazamento de dados.
Port Scanning Attack
Se acaso existir alguma vulnerabilidade no sistema da empresa, este malware busca e encontra essa fragilidade no servidor. Assim, aproveita a brecha de segurança para roubar informações e dados a fim de danificar o sistema, sequestrar dados (ransomware) ou praticar o vazamento de dados.
Ransomware
O “sequestro de dados”, bloqueia o acesso aos arquivos do servidor e somente os libertam mediante pagamento. Cibercriminosos determinam o valor do “resgate”. Exigem uma quantia que deve ser paga em moeda virtual (criptomoedas), para evitar o rastreio. A vulnerabilidade de segurança que inicia pelo acesso indevido, passa pela criptografia e pode levar à perda ou ao vazamento de dados.
Cavalo de Troia
Malware que só funciona com “autorização” do usuário. O vírus camuflado é instalado no sistema das empresas quando colaboradores executam anexos de e-mail desconhecidos ou fazem downloads suspeitos. Dentre os objetivos de um Cavalo de Troia, estão interromper funções, roubar informações e vazar dados pessoais. O portal Computerworld listou alguns dos maiores vírus do tipo Cavalo de Troia da história.
Ataques de força bruta
Esse tipo de ataque malicioso furta contas por meio de diversas tentativas de combinações de usuário e senha em pouquíssimo tempo. Quando os criminosos acessam e tomam posse das informações, podem enviar diversas mensagens com remetente conhecido dos funcionários, com conteúdo como phishing e spam. Ou, solicitando depósitos, transferências, senhas de acesso e muitas outras informações sensíveis. Um risco à segurança digital que pode levar ao vazamento de dados nas empresas.
Phishing
Geralmente realizado por e-mail, phishing é uma ameaça virtual que leva os funcionários a revelarem informações sigilosas, incluindo senhas, dados bancários e CPF. Em regra, esse tipo de ataque malicioso leva colaboradores a páginas idênticas às verdadeiras. Como a do banco no qual a empresa movimenta seu dinheiro, por exemplo. Os hackers lançam uma “isca” para enganar os funcionários e “pescar” os dados. É um dos ataques mais comuns e o de maior sucesso. Um bom exemplo da necessidade de identificar vazamento de dados nas empresas.
Cryptojacking
Computadores ou qualquer outro dispositivo conectado à internet passam a fazer mineração de criptomoedas sem que as empresas e usuários saibam. Normalmente, o ataque é descoberto quando a lentidão de navegação e do desempenho do dispositivo é realmente notável. Mais uma fragilidade que leva ao vazamento de dados nas empresas.
ZeroDay
Um ataque que age a partir de falhas e vulnerabilidades em softwares e aplicativos recém-lançados. Explora brechas e bugs. Menos comum, atinge mais empresas que trabalham com desenvolvimento no meio digital. Por isso é sempre válida a dica de manter sempre atualizados sistemas, softwares e aplicativos. Uma forma de minimizar ameaças e riscos. É uma das situações e vulnerabilidades de segurança mais fáceis de serem controladas. O que facilita a vida de gestores e profissionais de TI na hora de prevenir ameaças digitais e de identificar vazamento de dados na empresa.
Spoofing
Traduz-se como “pegadinha” e é bem semelhante ao phishing. Ocorre quando o golpista se passa pelo usuário legítimo detentor das informações e tenta acessar contas, servidores, fazer compras ou roubar identidades da vítima. É o que ocorre em casos de SIM swap.
SIM swap
Quando um número de telefone é transferido para outro cartão SIM em branco, o cibercriminoso liga para a operadora e se passa pela vítima. Alega ter perdido o acesso ao chip anterior e solicita a troca. Na chamada, confirma os dados para autenticar a identidade e realiza a transferência. Também pode ocorrer dentro da própria operadora.
Brushing scam
Trata-se de vendas falsas feitas via internet. Uma loja cria um perfil fake com dados reais de um consumidor (nome e endereço). Depois, envia qualquer objeto para o suposto cliente (para validar a entrega). Em seguida, faz uma avaliação positiva da compra. Outros clientes legítimos são enganados com as avaliações falsas e compram no site.
Os principais benefícios da prevenção
Prevenção e informação são palavras-chave para que você identifique vazamentos de dados. Também, para evitar prejuízos financeiros e resguardar a reputação de sua empresa.
Nesse sentido, empresários, gestores e profissionais de TI devem estar sempre bem-informados e preparados para agir de forma preventiva.
Ou, para reduzir danos e prejuízos, na eventualidade de não identificar vazamento de dados na empresa.
Providências de gestão que não precisam ser difíceis nem complexas. Afinal, existem soluções simples e acessíveis disponíveis no mercado.
Prevenir incidentes de segurança da informação é a estratégia mais barata e inteligente.
Além disso, potencializa os processos de compliance contra vazamento de dados nas empresas.
Ao mesmo tempo, dificulta a ação de hackers e a ocorrência de ciberataques e ocasiona a destruição, perda ou tratamento inadequado de dados.
Assim, torna mais efetivos protocolos, controles e a própria política de gestão do acesso à internet e da segurança da informação.
Como resultado, sua empresa agirá em acordo com a legislação (LGPD). O que é essencial para resguardá-la contra as pesadas multas previstas em Lei. E, também, para preservar direitos de privacidade e de segurança de dados pessoais de usuários/consumidores/cidadãos.
Na prática, além da prevenção, as melhores soluções do mercado têm tecnologias que contribuem para melhorar os indicadores de produtividade e de lucratividade.
Assine nossa newsletter semanal e receba mais notícias e materiais.