As organizações enfrentam hoje inúmeros desafios quando se trata de proteger dados sensíveis e informações confidenciais. Isso ocorre porque o ambiente torna a manutenção do controle completo e do monitoramento eficaz mais complexa do que nunca. Mover dados para a nuvem e permitir que os funcionários trabalhem remotamente significa que os dados não são mais mantidos fisicamente pela organização e que devem ser tomadas medidas para protegê-los contra roubo e violações de dados enquanto são processados e armazenados em vários locais físicos.
As organizações podem seguir um conjunto geral de práticas recomendadas para garantir que dados confidenciais, como informações de identificação pessoal (PII), estejam bem protegidos. Essas práticas funcionam bem em ambientes centralizados e fortemente distribuídos. Eles podem ajudá-lo a evitar violações de dados confidenciais extremamente dispendiosas e arriscadas que podem destruir a reputação da sua empresa, resultar em multas pesadas e até mesmo levar à falência – de acordo com o Relatório de Custo de uma Violação de Dados 2022 da IBM Security, o custo médio de uma violação de dados a violação nos EUA em 2022 foi de 4,35 milhões, o que é mais do que a maioria das empresas pode pagar.
Se você deseja evitar resultados desastrosos causados por criminosos cibernéticos e manter uma prevenção eficaz contra violações de dados, aqui estão nossos cinco conselhos sobre práticas recomendadas de segurança.
1. Crie uma política de segurança abrangente
A manutenção da segurança dos dados confidenciais deve sempre começar com a criação de uma política de segurança abrangente que cubra todas as bases. A segurança cibernética é um tema tão complexo hoje em dia que, se você não tiver uma estratégia bem planejada, é quase certo que perderá alguma coisa, e basta um pequeno erro para permitir que partes mal-intencionadas tenham acesso às suas informações valiosas. A seguir estão algumas das considerações mais importantes ao desenvolver sua política de segurança:
- Uma boa política de segurança requer o desenvolvimento de uma estratégia abrangente de gestão de riscos . Isto inclui identificar e avaliar potenciais ameaças e riscos à segurança, determinar a sua probabilidade e impacto potencial e implementar medidas de mitigação adequadas.
- Outro elemento estratégico crítico é o estabelecimento de uma estrutura de governação de segurança para supervisionar a implementação e aplicação da política de segurança. Isto inclui a definição de funções e responsabilidades, o desenvolvimento de políticas e procedimentos e a implementação de controlos para garantir que os riscos de segurança são geridos de forma eficaz.
- As coisas sempre podem dar errado, não importa quantas precauções sejam tomadas, e a mitigação rápida e eficaz das consequências do ataque pode fazer uma enorme diferença no resultado final do incidente. Como resultado, ter planos de resposta a incidentes bem concebidos – tanto tecnicamente como em termos de comunicações com clientes, parceiros de negócios e público em geral – é tão importante como a prevenção.
2. Conscientizar os funcionários sobre segurança
É fundamental educar e conscientizar os funcionários sobre os riscos de segurança, as melhores práticas e as políticas, a fim de manter seguras as informações confidenciais. Os funcionários podem tornar-se um elo fraco não intencional na segurança de uma organização, e a falta de consciência sobre os riscos de segurança pode resultar em violações de segurança. Quando se trata de educação em segurança para funcionários, considere os seguintes fatores:
- Explique potenciais riscos de segurança e execute exercícios para identificá-los. Isto inclui incentivar os utilizadores a aprenderem sobre tipos comuns de ataques cibernéticos e vulnerabilidades , bem como explicar as potenciais consequências das violações de segurança. Os funcionários podem tornar-se mais vigilantes e mais bem equipados para identificar ameaças potenciais caso surjam riscos de segurança, reduzindo o risco de ataques bem-sucedidos.
- Demonstre aos funcionários como manter a segurança cibernética no local de trabalho e fora dele, especialmente se sua força de trabalho estiver parcial ou totalmente remota. Isso inclui conselhos sobre senhas fortes , autenticação multifatorial, comunicação segura, navegação segura na web e proteção de dados. Os funcionários podem ajudar a prevenir violações de segurança e mitigar o impacto de ataques bem-sucedidos, recebendo instruções claras sobre como praticar bons hábitos de segurança.
- Estabeleça uma cultura de segurança. Isto inclui enfatizar que a segurança é responsabilidade de todos, desde o CEO até ao funcionário iniciante, e incentivar uma cultura aberta e transparente. É mais provável que os funcionários levem a segurança a sério e se tornem participantes ativos na sua manutenção se uma cultura de segurança for estabelecida dentro da organização. E a melhor maneira de promover tal cultura é os líderes darem um bom exemplo.
3. Mantenha controles de acesso rígidos
Antes de proteger eficazmente suas valiosas informações confidenciais, você deve primeiro definir o que são, onde estão e quem deve ter acesso a elas. Como as informações confidenciais podem vir em várias formas e tipos de dados que nem sempre são tão óbvios como números de cartão de crédito ou de segurança social, nem sempre é uma tarefa fácil, e ferramentas como software de prevenção contra perda de dados podem ser extremamente úteis. Aqui estão algumas dicas para definir informações protegidas e seus usos apropriados:
- Aderir ao princípio do menor privilégio (PoLP). PoLP é um conceito de segurança da informação que afirma que um usuário ou entidade só deve ter acesso aos dados, recursos e aplicativos necessários para concluir uma tarefa. Neste caso, garantir que o acesso aos dados só seja concedido a quem deles necessita absolutamente e conceda apenas o mínimo de acesso; por exemplo, se alguém não precisar modificar os dados, conceda-lhe apenas permissões de leitura. Este princípio não só impede o acesso não autorizado, mas também ajuda a controlar rigorosamente o acesso autorizado.
- Use software DLP que pode rastrear informações confidenciais baixadas de seus sistemas em nuvem para os computadores dos usuários e, por exemplo, excluí-las automaticamente após um determinado período de tempo. Embora essas informações possam exigir acesso temporário para fins de trabalho, quanto menos dados confidenciais saírem dos seus sistemas de armazenamento de informações bem protegidos, melhor.
- Acompanhe todos os acessos a dados confidenciais. O software de prevenção contra perda de dados, por exemplo, permite não apenas definir dados confidenciais, mas também registrar todas as tentativas de acesso. Defina e responda a alertas para qualquer atividade suspeita, como acesso fora do horário de trabalho ou múltiplas tentativas de acesso a diferentes informações confidenciais em um curto período de tempo. Essa também pode ser a chave para evitar ameaças internas.
4. Criptografe sempre que possível
Com as velocidades atuais dos processadores, não há desculpa para evitar a criptografia. A criptografia de informações costumava consumir muitos recursos e, portanto, era frequentemente evitada no passado, mas hoje você deve criptografar as informações sempre e onde for possível, especialmente ao lidar com dados confidenciais. Aqui estão algumas dicas relacionadas à criptografia:
- Embora a maioria das tecnologias da Internet, como o e-mail ou a Web, agora criptografem informações em trânsito, não tenha medo de ir além e implementar seu próprio esquema de criptografia. Duas camadas de criptografia não prejudicarão os dados ou recursos, e tal abordagem garante que, mesmo que a privacidade da tecnologia de trânsito seja comprometida como resultado de um ataque, seus dados permanecerão protegidos contra hackers mal-intencionados.
- Use medidas que impeçam o acesso desnecessário a dados não criptografados se seus usuários precisarem apenas de acesso temporário a informações não criptografadas, como verificar os dados pessoais de um cliente durante uma chamada. Por exemplo, evite que os sistemas operacionais dos PCs dos seus usuários permitam que eles copiem e colem PII em outro lugar, desde que isso não interfira no trabalho deles.
- Aplique a criptografia sempre que os dados precisarem sair da sua zona de influência. Nunca, por exemplo, permita que seus usuários copiem informações confidenciais não criptografadas para qualquer mídia externa, como discos rígidos externos ou dispositivos de armazenamento USB. Se tais atividades de cópia forem necessárias para seu trabalho, o software DLP permitirá que você aplique a criptografia sempre que tal operação for executada.
5. Cubra todas as bases
Embora um software profissional de prevenção contra perda de dados, como o Endpoint Protector, possa ajudá-lo a cobrir a maioria das bases, como identificação de dados, criptografia forçada, monitoramento de acesso e muito mais, você também deve prestar muita atenção aos outros sistemas envolvidos no armazenamento e processamento de suas valiosas PII. . Embora quase todas as pequenas empresas compreendam a importância de instalar software antivírus e de se protegerem contra malware e ransomware, as seguintes áreas frequentemente recebem atenção insuficiente ao desenvolver e implementar políticas de segurança de dados:
- A segurança de aplicações Web é frequentemente subvalorizada simplesmente porque muitos especialistas em segurança iniciaram suas carreiras antes da migração para a nuvem e ainda têm uma mentalidade de segurança de rede. Hoje, a importância das medidas de segurança, como monitores de rede e firewalls, é insignificante em comparação com a importância da segurança de aplicações web, simplesmente porque a maioria dos dados é armazenada em sistemas acessíveis de qualquer lugar através de interfaces web, e tais interfaces web são propensas a vulnerabilidades e configurações incorretas que permitem partes mal-intencionadas facilitam o acesso a dados confidenciais. As soluções de teste dinâmico de segurança de aplicativos devem ser priorizadas em seu pacote de segurança junto com a prevenção contra perda de dados.
- Apesar de seus melhores esforços, do melhor software DLP e das melhores configurações, o elo mais fraco em qualquer sistema de segurança são os humanos. Como resultado, os ataques de engenharia social, incluindo o phishing, continuam a ser a forma mais eficaz de os agentes mal-intencionados obterem acesso a informações confidenciais. Para evitar engenharia social, exija que quaisquer ações potencialmente perigosas, como o envio de PII por e-mail, sejam confirmadas por um gerente ou pela equipe de segurança. Nesses casos, é preferível lidar com falsos positivos em vez de arriscar uma trágica violação de dados causada por erro humano.
- Os funcionários que trabalham remotamente preferem cada vez mais usar seus dispositivos móveis para fins de trabalho, em vez de laptops, e esses celulares geralmente são seus próprios dispositivos, não fornecidos pela sua organização. Isso faz com que o pessoal de segurança enfrente desafios adicionais. Certifique-se de que suas políticas de segurança incluam soluções como perfis de trabalho em telefones celulares que possam ser rigorosamente controlados por suas equipes de TI. Ao usar perfis de trabalho, os dados confidenciais são armazenados em telefones celulares em contêineres seguros que só podem ser acessados por meio de aplicativos de trabalho pré-aprovados. Essa tecnologia também permite que suas equipes de TI controlem os tempos limite de logout e os requisitos de autenticação multifatorial, evitando, por exemplo, o roubo de informações confidenciais de um telefone roubado.
- Por último, mas não menos importante, os ambientes de TI atuais não estão mais totalmente sob seu controle. Fornecedores terceirizados lidam com a maioria dos serviços de TI. Soluções e componentes externos são muito utilizados na implementação de software. Uma infinidade de bibliotecas e snippets de código aberto são usados no desenvolvimento. E, embora todos eles prometam que estão protegidos contra ameaças cibernéticas, se estiverem errados, será você quem arcará com todas as consequências. Como resultado, certifique-se de prestar a mesma atenção à segurança da cadeia de suprimentos e à sua própria segurança.
