A proteção de dados é um tema que temos discutido cada vez mais, seja aqui em nosso blog ou em outros veículos. Conforme passamos pela transição para uma economia cada vez mais movida e dependente dos dados, mais importante se torna para as empresas proteger as informações que possuem, e, ao mesmo tempo, mais essas informações se tornam alvos de atores maliciosos. Não é à toa que estamos vivenciando uma onda crescente de ataques, e que esses ataques são cada vez mais divulgados pela mídia.

Desde o começo do ano, com o vazamento dos dados de 223 milhões de brasileiros, temos visto cada vez mais vazamentos acontecerem. E esses são apenas os casos que foram descobertos, e que foram relevantes o suficiente para serem amplamente noticiados. Na União Europeia, nos seis meses após a entrada em vigor da GDPR, foram reportados mais de 59.000 casos de vazamentos, o que nos dá um indício do tamanho do problema.

Os ataques aos dados são inevitáveis. Quanto mais valor a informação tem, maior a sua atratividade para os criminosos, e maior a chance desses criminosos agirem para obter, de forma indevida, os dados. Esconder a cabeça na areia e assumir que a sua empresa não vai sofrer com esse tipo de ataque é uma ilusão da qual os gestores e líderes não podem sofrer. Melhorar a segurança das informações, e estar pronto para agir caso um vazamento ocorra, é a única forma de ter tranquilidade nessa nova realidade. Hoje, vamos explorar um pouco como empresas, independente de seu tamanho ou complexidade, podem agir nessas duas frentes.

 

Prevenir é melhor do que remediar

Assim como acontece com a nossa saúde pessoal, e em dezenas de outras situações, a prevenção é sempre melhor, mais fácil e menos custosa do que o tratamento de um problema que já aconteceu. Por isso, uma primeira mudança necessária no pensamento da liderança das empresas é enxergar essa prevenção – os gastos com tecnologias e processos relacionados com a segurança da informação – como um investimento e uma redução de custos futuros, e não simplesmente como uma despesa.

Já compartilhamos em outros posts dicas de como manter os dados seguros, e é relativamente fácil encontrar na internet outros conteúdos que indiquem o “como” desse processo. Vale lembrar que a maioria das ferramentas, técnicas e processos que podem ser adotados não são mutuamente excludentes, mas sim complementares: cada um cobre um aspecto de segurança, e quanto mais deles você utilizar, mais protegido vai estar.

E não é apenas para a tranquilidade dos líderes da empresa que medidas de segurança de dados devem ser adotadas. Tanto a LGPD no Brasil quanto outras legislações de proteção de dados internacionais, como a GDPR na União Europeia, tem artigos específicos obrigando as empresas a despenderem os melhores esforços e as últimas tecnologias para protegerem seus dados, sob a pena de multas e sanções. A prevenção de incidentes de segurança, portanto, é uma obrigação legal de todas as empresas.

Em alguns casos, no entanto, mesmo os melhores processos e tecnologias não vão ser capazes de evitar os vazamentos de dados. Muitas vezes, esses vazamentos se originam nas ações de funcionários, agindo de forma maliciosa ou sem atenção, e mesmo os melhores e mais modernos sistemas de segurança existentes hoje não vão conseguir impedir a ação de um indivíduo. Portanto, além de se prevenir, as empresas precisam também se preparar para agir sobre os incidentes. E essa ação começa com descobrir os problemas o mais rápido possível.

 

Descobrindo um vazamento

Uma das grandes dificuldades que as empresas enfrentam com os vazamentos de dados é que os crimes cibernéticos são, em sua grande maioria, ações escondidas. Quando estamos no mundo real, um roubo é algo facilmente identificável. Bens físicos, tangíveis (dinheiro, equipamentos, mercadorias, ou qualquer outra coisa), são levados pelos criminosos ou danificados, e fica muito evidente para todos os envolvidos que tem algo de errado. No mundo digital, não é tão simples. Nele, os criminosos geralmente atuam de forma escondida, com o objetivo de subtrair as informações de forma indetectável. Na maioria dos casos, as empresas descobrem que sofreram um vazamento de dados apenas quando vêem as suas informações sendo comercializadas em fóruns online.

Dada essa dificuldade, existem algumas ferramentas e processos que as empresas devem adotar, além das medidas de segurança e proteção, que permitam uma detecção mais rápida de um incidente envolvendo os seus dados. O primeiro processo, que pode ser adotado por qualquer tipo de empresa e que não requer um nível de conhecimento técnico profundo, é um que até já comentamos antes aqui no blog: a utilização de sementes no banco de dados.

Sementes são registros falsos ou manipulados, que são escondidos no meio de uma base de dados formando uma identificação única, quase que uma impressão digital, da mesma. Imagine, por exemplo, a sua base de clientes. Você pode inserir nessa base algumas pessoas (ou empresas) que não são de fato clientes seus, com dados específicos que você inventou para elas. Ou então, você pode alterar alguma informação (como o campo de endereço, ou o campo de telefone) em alguns registros, distorcendo o valor de uma forma que só você conhece.

O objetivo principal das sementes não é de impedir um vazamento, mas de permitir que você identifique a origem do vazamento. Se uma base de dados que está sendo comercializada no mercado negro contém as sementes que você criou, você pode ter certeza de que ela vazou da sua empresa. Se não contém, a origem provavelmente é outra. O interessante desse mecanismo é que ele não requer nenhum tipo de tecnologia ou ferramenta especial, e, quando bem aplicado, é praticamente impossível de ser detectado por criminosos.

O mecanismo das sementes, no entanto, é reativo. Ele não permite que as empresas proativamente identifiquem o acontecimento de um vazamento, ou a publicação dos seus dados, possibilitando apenas a comprovação da origem de onde os dados saíram. Aliado a ele, é importante que sejam utilizadas ferramentas que monitoram os sites, fóruns e marketplaces nos quais as informações obtidas ilegalmente são comercializadas. Aqui mesmo na BigDataCorp oferecemos esse serviço, e ele pode fazer a diferença entre uma resposta rápida a um incidente, minimizando o risco jurídico da empresa, e um problema gigantesco de reputação.

 

Gerenciamento de crise

Todo vazamento de dados é, em um nível mais alto, uma crise que precisa ser endereçada e gerenciada pela empresa que foi vítima dele. Tratar um vazamento, portanto, é o mesmo que tratar qualquer outro tipo de crise, envolvendo a comunicação com a mídia, com a sociedade e com as pessoas afetadas, a investigação e apuração dos fatos, e a construção de planos de ação para evitar que os mesmos problemas voltem a se repetir no futuro.

A principal dica que podemos dar é que todos os líderes de empresa deveriam estar preocupados com os vazamentos, e definir planos e procedimentos a serem adotados uma vez que um vazamento ou violação de dados seja identificada. As empresas que mais sofreram com vazamentos não foram as que tiveram a maior quantidade de informações vazadas, mas sim aquelas que não apresentaram a melhor reação à situação. Do mesmo jeito que você compra um seguro para ter tranquilidade, mas torcendo para nunca utilizá-lo, as empresas devem se preparar para a ocorrência de um vazamento de dados, mesmo que se esforcem o máximo para nunca precisar desses planos.

BigDataCorp