Confira artigo de Paulo Perrotti, CEO da ESG Solution e colunista da AAA Inovação, sobre a importância da segurança digital para conter o vazemento de dados no Brasil que enfrenta diversos problemas relacionados ao tema.
Panorama sobre o vazementos de dados no Brasil e no mundo
O último relatório divulgado sobre Atividade Criminosa Online no Brasil desenvolvido pela Axur, empresa especializada em proteção contra riscos digitais, revelou que o Brasil foi campeão mundial em vazamento de dados pelo segundo ano consecutivo, com 2,8 bilhões de dados sensíveis expostos.
Segundo o mesmo estudo, entre o segundo semestre de 2021 e março de 2022, o levantamento identificou 480 mil credenciais com características e indícios de acesso privilegiado, especialmente em ambientes virtuais. Do total de vazamentos identificados, 43 milhões são de domínios corporativos e 227 mil são de domínios do governo. A maioria das credenciais (91,8% delas) estava na Deep & Dark Web.
Ademais, ataques cibernéticos também trazem grandes prejuízos. Além de interromper os processos diários das organizações e potencialmente causar uma interrupção nos negócios, um ataque cibernético traz grande impacto financeiro, exigindo muitas vezes resgates que podem chegar a milhões de dólares, como foi o caso da JBS em junho do ano passado, que pagou US$ 11 milhões após sofrer um ataque de ransomware que interrompeu a produção de carne na América do Norte e na Austrália.
Como prevenir o vazamento de dados?
É necessário nivelar e aumentar a governança e a maturidade de segurança da informação na empresa, desenvolvendo-se um Plano de Conscientização em Segurança da Informação e Privacidade de Dados que tenha como objetivo assegurar a conscientização dos empregados, colaboradores, prestadores de serviço e fornecedores em relação a responsabilidades e atitudes no sentido de preservar a Segurança da Informação no âmbito da organização.
1) Conscientização
A ação de sensibilização dos colaboradores ao tema da Segurança da Informação é iniciativa fundamental para torná-los cientes das suas responsabilidades e conhecedores das práticas e métodos aplicáveis à proteção da informação, bem como um bom Plano de Conscientização em Segurança da Informação e Privacidade de Dados está aderente às melhores práticas do ESG (Envirment, Social & Governance ou, em uma tradução livre, Governança Ambiental, Social e Corporativa).
É importante que os conceitos e a relevância da Segurança da Informação passem a fazer parte da cultura empresarial da organização. Toda campanha deve estar alinhada com as políticas e os procedimentos relevantes para a proteção da disponibilidade, da integridade e, quando for o caso, da confidencialidade dos ativos de informação.
Deve-se divulgar a importância da informação para a instituição, o comprometimento da direção com a preservação da Segurança da Informação, as responsabilidades estabelecidas na Política de Segurança da Informação para as unidades administrativas e para os usuários, além dos procedimentos e controles a serem adotados com vistas à proteção da informação.
2) Aprendizado contínuo
Deve-se ainda levar em conta os diferentes papéis desempenhados pelos colaboradores na instituição, bem como prever que as ações de conscientização sejam revistas regularmente, de forma a atingir novos colaboradores que passem a integrar os quadros da instituição. É recomendável que a campanha contemple sensibilização específica para os colaboradores que venham a ocupar novas posições na instituição, preferencialmente antes de assumirem as novas atribuições.
A própria campanha deve ser atualizada regularmente, de modo a permanecer alinhada com as políticas e os procedimentos da instituição e incorporar lições aprendidas a partir de incidentes de Segurança da Informação reais vividos pela instituição, que deverão ser coordenados e orientados por um Comitê de Segurança da Informação, cuja composição deverá contar com a participação de pelo menos 1 representante de cada departamento da corporação. Afinal, segurança da informação não deve ficar restrita a um departamento, mas deve ter capilaridade em todas as áreas, a fim de que haja a real compreensão da importância do assunto.
3) Ações estratégicas
Assim sendo, uma campanha, para ser efetiva, requer o emprego de diferentes formas de comunicação e informação, como ciclos de palestras, cartazes, folhetos, notas informativas, boletins periódicos, provas, certificações, cujos conteúdos podem ser on-line ou presenciais. As campanhas, que deverão atender a uma estratégia, sendo planejadas, deliberadas, realizadas e executadas pela Comissão de Segurança, presidida pelo Encarregado de Dados da corporação.
Mais da metade dos incidentes de segurança relatados pelas empresas foram provocados por atividades maliciosas ou, principalmente, negligentes, de seus colaboradores. Alguns estudos chegam a indicar que a negligência é responsável por até 80% dos incidentes de segurança. Assim sendo, o objetivo final é que os colaboradores sejam conscientes da importância de se preservar a Segurança da Informação e a Privacidade de Dados em seus processos de trabalho e treinados em como mantê-la, a fim de que haja uma redução na ocorrência de incidentes de Segurança da Informação.
Afinal, segurança não é um direito ou um benefício, que pode ser renunciado. É obrigação de todos.
Quer a AAA Inovação ajudando sua empresa a crescer?
Alguém consegue divulgar a data de publicação deste artigo por favor.