Com o número de violações de dados a aumentar de ano para ano, as organizações estão a abrandar o despertar para a consciência de que nenhuma empresa está imune a esta ameaça crescente.
46% de todas as empresas britânicas identificaram uma violação nos últimos 12 meses e a IDC prevê que, até 2020, mais de 1,5 mil milhões de pessoas, ou cerca de 1/4 da população mundial, serão afectadas por uma violação de dados.
Estas estatísticas são verdadeiramente assustadoras e realçam a escala do problema que as organizações em todo o mundo enfrentam actualmente.
É um mito que são apenas as grandes empresas multinacionais que estão a ser alvo, os cibercriminosos vão cada vez mais atrás de organizações de menor e médio porte, pois tendem a ter menos dinheiro e recursos para investir em segurança cibernética.
Isto deixa-as especialmente vulneráveis a ataques, e a investigação demonstrou que 60% destas organizações são incapazes de recuperar dos efeitos devastadores de uma violação de dados e serão forçadas a fechar em consequência disso.
Mesmo que uma empresa possa resistir à tempestade, a queda da quebra pode ter ramificações maciças que podem incluir uma queda no preço das acções, perda de clientes, penalizações financeiras e danos à reputação.
O fluxo constante de histórias de terror de violação de dados na imprensa fez com que os executivos seniores se sentassem e percebessem que, se quiserem reduzir as suas hipóteses de serem atacados, precisam de se tornar mais proactivos na sua abordagem à segurança de dados e olhar para as áreas do seu negócio que precisam de ser reforçadas e protegidas.
Como é que ocorre uma violação de dados?
Uma violação de dados, ou "data breach" em inglês, ocorre tipicamente quando um atacante não autorizado obtém acesso a uma base de dados segura que contém informações sensíveis, protegidas ou confidenciais.
Há uma série de razões pelas quais os hackers querem deitar as mãos a dados sensíveis, mas na maioria das vezes, tudo se resume a dinheiro. O cibercrime é um negócio lucrativo e os nossos dados podem ser utilizados para cometer fraude de identidade ou vendidos por uma bela quantia fixa na teia escura.
Uma violação de dados também pode ocorrer acidentalmente através da perda de um portátil, documentos perdidos ou envio de correio electrónico à pessoa errada, mas os ataques direccionados são geralmente realizados de uma das seguintes formas:
- Exploração das Vulnerabilidades do Sistema - Os Hackers farão frequentemente a sua investigação e efectuarão um reconhecimento completo de um negócio antes de lançarem um ataque. Eles irão sondar metodicamente uma rede para detectar quaisquer fraquezas na segurança e assim que localizarem uma área a explorar, irão lançar um ataque direccionado para se infiltrarem na rede.
- Engenharia Social - Em vez de utilizar ataques tradicionais de hacking, os criminosos cibernéticos aproveitam-se da nossa natureza humana confiante para nos enganar, levando-nos a quebrar as práticas normais de segurança. Estes tipos de ataques têm aumentado em frequência e estão a revelar-se uma forma muito bem sucedida de os hackers obterem acesso não autorizado a redes informáticas e a dados sensíveis.
Os métodos mais frequentemente utilizados incluem:
Phishing - Phishing continua a ser o ataque mais popular da engenharia social devido à sua elevada taxa de sucesso. 72% das violações de dados estão relacionadas com funcionários que recebem e-mails de phishing e os atacantes tipicamente fazem-se passar por uma empresa legítima para enganar um funcionário na divulgação de informação sensível.
Malware, vírus e spyware-Malware, vírus e spyware são responsáveis por 33% de todas as violações de dados. São instalados num computador quando um utilizador clica num link, descarrega um anexo malicioso ou abre um programa de software desonesto. Uma vez instalado, os atacantes podem utilizar o malware para espionar actividades online, roubar informações pessoais e financeiras, ou o dispositivo pode ser utilizado para invadir outros sistemas.
Senhas - Senhas fracas e inseguras proporcionam uma forma fácil para os hackers obterem acesso a uma rede. Os hackers sofisticados utilizarão frequentemente software especializado que lhes permite testar milhares de combinações possíveis de nome de utilizador e palavra-passe.
Como posso proteger o meu negócio de uma quebra de dados?
As organizações precisam de desenvolver uma estratégia de segurança sólida e abrangente que proteja os dados sensíveis, reduza as ameaças e assegure que a reputação de uma organização permanece intacta.
Para reduzir a possibilidade de ocorrência de uma violação de dados, há uma série de medidas que as organizações devem tomar:
- Update Security Software - O software de segurança deve ser actualizado regularmente para evitar que os hackers obtenham acesso às redes através de vulnerabilidades em sistemas mais antigos e desactualizados. Foi exactamente assim que os hackers conseguiram aceder aos dados de mais de 143 milhões de americanos na infame Violação de Dados Equifax em 2017. Uma correcção para esta vulnerabilidade foi disponibilizada dois meses antes da violação, mas a empresa não conseguiu actualizar o seu software.
- Auditorias regulares e avaliações de risco - A GDPR especifica que as organizações devem realizar auditorias regulares das actividades de processamento de dados e cumprir um conjunto de princípios de protecção de dados que ajudarão a salvaguardar os dados. Isto assegurará a existência de um quadro adequado que manterá as informações pessoais identificáveis dos clientes seguras e mitigará quaisquer riscos. A implementação de um sistema eficaz de gestão de políticas permitirá às organizações demonstrar o cumprimento dos requisitos legislativos e visar eficazmente as áreas que apresentam o maior risco para a segurança dos dados.
- Usar Senhas Fortes - Uma das formas mais fáceis para os hackers terem acesso aos sistemas sensíveis da empresa é adivinhar as senhas. 60% das pessoas utilizam o mesmo nome de utilizador e palavra-passe para todas as suas contas, por isso, se os hackers conseguirem ter acesso a uma conta, têm o direito de entrar livremente em todas elas. Uma palavra-passe forte deve ter entre 8-15 caracteres, uma mistura de letras maiúsculas e minúsculas e incluir números ou símbolos. Para maior segurança, pode ser criada uma palavra-passe composta por uma frase ou combinação de palavras. A primeira letra de cada palavra constituirá a base da palavra-chave e as letras podem ser substituídas por números e símbolos para acrescentar uma outra linha de defesa.
- Formação de pessoal - A segurança eficaz não é apenas uma questão de tecnologia. 88% de todas as violações de dados podem ser atribuídas a erros humanos, pelo que é vital que as organizações invistam em formação de sensibilização para a segurança de alta qualidade que permita ao pessoal reconhecer o importante papel que desempenham na salvaguarda de dados sensíveis da empresa. O pessoal é central para a capacidade de uma organização de operar em segurança, pelo que é vital que os funcionários tenham toda a informação e conhecimentos necessários para apoiar a segurança da rede e dos sistemas de informação de uma empresa.
Para mais conselhos e orientações sobre como melhorar a segurança na sua organização, junte-se a nós no nosso webinar a 17 de Outubro às 15h00, sobre 'Um Pesadelo na Rua Breach - Poderá a falta de educação do pessoal levar a um pesadelo de segurança da informação'. Registe-se aqui: go.metacompliance.com/halloween18