Uma violação de dados ocorre normalmente quando um atacante não autorizado obtém acesso a uma base de dados segura que contém informações sensíveis, protegidas ou confidenciais.

Há uma série de razões pelas quais os piratas informáticos querem deitar a mão a dados sensíveis, mas, na maior parte das vezes, tudo se resume a dinheiro. O cibercrime é um negócio lucrativo e os nossos dados podem ser utilizados para cometer fraudes de identidade ou vendidos por uma boa quantia na dark web.

Uma violação de dados também pode ocorrer acidentalmente através da perda de um computador portátil, de documentos perdidos ou do envio de um e-mail à pessoa errada, mas os ataques direcionados são normalmente realizados de uma das seguintes formas:

  • Explorar as vulnerabilidades do sistema – Os piratas informáticos fazem frequentemente a sua pesquisa e efectuam um reconhecimento completo de uma empresa antes de lançarem um ataque. Analisa metodicamente uma rede em busca de pontos fracos na segurança e, assim que localiza uma área a explorar, lança um ataque direcionado para se infiltrar na rede.
  • Engenharia social – Em vez de utilizarem os tradicionais ataques de pirataria informática, os cibercriminosos aproveitam-se da nossa natureza humana confiante para nos enganarem e quebrarem as práticas normais de segurança. Estes tipos de ataques têm aumentado em frequência e estão a revelar-se uma forma muito bem sucedida de os hackers obterem acesso não autorizado a redes informáticas e a dados sensíveis.

Os métodos mais frequentemente utilizados incluem:

Phishing – O phishing continua a ser o ataque de engenharia social mais popular devido à sua elevada taxa de sucesso. 72% das violações de dados estão relacionadas com o facto de os empregados receberem e-mails de phishing e, normalmente, os atacantes fazem-se passar por uma empresa legítima para enganar um empregado e levá-lo a divulgar informações sensíveis.

Malware, vírus e spyware –O malware, os vírus e o spyware são responsáveis por 33% de todas as violações de dados. São instalados num computador quando um utilizador clica numa hiperligação, descarrega um anexo malicioso ou abre um programa de software não autorizado. Uma vez instalado, os atacantes podem utilizar o malware para espiar as actividades em linha, roubar informações pessoais e financeiras ou o dispositivo pode ser utilizado para entrar noutros sistemas.

Palavras-passeAs palavras-passe fracas e inseguras são uma forma fácil de os piratas informáticos acederem a uma rede. Os piratas informáticos sofisticados utilizam mesmo software especializado que lhes permite testar milhares de combinações possíveis de nome de utilizador e palavra-passe.

Prevenir uma violação de dados

As organizações precisam de desenvolver uma estratégia de segurança robusta e abrangente que proteja os dados sensíveis, reduza as ameaças e garanta que a reputação de uma organização se mantém intacta.

Para reduzir a probabilidade de ocorrência de uma violação de dados, há uma série de medidas que as organizações devem tomar:

  • Actualiza o software de segurança – O software de segurança deve ser atualizado regularmente para evitar que os hackers tenham acesso às redes através de vulnerabilidades em sistemas mais antigos e desactualizados. Foi exatamente assim que os hackers conseguiram aceder aos dados de mais de 143 milhões de americanos na infame violação de dados da Equifax em 2017. Uma correção para esta vulnerabilidade foi disponibilizada dois meses antes da violação, mas a empresa não actualizou o seu software.
  • Auditorias regulares e avaliações de risco – O GDPR especifica que as organizações devem realizar auditorias regulares das actividades de processamento de dados e cumprir um conjunto de princípios de proteção de dados que ajudarão a salvaguardar os dados. Isto garantirá a existência de um quadro adequado que manterá seguras as informações pessoais identificáveis dos clientes e mitigará quaisquer riscos. A implementação de um sistema eficaz de gestão de políticas permitirá que as organizações demonstrem a conformidade com os requisitos legislativos e visem efetivamente as áreas que apresentam o maior risco para a segurança dos dados.
  • Utiliza palavras-passe fortes – Uma das formas mais fáceis de os hackers acederem aos sistemas sensíveis da empresa é adivinharem as palavras-passe. 70% das pessoas utilizam o mesmo nome de utilizador e a mesma palavra-passe para todas as suas contas, pelo que, se os piratas informáticos conseguirem aceder a uma conta, têm carta branca para entrar em todas. Uma palavra-passe forte deve ter entre 8 e 15 caracteres, uma mistura de letras maiúsculas e minúsculas e incluir números ou símbolos. Para maior segurança, podes criar uma frase-passe, que é uma palavra-passe composta por uma frase ou combinação de palavras. A primeira letra de cada palavra constituirá a base da tua palavra-passe e as letras podem ser substituídas por números e símbolos para acrescentar uma linha de defesa adicional.
  • Formação do pessoal – Uma segurança eficaz não tem apenas a ver com tecnologia. 88% de todas as violações de dados podem ser atribuídas a erro humano, pelo que é vital que as organizações invistam em formação de sensibilização para a segurança de alta qualidade que permita ao pessoal reconhecer o importante papel que desempenha na proteção dos dados sensíveis da empresa. O pessoal é fundamental para a capacidade de uma organização funcionar de forma segura e protegida, pelo que é vital que os funcionários tenham toda a informação e conhecimentos necessários para apoiar a segurança da rede e dos sistemas de informação de uma empresa.