Os negócios de hoje funcionam com base em dados. Eles os coletam dos clientes em cada interação e os usam para melhorar a eficiência, aumentar sua agilidade e fornecer níveis mais altos de serviço. Mas é óbvio que todos os dados coletados pelas empresas também as tornaram um alvo atraente para os cibercriminosos.
Nos últimos meses, testemunhamos violações e vazamentos massivas de dados de diversas empresas – muitas delas grandes e renomadas. Nos últimos anos, o número de vazamento de dados em todo o mundo foi em média perto de três por dia.
Essa estatística sugere que a empresa média tem um alvo nas costas e está ficando sem tempo para montar uma defesa de seus dados. E fazer isso não precisa ser difícil. Para ajudar, aqui está uma estrutura simples de 5 passos que empresas de todos os tamanhos podem usar para proteger os dados de seus clientes.
Passo 1: revisar e adaptar os padrões de coleta de dados
A primeira etapa que as empresas precisam dar para aumentar a segurança dos dados de seus clientes é revisar quais tipos de dados estão coletando e por quê. A maioria das empresas que realizam esse exercício acaba se surpreendendo com o que encontram. Isso ocorre porque, com o tempo, o volume e a variedade de informações do cliente coletadas para se expandir muito além da intenção original da empresa.
Por exemplo, é bastante comum coletar coisas como o nome e o endereço de e-mail de um cliente. E se isso é tudo que uma empresa tem em arquivo, eles não serão um alvo atraente para um invasor. Mas se a empresa tem um call center em nuvem ou qualquer tipo de ciclo de vendas ou suporte ao cliente de alto contato, provavelmente coleta endereços residenciais, dados financeiros e informações demográficas, eles então montaram uma coleção perfeita para permitir o roubo de identidade se os dados forem para a selva.
Portanto, ao avaliar cada ponto de dados coletados para determinar seu valor, as empresas devem se perguntar: que função crítica de negócios esses dados facilitam. Se a resposta for nenhuma, eles devem limpar os dados e parar de coletá-los. Se houver uma resposta válida, mas de uma função que não é crítica, a empresa deve pesar os benefícios que os dados criam em relação aos possíveis danos que sofreriam se fossem expostos em uma violação.
Passo 2: minimizar o acesso aos dados
Depois de reduzir a quantidade de dados a serem protegidos, a próxima etapa é reduzir a superfície de ataque dos dados, minimizando quem tem acesso a eles. Os controles de acesso desempenham um papel enorme na proteção de dados porque o roubo de credenciais do usuário é a principal forma de os agentes mal-intencionados entrarem nos sistemas protegidos. Por esse motivo, as empresas precisam aplicar o princípio do menor privilégio (PoLP) aos repositórios de dados e aos sistemas que se conectam a eles.
E minimizar o acesso aos dados tem outro efeito colateral benéfico: ajuda a evitar que ameaças internas causem uma violação de dados. A empresa de pesquisas Forrester previu que ameaças internas levariam a 31% das violações neste ano – um número que só aumentará a partir daí. Portanto, ao manter os dados confidenciais dos clientes longe das mãos da maioria dos funcionários, as empresas estão lidando com as ameaças internas e externas ao mesmo tempo.
Passo 3: elimine as senhas sempre que possível
Mesmo depois de reduzir o número de pessoas que têm acesso aos dados do cliente, ainda há outra maneira de as empresas tornarem mais difícil para os hackers obterem acesso a eles. E isso para eliminar as senhas como método de autenticação principal, sempre que possível. E uma pequena mudança que pode fazer muita diferença.
De acordo com o 2021 Data Breach Investigations Report da Verizon, 61% de todas as violações de dados no ano passado envolveram o uso de credenciais, roubadas ou não. Portanto, segue-se logicamente que quanto menos credenciais houver com que se preocupar, melhor. E existem algumas maneiras de reduzir a dependência de sistemas convencionais de autenticação de senha.
Um é o uso da autenticação de dois fatores. Isso significa que as contas exigem uma senha e um token de segurança com limite de tempo, normalmente entregue via aplicativo ou SMS. Mas uma abordagem ainda melhor é o uso de chaves de segurança de hardware. Eles são dispositivos físicos que dependem de credenciais criptográficas inquebráveis para controlar o acesso aos dados. Com eles em uso, as ameaças de phishing e outros ataques de engenharia social são bastante reduzidas.
Passo 4: criptografar dados em repouso e em movimento
Embora seja verdade que as credenciais comprometidas são de longe a maior ameaça para causar uma violação de dados, elas não são a única ameaça. Sempre é possível para um invasor explorar uma falha de software ou outra brecha de segurança para contornar os métodos normais de controle de acesso e obter acesso aos dados do cliente. Pior de tudo, esses ataques são difíceis de detectar e ainda mais difíceis de interromper uma vez em andamento.
É por isso que a etapa quatro em qualquer plano de proteção de dados competente é garantir que todos os dados do cliente permaneçam criptografados o tempo todo. Isso significa usar um software que emprega criptografia forte à medida que os dados passam por ele, hardware de rede e componentes que usam criptografia e um sistema de armazenamento de dados que permite a criptografia de dados em repouso. Isso minimiza o acesso aos dados que um invasor pode obter sem credenciais e pode ajudar a conter o dano se ocorrer uma violação.
Passo 5: desenvolver um plano de resposta à violação de dados
Não importa como você olhe para isso, não existe segurança cibernética perfeita. Os invasores estão sempre trabalhando duro em busca de pontos fracos para explorar. As empresas que se preparem bem eliminarão ou minimizarão muitos deles. Mas isso não significa que uma violação de dados se tornará impossível.
É por isso que a etapa final na estrutura de proteção de dados do cliente é desenvolver um plano de resposta à violação de dados. Deve fornecer à empresa um roteiro para ajudá-la a responder caso um invasor obtenha acesso aos dados do cliente. O plano não deve poupar detalhes – explicando tudo, desde como as equipes internas de TI devem reagir, quem são os consultores de segurança terceirizados e como os clientes devem ser notificados sobre a violação.
E essa última parte é possivelmente a mais importante. Na sequência de uma violação de dados, como uma empresa faz para tornar seus clientes inteiros pode determinar quão bem ela se recuperará, se é que vai se recuperar
Conclusão
O simples fato é que as empresas que ainda não sofreram uma violação de dados estão operando com tempo emprestado. E as probabilidades estão muito contra eles. Mas a aplicação da estrutura detalhada aqui irá percorrer um longo caminho para mudar as chances de volta a seu favor. Isso minimizará o risco de violação de dados, limitará os danos, caso ocorra, e ajudará a empresa a lidar com as consequências. No mundo imperfeito que é o mundo da cibersegurança, não há muito mais que qualquer empresa possa pedir.
CLIQUE AQUI E CONHEÇA NOSSAS SOLUÇÕES DE CYBERSEGURANÇA »
Deixe um comentário