Sem dúvida, a resposta a essa indagação seria: informação. Listas de clientes, informações de produtos, dados de mercado, preço, custo, promoções ou descontos, dados pessoais de clientes, funcionários ou parceiros, emails, contratos, prontuários médicos e a lista poderia seguir indefinidamente. Mas, e se essas informações, por algum motivo, não estiverem mais sob controle de sua empresa?
Estudos publicados por diversas organizações e institutos de pesquisa mostram que a perda de dados é mais comum do que parece: centenas de milhões de registros são comprometidos a cada ano, no mundo inteiro. Milhares de incidentes acontecem diariamente, no entanto apenas alguns se tornam públicos, como o recente episódio que expôs os dados de 12 milhões de estudantes do Enem.
O mais completo estudo desse tipo de incidente foi conduzido pela Digital Forensics Association (DFA) e computou mais de 2.800 incidentes ao longo de cinco anos, envolvendo o vazamento ou roubo de mais de 720 milhões de registros em 28 países. Para se ter uma ideia da dimensão do problema, o episódio recente do Enem representaria menos de 2% dessa fatia.
De acordo com a mesma pesquisa, 49% de todos os casos estudados foram ocasionados pela perda de computadores portáteis e em 95% desses casos o notebook foi roubado. A contar pelo número de registros, o vetor que mais influenciou foi o dos “hacks”, compostos por acesso e uso indevido, roubo de credenciais, malware, SQL Injection, com 327 milhões de registros afetados. O segundo maior vetor de perda de dados, porém, foi a categoria Drive/Mídia (discos e pen drives) com quase 150 milhões de registros violados. Observa-se que essa categoria vem ampliando seu grau de vulnerabilidade em decorrência da onipresença dos dispositivos USB, apesar de ser tão facilmente mitigado com a utilização da criptografia.
Os vazamentos não detectados podem ser particularmente perigosos. Não se pode remediar uma situação desconhecida e, talvez, quando o episódio se torne conhecido seja tarde demais. Por isso, políticas de segurança e controles devem ser cada vez mais reforçados. Outro dado preocupante é que, no Brasil, ainda não há legislação que torne obrigatória a divulgação pública por empresas que sofram esse tipo de violação, e que as mesmas notifiquem as partes afetadas, como determina a legislação em 46 dos 50 estados norte americanos. Porém, mesmo nos Estados Unidos, não existe um órgão que centralize essa regulamentação e as leis variam muito de estado para estado.
Nesse contexto, o vazamento ou a violação de dados corporativos é uma grave ameaça ao maior patrimônio das empresas, podendo causar danos irreparáveis. E tudo isso pode custar caro. Segundo estudo do Instituto Ponemon, nos Estados Unidos, o custo médio das empresas pesquisadas com a perda ou roubo de informações foi de US$ 6,75 milhões, gerando uma perda de receita/negócios associada de US$ 4,5 milhões. O maior prejuízo identificado custou US$ 31 milhões para ser remediado. E seus dados? Estão protegidos?
Rodrigo Moura Fernandes (Country manager da AlertBoot no Brasil. Especialista em segurança da informação. Possui 15 anos de experiência nesta área, atuando em diversas funções executivas em grandes empresas nas áreas de tecnologia da informação e gestão de risco)
HSM Online
Nenhum comentário:
Postar um comentário