Dados. É um dos ativos mais críticos e valiosos de qualquer organização. É de admirar, então, que os cibercriminosos em todo o mundo vão atrás disso? Seu trabalho como proprietário de uma empresa é implementar um programa de segurança que proteja e proteja seus dados. E, no entanto, pode ser extremamente difícil, como mostram algumas das violações mais recentes.
A moral dessas – e de outras histórias de hackers estressantes – não é apontar dedos, mas mostrar a importância de proteção de dados.
Por exemplo, o anúncio de abril de 2022 da violação do aplicativo Block-Cash pode ter exposto mais de oito milhões de dados de clientes. Apenas no mês anterior, a Microsoft sofreu um incidente de hacking, embora a empresa tenha declarado que não afetou os dados do cliente. E no início do ano, quase 500 usuários do Crypto.com tiveram mais de US$ 30 milhões roubados coletivamente após uma violação grave.
Se as ameaças de segurança cibernética podem derrubar corporações reconhecidas globalmente, elas podem afetar
qualquer organização. Além disso, o que acontece quando você não tem os recursos de gerenciamento de crises ou a credibilidade de longa data de uma empresa herdada? Sua marca pode não sobreviver à má imprensa ou às consequências do cliente.
Colocando medidas de segurança de dados mais fortes
Se você estiver preocupado sobre violações de dados, hackers e ladrões cibernéticos, vá para o topo da classe. Você está sendo um fundador sábio e voltado para o futuro.
No entanto, você pode precisar de uma ajudinha para descobrir como estabelecer barreiras de proteção entre seus dados e criminosos digitais. Experimente algumas dessas estratégias para tornar sua empresa um alvo menos atraente.
1. Entenda a linha de base do seu setor para qualquer programa de segurança de dados.
Dependendo do setor em que você atua, você pode ser legalmente obrigado a proteger muitos tipos diferentes de dados. Isso pode incluir qualquer coisa, desde registros financeiros e informações de funcionários a segredos comerciais.
Você também pode ser obrigado a se submeter a auditorias de conformidade de rotina, como acontece com empresas do setor financeiro.
As chances são grandes de que você provavelmente saiba o que é esperado em termos de segurança de dados. Ainda assim, nunca é demais pensar em todos os dados que você mantém à mão e como eles são usados. Os regulamentos mudam o tempo todo e você não quer ser pego de surpresa – ou descobrir que sua ignorância levou a uma violação.
2. Avalie os níveis de risco de seus fornecedores terceirizados.
De acordo com um estudo de inteligência de negócios da CyberRisk Alliance, nove em cada 10 violações de dados em 2021 foram vinculadas a fornecedores terceirizados. Em outras palavras, todos os fornecedores que você usa podem se tornar vias de “porta dos fundos” para hackers. Embora trabalhar com qualquer fornecedor terceirizado tenha seus riscos, existem medidas que você pode tomar, como usar software para rastrear e avaliar o nível de risco. Por exemplo, plataformas de gerenciamento de risco integradas como Ostendio MyVCM permitem avaliar o risco de terceiros e garantir que aqueles que têm acesso aos dados os estejam protegendo adequadamente.
Mesmo que um fornecedor diga que é seguro e seguro, você não pode aceitar tudo pelo valor nominal. Realizar a devida diligência com a ajuda de sistemas inteligentes de gerenciamento de risco lhe dará tranquilidade. Além disso, você terá uma trilha de auditoria documentada para mostrar posteriormente, se necessário.
3. Procure lacunas de trabalho remoto em seu programa de segurança de dados.
No final de 2021, um relatório do The New York Times mostrou que 86% dos teletrabalhadores não queriam retornar ao escritório. Eles ficaram felizes em trabalhar remotamente.
Embora isso seja bom e bom por muitas razões, ter uma equipe de teletrabalhadores pode ser arriscado para o seu negócio. Sem as proteções apropriadas, seus funcionários remotos podem estar tornando seus dados corporativos acessíveis demais.
Você não precisa trazer todos de volta para a sede. Apenas certifique-se de que eles possam usar uma rede privada virtual (VPN) corporativa. A última coisa que você quer é que alguém se conecte ao Wi-Fi público em uma cafeteria próxima.
Além disso, os funcionários remotos devem ter dispositivos para usar apenas no trabalho. Por exemplo, usar uma ferramenta de gerenciamento de senhas como o 1Password pode ajudá-lo a criar logins mais fortes e gerenciar o acesso de funcionários a ferramentas de terceiros. Insista também na autorização de dois fatores para todos os logins.
E quando alguém sair da organização, remova imediatamente todos os seus pontos de acesso aos seus sistemas.
4. Conduza auditorias de segurança interna de rotina.
Mesmo que você não trabalhe em um campo onde tenha que passar por auditorias de segurança, você ainda pode conduzi-las.
A cada trimestre, reúna informações de seus chefes de departamento. Pergunte sobre as alterações das quais você pode não estar ciente e que podem afetar o risco de seus dados. Essas mudanças podem envolver qualquer coisa, desde novos fornecedores até uma adição de pilha de tecnologia.
Depois de identificar todas as mudanças que ocorreram, você pode determinar se elas estão colocando seus dados em risco. Trabalhe em conjunto com seu líder de TI ou CTO, se você tiver um.
Se sua empresa for muito pequena ou uma startup, considere trabalhar com um consultor técnico algumas vezes por ano. As violações podem ser eventos dispendiosos e você não pode pagar nem mesmo um pequeno.
Quão caro? De acordo com os números da IBM para 2021, o custo médio de uma violação pairava em pouco mais de US$ 4 milhões.
5. Treine os funcionários sobre como ser “minigerentes” de segurança de dados mais experientes.
Seu pessoal pode ser altamente talentoso. Na verdade, provavelmente foi por isso que você os contratou.
No entanto, eles podem não entender que algumas de suas atividades diárias estão tornando seus dados vulneráveis. O treinamento em segurança cibernética é um dos melhores presentes que você pode dar aos membros da sua equipe. Afinal, quanto mais insights eles tiverem, mais fácil será para eles identificarem problemas como golpes de phishing ou um possível download de malware.
Como parte de sua abordagem educacional, certifique-se de criar um documento sobre as tendências de segurança cibernética de dados, bem como as melhores práticas para o seu local de trabalho. Considere incluí-lo como uma seção em seu manual do funcionário. Lá, você pode descrever o que fazer em caso de suspeita de violação ou ameaça cibernética.
Quanto mais conhecimento seus funcionários tiverem, mais aptos eles estarão para ajudar a administrar seus dados. Novas técnicas são desenvolvidas constantemente, portanto, você deve priorizar o treinamento dos funcionários pelo menos duas vezes ao ano. Isso também serve como um bom lembrete para manter todos alertas a golpes de phishing e outras ameaças de programas de segurança de dados.
