Exposição indevida de dados responde por 70% das informações vazadas

De 2014 a 2018 foi o incidente mais ocorrido nas empresas brasileiras

Mercado Financeiro / 22:59 - 14 de ago de 2019

Siga o Monitor no twitter.com/sigaomonitor

De 2014 a 2018, o vazamento de informação foi o incidente mais ocorrido nas empresas brasileiras. E grande parte, em torno de 70%, ocorreu por exposição indevida de dados sensíveis e sigilosos. O conteúdo mais invadido neste período foi de processos operacionais, que compõem informações confidenciais como estratégias e regras de negócios da empresa.

São muitos os impactos que as empresas poderão sofrer se não considerem os vazamentos de informações e outros ataques digitais. Problemas regulatórios, de imagem e financeiros são alguns. O alerta é do André Cilurzo, diretor associado de Segurança Cibernética e Privacidade de Dados na ICTS Protiviti - consultoria especializada em compliance e gestão de riscos com sede em São Paulo.

Ele explicou ao MONITOR MERCANTIL quais os riscos que as empresas do país correm se não tomarem os devidos cuidados com a segurança de dados (veja abaixo a entrevista completa).

Levantamento inédito realizado pela ICTS Protiviti aponta que dos 32 mil incidentes analisados dos mais variados tipos nesses últimos quatro anos, 70% equivalem a exposição indevida de dados sensíveis e confidenciais.

O índice foi extraído de uma base formada por empresas monitoradas pela consultoria, que realiza serviços de análise de risco a partir do monitoramento do tráfego de informações em e-mails, desktops, laptops, celulares corporativos e publicações nas redes sociais.

A pesquisa apurou que os processos operacionais representaram 25% do total de incidentes nesta categoria. Em seguida, com 15,61%, aparece a violação de dados cadastrais de clientes, tais como números do CPF, RG, endereço residencial e renda. Já a divulgação de salários foi a terceira situação mais vazada, representando 11,01% dos casos.

Além do uso indevido de informação, ainda figuram com os principais incidentes de riscos nas empresas o envio de currículo (11%), não conformidade aos procedimentos e políticas internas (7,55%), desvio de comportamento (2,69%), relacionamento afetivo e de parentesco (2,35%) e reclamações voltadas ao clima organizacional (2%).

Mas, felizmente, existe solução quando o caos já está instalado. A ICTS Protiviti calcula que 43,5% dos problemas causados pela invasão podem ser resolvidos em menos de dez dias. “Casos que envolvem relacionamento íntimo, assédio ou utilização de recursos da empresa, como e-mail corporativo para vazamento de informações, tem apuração rápida. Já assuntos que exigem perícias em HD´s ou solicitação de quebra de sigilo por via judicial, a resolução é mais longa por depender de fatores externos”, alerta. O melhor é sempre a prevenção.

Segundo André Cilurzo, é crucial que as empresas passem a considerar ataques digitais como riscos diretamente impactantes ao negócio. Abaixo, ele detalha qual pode ser o tamanho do problema quando isso é negligenciado. Cilurzo é formado em administração e pós-graduado em economia de negócios e estratégias competitivas pela FGV. Desenvolveu sua carreira focada em projetos de prevenção de perdas, gestão de riscos operacionais, prevenção de riscos de cargos e governança corporativa nos setores de bens de consumo, instituições financeiras e logística. Na ICTS desde 2002, ele atualmente lidera os projetos de soluções em ERP (Enterprise Resource Planning), isto é, de sistemas de gestão empresarial.

Se as empresas não se preocuparem verdadeiramente com os vazamentos, o que pode acontecer?

- Caso as empresas não considerem os vazamentos de informações e outros ataques digitais como riscos ao negócio poderão sofrer vários impactos como regulatórios, de imagem, operacionais e financeiro.

Os regulatórios acontecem no caso de empresas reguladas por órgãos governamentais (exemplo: instituições financeiras, securitizadoras), empresas em conformidade com normas internacionais de proteção de dados (GDPR) e, para o próximo ano, empresas aderentes à Lei Geral de Proteção de Dados (LGPD) poderão sofrer sanções legais devido ao vazamento ou tratamento inadequado de informações pessoais.

Na imagem, os ataques digitais, quando divulgados, podem causar grandes impactos na organização, podendo levar a perda de investidores/clientes e afetar a credibilidade da marca perante o mercado nacional e internacional, redução de rating por agências internacionais de rating, refletindo no aumento do custo do crédito e custo de capital;

No âmbito operacional, certos ataques digitais podem impactar a disponibilidade de um serviço crítico para a organização e interromper sua operação. Caso os impactos destacados anteriormente sejam materializados, pode haver impactos financeiros representativos. Estes cenários podem trazer impactos financeiros diretamente - através de aplicações de multas regulamentares (GDPR, LGDP) e paradas operacionais ou indiretamente como perda de valor nas ações. Isso tudo devido à perda de credibilidade da marca.

Além disso, obrigações impostas pelo Ministério Público e órgãos reguladores elevam os custos na resolução do incidente, levando a despesas operacionais não previstas pela empresa. Cabe ressaltar que a obtenção de informações críticas/pessoais/confidenciais é comumente alvo de criminosos digitais por seu valor no “mercado negro”, aumentando sua ocorrência anualmente.

Como é vista essa questão pelas empresas brasileiras?

- As empresas brasileiras, ao longo da última década, têm mostrado evolução na maturidade de seus controles de segurança cibernética. Temos visto esta ascensão principalmente em empresas do middle Market, as quais têm procurado desenvolver, implantar e aprimorar seus processos internos no quesito segurança da informação.

Apesar deste cenário com tendências positivas, as empresas brasileiras ainda estão um passo atrás aos seus pares internacionais. As regulamentações brasileiras não são tão incisivas quanto a requisitos mínimos de segurança da informação, frente a normas norte-americanas e europeias. Há dificuldade da aderência da cultura de segurança da informação no corpo executivo de empresas e, consequentemente, em seus processos e controles internos e ainda é baixa a preocupação com os riscos digitais, seu gerenciamento e impactos durante as tomadas de decisões estratégicas da empresa.

Cabe ressaltar que este cenário vem mudando como principal exemplo a criação da Lei Geral de Proteção de Dados (LGPD) com órgão regulador próprio. Faz-se exceção a algumas indústrias, tais como financeira e varejo on-line, e multinacionais brasileiras que têm operações fora do país.

Que setores estão investindo mais para assegurar proteção de dados e informações?

- Historicamente, as instituições financeiras apresentam maior investimento focado na sua segurança digital, seguidas das empresas internacionais ligadas ao setor de e-commerce e transações online. Estas empresas apresentam alto nível de maturidade de seus processos assim como investem em ferramentas e treinamentos de segurança.

Até a violação de dados cadastrais acontece de maneira expressiva. Como evitar isso?

O risco de divulgação não autorizada de dados cadastrais, bem como quaisquer outros dados pessoais e sensíveis, deve ser tratado tanto pelas empresas quanto pelos usuários finais. Sendo assim, as empresas são responsáveis pelos controles de segurança aplicados sobre todos os dados pessoais armazenados em sua infraestrutura, incluindo seus clientes quanto seus próprios colaboradores internos, adotando boas práticas de segurança que engloba desde sua arquitetura de redes quanto ao manejo e tráfego de dados (realizado internamente e externamente). Além disso, os usuários finais devem conscientizar-se de que seus dados pessoais são extremamente importantes, manuseando-os de forma adequada, sempre informando somente o necessário em sites e serviços confiáveis.

O envio do currículo também requer cuidados? por quê?  aliás, recentemente vimos que até o governador do Estado do Rio inflou o seu CV.

- O curriculum vitae, cuja tradução do latim significa “trajetória de vida”, possui informações pessoais sobre seu autor. Comumente encontramos currículos contendo nome, idade, endereço, telefone residencial e celular, e-mail entre outras informações sobre a persona em escopo, fazendo com que tal documento possua informações as quais podem ser utilizadas por criminosos como fraudadores, estelionatários e, não obstante, criminosos digitais.

Atualmente, com informações contidas na maioria dos currículos em conjunto com pesquisas simples na internet é possível para um criminoso digital identificar a pessoa ‘’alvo’’, podendo inclusive redefinir senhas pessoais em serviços online.

Como a consultoria ICTS Protiviti atua no Brasil para mostrar a importância dessa “blindagem?”.
- A ICTS Protiviti oferece suporte as empresas na de gestão de riscos corporativos, de forma a identificar, mensurar, priorizar e mitigar os principais riscos digitais que possam impactar o ambiente da organização. Para isso abordamos os seguintes pilares para reduzir riscos relacionados ao ambiente cibernético: pessoas (focando em treinamentos de segurança e conscientização sobre os principais ataques digitais como engenharia social); processos (identificando gaps e gerenciando riscos, por meio de avaliação de controles de TI e testes de intrusão); ferramentas (identificando e implementando a melhor solução para cada empresa, considerando seus objetivos e impactos ao negócio) e auditoria (verificação constante de todos os controles implementados para mensurar sua efetividade).

O que uma empresa não deve jamais fazer nas redes para não incorrer no risco de ser invadida?
- Negligenciar a segurança digital. Este é um pilar base para a sustentabilidade de seus negócios.   

 

Siga o Monitor no twitter.com/sigaomonitor