9 maneiras de minimizar a violação de dados

Qual é a melhor forma de atenuar as consequências de uma violação de dados?

As violações de dados são um fato da vida empresarial. Mas além de manter pronto um plano de resposta para possíveis violações de dados, como podem os departamentos de TI melhor prevenir e mitigar esse tipo de invasão? Comece por aqui:

1. Tenha um bom programa de segurança de informações. De acordo com um estudo recente da Identity Theft Resource Center, o maior número de violações de dados em 2.011 foi provocado por hackers, e no primeiro mês de 2012, novas brechas parecem seguir o mesmo caminho.

2. Imponha senhas difíceis. No inicio deste mês, um grupo obscuro de hacktivistas, TeaMp0isoN, enviaram
para o Pastebin uma lista com cerca de 80 nomes de funcionários da T-Mobile, senhas, endereços de email, números de telefone. Curiosamente, muitas das senhas da T-Mobile, se forem mesmo senhas reais, são simplesmente “112112” ou “passar”. Na sua mensagem, TeaMp0isoN – que supostamente trabalhou com o Anonymous no recente esquema de redistribuição de riqueza dos cartões de crédito, conhecido como Operação Robin Hood, gritou a aparente falta de variedade de senhas. “Olhe para as senhas. Todas as senhas são manualmente dadas ao pessoal através de um administrador que usa o mesmo conjunto de senhas.”

3. Oculte as violações em seu perigo. A Symantec confirmou neste mês que o código-fonte do Norton vazou no início deste mês por hackers. Mas a empresa minimizou o incidente, dizendo que o código, a partir de dois de seus produtos mais antigos – Endpoint Protection 11.0 e Antivirus 10.2 – havia sido roubado de um terceiro. Em outras palavras: era o código antigo, não há nada para ver.

Só que apenas duas semanas depois, a Symantec admitiu que o código para seu principal produto Norton havia sido roubado em 2006. Isso levanta a possibilidade de que qualquer pessoa em posse do código-fonte na época pode ter encontrado maneiras de usar o software de segurança da Symantec para comprometer as máquinas dos usuários.

4. Avalie a velocidade da notificação de violação com cuidado. Depois de descobrir uma brecha, as empresas devem equilibrar a necessidade de reunir informações, tanto quanto possível, com a emissão de uma notificação oportuna e clara. “Transparência é fundamental para manter o relacionamento com clientes e reguladores, tenha certeza de que você compreende o alcance da violação antes de fazer um anúncio”, disse Ted Kobus, colíder da privacidade, segurança e equipe de mídia social no escritório de advocacia Baker Hostetler.

5. Espere que os dados sejam violados. Por que não se planejar para este cenário. Então, o que deve acontecer em seguida, e como fazer para que este cenário seja impedido da melhor maneira? “Não há bala de prata para a segurança, então você precisa se planejar para uma eventualidade de possível violação de dados”, disse Lawrence Pingree , diretor de pesquisa do Gartner.

6. Criptografe todos os dados sensíveis. A lei de notificação de violação de dados isenta a empresa de ter que emitir notificações se os dados expostos estiverem criptografados. Assim, sempre que possível, criptografe todos os dados em trânsito, bem como em repouso. “A criptografia não é apenas um porto seguro, é esperado pelos clientes e reguladores”, disse Kobus na Baker Hostetler.

7. Expire seus próprios dados. Se os dados roubados não tem data de validade, então cabe às empresas excluírem os seus próprios dados. Ambos, Honda Canadá e Sony foram apanhados no ano passado após hackers roubaram informações de clientes desatualizados e, cada empresa, não conseguiu apagar. A violação a Honda apareceu para colocar a empresa em violação do direito de privacidade do Canadá, que obriga as empresas a excluir qualquer informação pessoal que não é mais necessário. Sem dúvida, no entanto, todas as empresas devem seguir essa prática.

8. Cuidado com a engenharia social. Quando se trata de estratégias de baixo custo, alto impacto para roubar dados confidenciais, os invasores tornaram-se bem versado na arte do ataque de engenharia social. “Ferramentas de engenharia social estão sendo usadas de forma criativa para ganhar acesso as informações pessoais”, disse Kobus. Assim, continuar treinando todos os funcionários que lidam com informações sensíveis na arte de detectar e resistir a certas chamadas de telefone e emails ? inclusive para evitar ataques de phishing.

9. Exija serviços de descoberta de dados. Dados violados podem acabar em todos os lugares do mercado negro. Embora os dados pudessem teoricamente ser expurgados, primeiro eles devem ser encontrados. “A estratégia de avançar … é ter serviços que vão além dos dados e que fornecem informações sobre onde os dados estão localizados”, disse Pingree.