Apesar da boa vontade, nem todas as empresas sabem o que fazer para atingir um alto padrão de segurança cibernética

Por Carlos Rodrigues

Violações de dados são muito mais comuns do que gostaríamos e muitas empresas mostram uma preocupação sincera em relação à segurança dos dados. Buscando investir em medidas para se proteger contra violações de dados, os negócios empregam novas políticas de segurança, ferramentas, treinamento e estratégias que as fazem se sentir mais seguras. Mas, será que estão?

Há uma percepção de que as empresas precisam fazer ainda mais para combater possíveis invasões e, principalmente, lidar da melhor forma possível com as consequências dessa invasão – e mais rapidamente. Isso é uma verdade.

Apesar de haver mais consciência em relação aos riscos e prejuízos relacionados a uma invasão e roubo de dados, saber quais medidas tomar para proteger esses ativos pode ser mais difícil do que todos imaginam. Apesar da boa vontade, nem todas as empresas sabem o que fazer para atingir um alto padrão de segurança cibernética. A verdade é que essas empresas fazem uma ou duas ações corretas e acreditam que estão em segurança. Esse é um erro que precisa ser evitado. Conheça outros cinco:

1. Achar que o risco não é tão grande

Esse talvez seja o erro mais comum. Achar que a empresa, seja por qual for o motivo, corre menos riscos que outras. Não pense que apenas grandes empresas são vítimas de ataques, a verdade é que os hackers buscam por caminhos mais fáceis. A ideia de que seus dados não são interessantes ou valiosos também pode representar um risco desnecessário. O invasor, muitas vezes, não está atrás dos seus dados, mas dos seus recursos, como usar o seu servidor para hospedar pornografia ou usar sua força de processamento para minerar criptomoedas.

2. Acreditar que conformidade é o mesmo que segurança

OK, você fez a lição de casa e está em conformidade com regulamentações como LGPD, GDPR e até com outros conjuntos de regras voltados para o setor que sua empresa atua. O cumprimento dessas regras ajuda a adotar melhores padrões de segurança e a ter planos de resposta a incidentes mais eficientes, mas isso não quer dizer que a empresa não pode sofrer uma violação de dados. Conformidade e segurança de dados são coisas diferentes, não pense em equipará-las.

3. Já treinamos nossos funcionários

Claro, manter um bom programa de treinamento para conscientizar os funcionários sobre segurança é ótimo, mas é preciso manter esse treinamento constante e atualizado sobre esses novos perigos. Ou seja, esse treinamento deve evoluir e fazer parte regular das atividades da empresa, da mesma forma, deve-se fazer testes simulados para ver se os funcionários respondem de forma correta e, caso contrário, fazer treinamentos adicionais.

4. Confiar cegamente na atenção dos funcionários

Não se pode fechar os olhos para o que os funcionários fazem. Se eles, repetidamente, não cumprem as regras de segurança estipuladas pela empresa, isso faz com que o risco de invasão cresça. É preciso entender que sua estratégia de segurança só é forte se todos a cumprirem, e o funcionário é o elo mais fraco. Basta um erro, uma desatenção e um clique em um link malicioso para que todos os esforços de segurança caiam por terra.

5. Acreditar que basta ter um seguro contra ataques cibernéticos

Aqui é preciso fazer uma analogia. Se você tem um seguro de automóveis, você está a salvo de sofrer um acidente? Pense nisso. O melhor seguro é aquele que incentive um bom comportamento para reduzir riscos. O seguro pode exigir que você tenha um firewall instalado, mas ele não irá configurá-lo, e se isso for feito da forma incorreta, sua empresa está abrindo uma porta para invasões.

É muito fácil acreditar que não se corre riscos de uma invasão cibernética, mas isso é falso. Uma ameaça de violação de dados não pode ser vista como algo menor, de pequena importância. O prejuízo que pode causar, dependendo do porte da empresa, pode levar a perdas significativas e que podem comprometer a saúde financeira do negócio. Uma defesa bem-sucedida exige investimento contínuo em treinamento e comprometimento de todos os funcionários.

*Carlos Rodrigues é vice-presidente da Varonis para a América Latina

Fonte: Security Report