Em 6 de junho de 2012, o LinkedIn relatou que invasores cibernéticos roubaram as informações de login de 6,5 milhões de usuários. Esse número posteriormente subiu para 117 milhões. Entre estes, estava um funcionário do Dropbox.
Em um mundo perfeito, essa história termina com o funcionário do Dropbox alterando sua senha do LinkedIn. Nenhum dano, nenhuma falta. Mas não foi essa a história…
Em 1 de agosto de 2012, surgiram as notícias de que o Dropbox tinha sido hackeado. O funcionário do Dropbox usou a mesma senha para o LinkedIn e o Dropbox. E quando os invasores acessaram a conta desse funcionário, também baixaram arquivos que incluíam 68 milhões de nomes de usuário e senhas do Dropbox.
A violação do Dropbox destaca um problema maior do que os funcionários que ignoram as políticas de senha e armazenam informações confidenciais de forma inadequada.
Como usuários, todos tratamos nossos discos em nuvem como discos rígidos físicos. Não paramos e nos perguntamos se esse meio é seguro. Nós o salvamos em uma pasta em nosso computador e desfrutamos da conveniência de acessá-lo em todos os nossos dispositivos. Ignoramos que é transmitido para um servidor da Web, geralmente fora do nosso controle. Esquecemos que nossos arquivos podem não existir realmente em qualquer disco rígido.
Agora, pense nas informações armazenadas nos computadores e dispositivos da sua empresa. Quantos arquivos detalham segredos comerciais? Suas faturas incluem informações confidenciais do cliente, como nomes, endereços e números de telefone? Como o RH armazena informações dos funcionários, como números de identificação, informações da conta bancária e análises de desempenho?
Para colocar isso em perspectiva, em 2018, um único registro confidencial roubado custou à empresa US$ 148 em média em todo o mundo, um aumento de 4,8% em relação a 2017.
Isso ocorre em todos os setores. Para o setor de saúde, o custo médio foi de US$ 408. No setor de serviços financeiros, um único registro roubado custa em média US$ 206.
Agora, multiplique essas médias pelo número total de clientes, número total de funcionários e número de clientes e funcionários afiliados a quaisquer empresas subsidiárias. Esse número te assusta?
Infelizmente, prestadores de serviços externos e ciber ataques não são as únicas causas para violações da confidencialidade. Seus funcionários e contratados, incluindo freelancers, são outras fontes em potencial.
Por exemplo, em 2015, a Carilion Clinic demitiu vários funcionários depois que eles acessaram registros médicos de pacientes de alto perfil “sem uma necessidade legítima de assistência ao paciente”. De acordo com o Relatório de violação de dados de informações de saúde protegidas da Verizon, 58% de todas as violações de confidencialidade no setor de saúde envolvem profissionais internos.
Seguindo as práticas recomendadas de mensagens criptografadas , você pode impedir violações de confidencialidade, sejam elas originadas internamente, de um provedor de serviços ou de invasores cibernéticos e minimizar os riscos associados a violações de confidencialidade.
- Defina quais são as informações confidenciais da sua organização.
Liste todas as informações coletadas de clientes e funcionários, práticas comerciais e segredos comerciais. Divida-o em duas categorias: informações protegidas por lei e informações cruciais para suas operações comerciais.
Por exemplo, nomes de usuário e senhas, endereços de correspondência de clientes e números de telefone de funcionários se enquadram na primeira categoria. Como regra, você trata todas as informações que as pessoas lhe fornecem como confidenciais, mesmo que isso não seja obrigatório por lei, pois isso protege sua reputação.
A estratégia para a expansão planejada da sua empresa no mercado chinês pertence à segunda categoria. Ao tratar suas práticas e segredos comerciais como confidenciais, você protege seus lucros futuros.
- Tenha uma política de confidencialidade por escrito.
Usando a lista de informações confidenciais da sua empresa, elabore uma política de confidencialidade que detalha quais dados sua empresa considera confidenciais e os procedimentos que os funcionários devem seguir para proteger essas informações. Mantenha o idioma claro e concentre-se em etapas simples.
Lembre-se de que seus funcionários não se preocupam com as obrigações legais da sua empresa. Todos eles se preocupam com o quê e como.
- Gerenciar o acesso a pastas e limitar funcionários e contratados às informações de que precisam.
A restrição de acesso a informações confidenciais limita os danos que funcionários individuais podem causar ao vazar informações confidenciais. Por exemplo, algumas organizações de saúde apenas permitem acesso médico a registros irrestritos de seus pacientes atuais.
Com informações confidenciais, há uma linha tênue entre muito pouco e muito. Às vezes, um funcionário pode precisar acessar informações confidenciais que sua política de confidencialidade indica que não devem estar disponíveis para ele. Ao colocar esses controles de acesso, você também deve criar procedimentos para que seus funcionários acessem informações de outro departamento ou que estejam acima do nível salarial.
Esses procedimentos devem perguntar por que o funcionário precisa das informações e incluir um limite de tempo para a resposta e um processo de apelação.
- Criptografe dados confidenciais, especialmente se estiverem em um dispositivo de armazenamento removível, como uma unidade USB ou na nuvem.
Como regra geral, se você pode pegá-lo na mão como um tablet, celular, laptop, ele deve ser criptografado. O armazenamento em nuvem deve incluir criptografia de ponta a ponta com a criptografia em repouso.
- Desestimule os funcionários a acessar dados do cliente através de redes não privadas, como o Wi-Fi público numa cafeteria.
Em termos práticos, você não pode aplicar uma política de segurança que proíba os funcionários de usarem redes de Wi-Fi públicas, especialmente se você permitir que eles tragam seu próprio dispositivo. Em vez disso, instrua seus funcionários sobre os perigos e não se esqueça de incluir histórias de horror. O DarkHotel e o ataque do Evil Twin são particularmente eficazes.
- Aplique as práticas recomendadas de senha e proíba a reutilização de senha.
Na sua rede, promova políticas de segurança que não permitam a reutilização de senhas antigas e imponha redefinições periódicas de senha em toda a organização que estejam em conformidade com sua política de senhas.
Seus funcionários vão odiar isso. Por que eles deveriam substituir a senha comprovada que combina a data de nascimento do filho mais velho e o nome do cachorro por uma que não se lembra? Ensine-os.
Use o desastre do LinkedIn-Dropbox em 2012 para ilustrar os perigos do uso da mesma senha para vários serviços. Em seguida, pergunte-lhes e se a senha roubada também estiver vinculada à sua conta Amazon. Um ladrão entra na conta da Amazon e envia para si um cartão-presente de R$ 500 pago com o dinheiro suado. Torne as consequências pessoais para eles, não só para a empresa.
Use esta oportunidade para incentivá-los a ativar a autenticação de dois fatores para suas contas pessoais.
- Habilite e imponha a autenticação de dois fatores para todas as unidades e serviços em nuvem.
Embora você possa dizer a seus funcionários que eles não devem reutilizar a senha da empresa para contas pessoais, você não pode aplicar esta política.
A ativação da autenticação multifator protege sua empresa contra a repetição dos ataques do LinkedIn-Dropbox de 2012, colocando uma camada adicional entre o ciber ataque e as contas de seus funcionários.
Como lidamos com nossos arquivos confidenciais
Internamente, usamos o recurso de contêineres seguros da Adeya em combinação com nossas definições de informações confidenciais e políticas de confidencialidade, que incluem acordos de confidencialidade.
O contêiner seguro é a nossa resposta para o armazenamento em nuvem. Inclui hospedagem e compartilhamento de arquivos e permite grupos de trabalho definidos, o que facilita o gerenciamento diário de projetos
Do ponto de vista técnico, o contêiner seguro utiliza criptografia de nível militar de ponta a ponta (AES-256) com criptografia em trânsito e em repouso. A instalação da nossa organização também requer autenticação multifatorial, o que recomendamos fortemente.
Para saber mais sobre o Secure Container da Adeya, como ele pode substituir soluções de armazenamento em nuvem menos seguras e como ele é integrado ao nosso conjunto de comunicações e colaboração, entre em contato conosco aqui.
