Informação relativa à violação de acesso a dados no primeiro semestre de 2014.
Cada vez é mais difícil proteger o acesso a dados a partir da Internet. Há muito quem procure contornar a segurança dos sistemas mas também existem muitos profissionais de segurança nas TI que não estão a fazer devidamente o seu trabalho.
Segundo um relatório da Online Trust Alliance (OTA), cerca de 90% das brechas aproveitadas são resultado de erros da equipa técnica, e não de hacking externo.
A OTA é uma associação sem fins lucrativos que procura melhorar a confiança online e aconselhar as empresas adoptar as melhores práticas e a avaliar o risco da sua presença online.
O mais recente relatório, referente ao primeiro semestre de 2014, descreve mais concretamente que apenas cerca de 40% da fuga de dados envolvendo informação de identificação pessoal (PII) foi causada por intrusões externas e 29% foi causada por acidente ou malícia dos funcionários. Acrescenta ainda que problemas como falta de controlo interno, perda ou roubo de dispositivos ou documentos e fraude ascendem a cerca de 30% dos incidentes de fuga de dados nas empresas.
Todos estes números são consequência de más práticas levadas a cabo por quem gere a segurança dos sistemas. A OTA sugere alguns pontos para que as empresas se questionem:
- Percebe os requisitos de regulamentação internacional e local e as directivas de privacidade relacionadas especificamente com a sua empresa de acordo com a localização dos seus clientes?
- Conhece a especificidade dos atributos dos dados que protege dos seus clientes? Como e onde são esses dados armazenados, acedidos e arquivados?
- Está preparado para comunicar aos funcionários, clientes, accionistas e jornalistas uma situação de fuga de informação?
- Conhece a segurança, privacidade e práticas de notificação dos seus fornecedores?
- Tem um serviço que permita responder a uma fuga de informação com especialistas para o assistirem na determinação da causa e na análise da informação que foi violada?
Estas são questões extremamente pertinentes e que devem ser levadas muito a sério, procurando sensibilizar para a necessidade da máxima protecção da informação.
Como consequência das questões acima, a OTA deixa várias recomendações para as empresas, no sentido de:
- Reforçar as políticas de gestão de palavras-passe;
- Manter as contas dos utilizadores com os mais baixos níveis de privilégio e acesso possíveis;
- Proteger os dispositivos da rede interna com vários tipos de protecção, desde firewall, anti-vírus e anti-malware, controlando a partilha local de pastas;
- Realizar testes de penetração e análise de vulnerabilidades com regularidade;
- Exigir autenticação do email para correio de entrada e saída;
- Implementar um sistema de gestão de dispositivos móveis;
- Monitorizar a infraestrutura da rede da empresa em tempo real;
- Instalar aplicações Web para detectar e prevenir ataques Web comuns;
- Restringir a rede sem-fios a dispositivos autorizados;
- Configurar protecções Secure Socket Layer (AOSSL) para os servidores;
- Rever frequentemente os certificados do servidor;
- Desenvolver, testar e aperfeiçoar um plano de resposta para um fuga de dados.
Tomadas todas estas precauções, será expectável que as fugas de informação sejam severamente atenuadas, contrariando o têm vindo a ocorrer nos últimos meses. Todo o cuidado é pouco!
Concorda com as recomendações da Online Trust Alliance? Deixe outras sugestões que considere pertinentes.
Fonte: Online Trust Alliance | Via: ZDNet