Home  >  Segurança

Brandpost por Saiba mais Brandposts são artigos escritos e editados pela nossa comunidade de anunciantes e patrocinadores. Os Brandposts oferecem a oportunidade para um patrocinador apresentar ideias e comentários com seu ponto de vista diretamente para nossa audiência. A equipe editorial não participa da elaboração ou edição dos Brandposts.

PATROCINADA

Violações acidentais de bases de dados estão aumentando

Três dicas para evitar que sua empresa se torne manchete

Por Elastic

25/06/2021 às 15h53

Foto: Banco de Imagem

Parece haver, toda semana, uma nova matéria sobre violação massiva de dados com milhões – e às vezes bilhões – de registros contendo dados pessoais perdidos ou roubados. Normalmente ouvimos falar de ataques cibernéticos que envolvem forçar logins seguros ou explorar falhas de software, mas há um novo segmento da economia do crime cibernético que está crescendo muito: invasores que têm como alvo empresas que inadvertidamente deixam dados desprotegidos por meio de bases de dados mal configuradas.

De acordo com o Relatório de Investigações de Dados da Verizon 2020 (Verizon Data Breach Investigations Report – DBIR), 17 por cento de todas as violações em 2020 foram causadas por erro humano – duas vezes mais que em 2019. Bases de dados não estão imunes a este problema, e a maior parte das bases de dados públicas encontradas na internet estão lá por acidente. Quando os dados estão disponíveis na internet, eles podem ser roubados por qualquer um que tiver intenções nefastas.

Infelizmente, muitos destes ataques são simples, e usam ferramentas de exploração que conseguem fazer a varredura de toda a internet em poucas horas. As ferramentas são gratuitas ou de preço baixo e conseguem detectar bases de dados mal configuradas deixadas desprotegidas na web por desenvolvedores, frequentemente devido a um erro honesto.

Crime cibernético é uma indústria em ascensão que rendeu lucros de $3,5 bilhões em 2019. E, embora o valor de um único registro de dados no mercado negro seja baixo, geralmente em torno de $20, os criminosos focam em pegar milhares de registros para obter muito lucro. A IBM estima que o custo médio de uma violação de dados para uma empresa é de $3,86 milhões, e informações de clientes identificáveis pessoalmente custam no máximo $150 por registro. E aí não estão incluídos o dano para a reputação da empresa e a perda de confiança dos clientes.

Os invasores estão constantemente procurando novas bases de dados para atacar. Em um experimento conduzido no ano passado, uma base de dados mal protegida foi deixada aberta na internet de propósito para observar o comportamento do invasor; a base de dados foi encontrada em poucas horas e foi acessada repetidamente ao longo das semanas seguintes.

 

Criando um plano de defesa cibernética

Embora nenhuma organização seja 100% segura, uma melhor segurança para a base de dados pode ser obtida com a colaboração entre funcionários, profissionais de segurança e a liderança executiva. Veja abaixo três coisas que os profissionais de segurança podem fazer para criar uma defesa cibernética eficiente:

  1. Promover uma cultura de segurança. Uma cultura de segurança saudável prioriza o treinamento dos funcionários em segurança da informação, como informar incidentes, quando pedir ajuda e quem contatar para trabalhar na solução de um incidente. Mas uma cultura de segurança não é possível em um ambiente em que a segurança da informação e os funcionários estão em lados opostos. Em lugar de punir funcionários por erros, tente desenvolver uma cultura de segurança cibernética que premie diligência e adesão às diretrizes de segurança, que crie um clima de reforço positivo e melhore o êxito da segurança.
  2. Ficar atento a acidentes bem intencionados. Use um sistema de varredura externa que monitore continuamente bases de dados expostas. Estas ferramentas notificam imediatamente as equipes de segurança quando um desenvolvedor por distração deixa dados sensíveis expostos. Há muitas soluções que podem fazer a varredura interna e externamente. Dois varredores públicos que podem ser usados para monitorar seus sistemas são o  Shadowserver e o Shodan.
  3. Criar um plano sólido de resposta a incidente. Passar pela experiência de ter os dados violados não é uma questão de “se”, mas de “quando”, e a resposta ao incidente é a base de um bom programa de segurança. Uma vez que você foi alertado sobre uma violação de dados que ocorreu ou está ocorrendo, suas primeiras ações podem representar a diferença entre ser a próxima manchete sobre violações de dados ou não.

Felizmente temos um ótimo guia para criar plano, política e procedimento de resposta a incidente no Instituto Nacional de Padrões e Tecnologia (National Institute of Standards and Technology  NIST) Special Publication 800-61. Tenha sempre disponível um plano de mitigação e treine o plano com suas equipes de TI e de segurança, e também a liderança executiva, de forma que quando ocorrer divulgação de dados você terá uma resposta rápida e objetiva.

 

Defender dados é um esporte de equipes

Com as ameaças cibernéticas crescendo em frequência e impacto, os profissionais de segurança ficam sobrecarregados com o gerenciamento de centenas de trabalhadores remotos.  Fazer malabarismos com um número cada vez maior de dados com esse novo modo de trabalhar cria desafios de segurança que nunca vimos antes.

Criar uma defesa eficiente que cubra tanto ataques cibernéticos sofisticados quanto vazamentos acidentais de bases de dados requer cooperação entre indivíduos e departamentos – assegurando tecnologia e proteção apropriadas para atender as necessidades complexas das organizações.

Não há uma única solução, mas uma combinação de pessoas, processos e tecnologia trabalhando em harmonia pode ajudar a evitar a próxima violação de base de dados.

A Elastic oferece três soluções: busca empresarial, observabilidade e segurança, desenvolvidas sobre uma stack de tecnologia que pode ser implantada em qualquer lugar. Interessados em saber mais, podem contatar a empresa pelo e-mail info@elastic.co ou acessar o site.

 

(Visited 323 times, 1 visits today)