Dados são extremamente importantes para qualquer empresa. Eles ajudam a entender melhor o cliente e o mercado, tomar decisões estratégicas, avaliar o desempenho do negócio… Você não vai querer que eles acabem nas mãos erradas. Por isso, o assunto do momento é a segurança em TI.
Isso não significa que segurança em TI e a proteção de dados sejam puro modismo; a questão é séria.
Quer ver um exemplo? Em 2017, de acordo com um relatório da Common Vulnerabilities and Exposure (CVE), foram registradas 14.6 mil vulnerabilidades, o equivalente a 40 ameaças por dia. Esse número representou um aumento de 120% em relação ao ano anterior.
Ainda não está convencido? E se você soubesse que a Netshoes, gigante do e-commerce brasileiro, foi vítima dessas vulnerabilidades? Pois é: em Dezembro de 2017, a base de dados da empresa foi atacada por um hacker que revelou dados sigilosos de quase 2 milhões de usuários cadastrados.
Não foram vazadas informações vitais, como número e senha de cartões, mas esse incidente realmente dá um gostinho (amargo) de como as falhas na proteção de dados pode ser perigosa. Imagine as consequências, por exemplo, se isso tivesse acontecido com uma empresa do setor financeiro!
Nesse post, você vai ver os erros mais comuns de segurança em TI que afetam a proteção de dados. Se você entendeu a gravidade do assunto, fique atento a essas informações!
>> Saiba mais: Por que você deve se importar com os dados de atendimento?
Mas, antes… Vamos falar um pouco sobre a LGPD. Você sabe o que é isso?
LGPD é a sigla para Lei Geral de Proteção de Dados, ou Lei 13.709/2018. Alguns artigos já entraram em vigor, enquanto outros devem entrar em vigor a partir de agosto de 2020.
Por que essa lei é importante? Basicamente, ela estabelece deveres de reparação e sanções administrativas quando acontece incidentes de segurança.
Isso significa que, se o seu negócio estiver envolvido em um desses acidentes e for determinado que houve culpa, pelo não cumprimento de alguma conduta que essa lei exige, você pode levar um sério prejuízo, na forma de indenizações ou multas, por exemplo.
Para um negócio menor (que também está sujeito a essa mesma lei), o resultado pode ser tão ruim que leve até a fechar as portas.
Por isso, é bom ficar de olho na LGPD e ter certeza de que está atendendo todas as suas determinações. A boa notícia é que ainda dá tempo de se adequar a essa norma!
>> Saiba mais: Como implementar melhores práticas de atendimento à ferramenta de help desk?
Como segurança em TI e proteção de dados são assuntos tão importantes, há muitas organizações e empresas que estão fazendo levantamentos para traçar um panorama. A Oracle é uma delas, e fez um estudo muito cuidadoso sobre os erros mais comuns.
Conhecer esses erros é o primeiro passo para a prevenção (e, como sua avó dizia, prevenir é bem melhor do que remediar – ou, nesse caso, aplicar um plano de resposta à violação de dados).
O estudo completo tem dezenas de itens, divididos em várias categorias. Nesse post, vamos apresentar de uma maneira simples, sem muitos detalhes técnicos, os principais erros identificados pela Oracle.
Se a credencial dos usuários não for protegida, outras pessoas podem encontrar brechas para usar essas credenciais e ter acesso aos dados. Existem diferentes tipos de medidas para proteger as credenciais, como a troca obrigatória de senha com uma periodicidade fixa.
Por exemplo, a cada 3 meses, todos os usuários são obrigados a alterar sua senha. Para tornar essa medida mais eficiente, a aplicação não permite que a mesma senha seja repetida.
Os logs são registros de tudo que acontece na aplicação, do que os usuários fizeram, das alterações, atualizações, erros, e assim por diante.
Quando não há logs, ou eles são parciais e inconsistentes, os desenvolvedores ou administradores não têm informação confiável sobre o que está acontecendo. Isso pode evitar que um problema de segurança de dados seja detectado e corrigido a tempo.
Criptografia é uma técnica que utiliza um código para colocar informações em um formato que só pode ser decifrado por quem tem permissão.
Basicamente, isso significa que, se alguém sem permissão conseguir colocar as mãos nos dados, não vai poder fazer nada com eles, porque eles não estão em um formato que pode ser lido.
A falta de criptografia, por outro lado, significa que qualquer um que consiga chegar aos dados vai poder fazer o que quiser com eles.
Depois que uma aplicação é colocada para funcionar, posta em uso, podem ser identificados problemas ou oportunidades de melhoria. É lógico que você não vai recolher essa aplicação, fazer as mudanças, implementá-la de novo e começar a usar do zero.
Em vez disso, são liberados patches, palavra que significa “remendos”. Então, basta instalar o patch por cima da aplicação que já está implementada.
A falta de liberação de patches é um problema porque indica que os problemas (inclusive aqueles ligados a proteção de dados) não estão sendo corrigidos.
O erro humano não entrou no estudo da Oracle sobre erros mais comuns, mas é um problema que a mesma empresa levantou em um artigo publicado no seu blog de segurança da nuvem.
Uma pesquisa entre usuários da Oracle indica que o erro humano é visto por 77% das empresas como uma ameaça potencial à segurança de dados.
Entre os erros humanos mais frequentes, um estudo da Verizon aponta o envio incorreto (por exemplo, enviar arquivos por e-mail para a pessoa errada) e publicação indevida (por exemplo, publicar uma selfie nas redes sociais sem perceber que, ao fundo, está a tela do computador com informações sigilosas).
O erro humano também pode estar ligado aos erros de segurança em TI. Por exemplo, se um patch é liberado para resolver uma falha que compromete o controle de acesso à aplicação, mas o usuário não instala esse patch, a falha permanece, criando brechas para invasões e vazamentos de dados.
Implementar boas aplicações, que apresentem protocolos adequados de segurança, é essencial para assegurar a proteção de dados na sua empresa. Se você tem essa preocupação, já está no caminho certo.
Esse é um dos fatores que você deve levar em consideração ao escolher a ferramenta de help desk ideal.
A Milldesk é um sistema de helpdesk que se preocupa com segurança em TI. Uma de nossas prioridades é preservar os dados dos seus clientes e, claro, qualquer informação que possa revelar aos concorrentes como a sua empresa funciona. Veja alguns exemplos práticos:
Quer saber mais? Conheça o Milldesk! Entre em contato com a gente e nossa equipe vai tirar todas as suas dúvidas sobre os recursos, os benefícios e, claro, as garantias de segurança em TI.