Temos visto vários casos de vazamento de dados na mídia ultimamente envolvendo empresas de todos os tipos de mercado e tamanho, mas não é de hoje que eles acontecem.
Contudo, as notícias sobre vazamento de informações têm ganhado destaque nas manchetes porque os dados corporativos são considerados o novo petróleo da era digital. Através do cruzamento de informações é possível prever e entender as novas tendências que alimentam diversos mercados de consumo.

Mas, afinal, o que são vazamentos de dados?

A segurança da Informação tem como base três princípios:

• Confidencialidade: garante que a informação só pode ser acessada por pessoas autorizadas, por exemplo através do uso de senhas.
• Disponibilidade: permite que a informação esteja disponível para acesso no momento desejado.
• Integridade: assegura que o conteúdo da informação não tenha sido alterado ou violado.

Quando o princípio da confidencialidade é violado, e as informações são acessadas por quem não tem direito sobre elas, sendo ainda compartilhadas na internet por exemplo, temos um caso de vazamento de dados.
Dois casos de vazamento de dados que ganharam destaque nos últimos anos envolveram Uber e Netshoes. As empresas que sofreram ataques semelhantes, mostraram uma postura totalmente diferenciada.
Enquanto a empresa de transporte privado urbano demorou para comunicar o ataque às pessoas que tiveram suas informações acessadas – levando à demissão do diretor de segurança da informação do Uber, à época -, o comércio eletrônico informou imediatamente a autoridades brasileiras o ataque e as providências tomadas para evitar novos incidentes digitais.

Vazamento de dados exploram vulnerabilidades

Ambos os casos, anteriormente citados, envolveram roubo de informações de clientes e divulgação desses dados pessoais, através da exploração de vulnerabilidades que existiam nos respectivos sistemas de armazenamento das empresas, por parte dos criminosos virtuais.
Estas vulnerabilidades podem ocorrer por arquivos deixados em lugares sem a devida autenticação, por configurações inadequadas ou até mesmo por falta de atualização dos sistemas.
É muito importante que as empresas tenham a responsabilidade de armazenar e zelar pelos dados de seus clientes, tendo a preocupação de manter seus sistemas atualizados, realizando testes periódicos para validar se há alguma fragilidade que coloque em risco seu ambiente tecnológico ou exponha dados – incluindo os dados de seus clientes.

Minimizando as vulnerabilidades

Já vimos que os vazamentos acontecem por falhas variadas. Vejamos as principais:

• Vulnerabilidades exploradas por cibercriminosos por negligência ou falta de conhecimento da existência desta vulnerabilidade pelo responsável pelo sistema;
• Banco de dados vulneráveis devido a erros de configurações;
• Arquivos com informações sensíveis armazenadas em locais sem restrição de acesso, como senhas por exemplo.

Temos falado muito em Privacidade de Dados, principalmente após a promulgação da Lei Geral de Privacidade de Dados (LGPD), onde há responsabilidade tanto de quem fornece os dados, como de quem armazena os dados. Vale lembrar, que a privacidade começa em cada um de nós, tendo o cuidado e consciência de quais dados pessoais podemos divulgar e só fazendo em total segurança.
Uma empresa que passe por um incidente de vazamento de dados, pode ter sua reputação completamente comprometida, colocando em risco a sobrevivência de seus negócios. Uma startup, por exemplo, pode não sobreviver a um incidente como este.

O que fazer em caso de vazamentos de dados?

Em caso de vazamentos de dados as empresas devem notificar imediatamente as pessoas que tiveram seus dados violados e tomar providências para conter a vulnerabilidade explorada.
Pessoas que tiveram seus dados expostos devem trocar suas credenciais de acesso de forma proativa, entrar em contato com sua operadora de cartão de crédito – caso os dado vazados sejam referentes ao cartão – e entrar em contato com a empresa em que o incidente ocorreu para maiores providências a serem tomadas em conjunto.
Uma das providências mais importantes, contudo, é a realização de uma investigação minuciosa para encontrar a vulnerabilidade que permitiu o vazamento de dados e tomar as medidas necessárias para impedir que novos ataques digitais ocorram.
Contar com uma empresa especializada para seguir os rastros deixados pela violação e propor ações de proteção efetivas pode ser a melhor maneira de garantir a segurança da informação de sua empresa.
A IBLISS tem uma equipe especializada para avaliar a segurança da informação em sua empresa. Acompanhe nossos conteúdos ou, se preferir, entre em contato com nosso time.