Segurança da Informação: Sete passos para evitar problemas na Black Friday

A Black Friday vem resultando no fim de semana mais movimentado para o varejo nacional, neste ano o evento acontecerá no dia 26 de novembro e, como a expectativa de vendas grande, é hora de pensar em estratégias para melhorar a infraestrutura das empresas, principalmente referente à segurança.

Essa preocupação se reforça em função do aumento de problemas relacionados ao tema nos últimos ano. Exemplo é que no Brasil, houve um aumento de 493% nos vazamentos de dados de 2018 a 2019, segundo uma pesquisa realizada pelo Massachusetts Institute of Technology – MIT .

Esse aumento ocorreu apesar de todo o esforço mundial de regulamentações buscando aplicar regras estritas sobre privacidade e proteção de dados, como o General Data Protection Regulation – GDPR da União Europeia e a Lei Geral de Proteção de Dados -LGPD do Brasil.

As implicações sobre segurança da informação e privacidade envolvem questões legais e de reputação, podendo colocar em risco os usuários, a empresa e o governo.

Os pesquisadores ainda trazem a preocupação a respeito do lapso temporal entre o vazamento e a descoberta do fato pela empresa – chamado também como “dwell time”, ou tempo de exposição: a média deste intervalo gira em torno de 250 dias, podendo chegar a quatro anos.

Além disso, o Índice Cielo do Varejo Ampliado – ICVA indicou um aumento de 21,0% nas vendas no varejo em maio deste ano, em comparação com maio de 2020. Esse aumento indica a retomada do consumo pós pandemia global do Covid-19, e os riscos de golpes aumentaram ainda mais com as vendas ocorridas agora principalmente on-line, muitas em canais informais como redes sociais.

Esses fatos levam a acreditar que teremos o Black Friday com mais golpes e incidentes de segurança da história, sendo importante se preparar o quanto antes. Se proteger 100% contra esses incidentes ainda não é possível, mas sim melhorar a segurança e a gestão de sua empresa para descobrir e lidar com um eventual incidente o mais rápido e com maior eficiência. Veja algumas orientações para que isso ocorra:

1 – Políticas de segurança

Para elevar a segurança de sua empresa, é importante que toda a equipe esteja em sintonia. Por isso, deve existir um padrão de gerência do ambiente e dos ativos, prevendo cenários de riscos e práticas defensivas. Crie uma política de segurança!

2 – Governança de dados

Avaliar e garantir a qualidade de dados é fundamental para se ter uma segurança cibernética. Para isso, é preciso de gestão: criar políticas, diretrizes, e processos, garantindo a maior precisão no tratamento de dados e a mitigação de riscos.

Para tratar os dados de maneira mais eficaz e ter os registros atualizados e precisos, você precisa definir, por exemplo:

• Quais são os dados tratados pela empresa;

• Onde exatamente esses dados ficam armazenados;

• Quem tem acesso.

A partir disso, poderá ser feita a revisão de impactos e riscos, assim como assegurar que medidas de controle sejam implementadas para a mitigação dos riscos.

3 – Plano de ação

É necessário ter um plano de ação para mitigar os riscos gerados por um eventual incidente, como um plano de resposta estruturado e padronizado, bem como um plano de notificação do incidente às autoridades em caso de violação de dados pessoais.

Por meio desse plano, poderá ser realizado o monitoramento e o relato dos incidentes para manter a eficácia das políticas, possibilitando a avaliação para melhorias na segurança.

4 – Atualização dos sistemas

É necessário fazer um check-up periódico dos sistemas, mantendo-os atualizados e realizando o diagnóstico conhecido como “GAP analysis“, a fim de identificar possíveis falhas na segurança e manter sua empresa segura.

5 – Equipe treinada

Importante frisar: investir apenas em sistemas e criação de políticas não é o suficiente. Uma peça muito importante para o funcionamento da gestão de riscos é uma equipe bem treinada para conter a crise. Quanto maior o desconhecimento das técnicas pela equipe, maiores os riscos de haver violação dos sistemas, e menor o retorno dos investimentos. Sua empresa também é feita de pessoas. Mantenha todos os pontos seguros!

6 – Faça backup

Por fim, e igualmente importante para toda a segurança: tenha um backup em nuvem atualizado. Essa pode ser a chave para salvar sua empresa de eventuais incidentes. Além do cenário de sequestro, onde não seria necessário pagar o resgate das informações dos seus bancos de dados, facilita na identificação dos dados perdidos/vazados, não levando tanto tempo para se ter conhecimento da gravidade da violação, possibilitando empregar respostas rápidas.

Carol Lagoa, co-founder da Witec IT Solutions e da Falando em Nuvem. Especialista em segurança de dados e presidente da Comissão de Privacidade e Proteção de Dados da OAB Santos.