Barracuda full logo

A perda de dados que mais prejudicará o seu negócio

Tópicos:
29 jan. 2024
|
Siroui Mushegian

28 de janeiro é Dia da Privacidade de Dados — conhecido como Dia da Proteção de Dados na Europa. A privacidade de dados diz respeito a decidir quem pode ter acesso a que informação, enquanto a proteção de dados é sobre proteger essa informação. Uma violação de dados arruína ambas.

As violações de dados podem acontecer em qualquer organização. A nossa pesquisa mais recente, realizada com o Ponemon Institute, mostra que pouco menos de metade, 48%, das organizações inquiridas em cinco países em todo o mundo sofreram um incidente de violação de dados no último ano, envolvendo a perda ou roubo de informações sensíveis sobre clientes, potenciais clientes ou funcionários. Este número sobe para 54% entre as organizações de serviços financeiros.

Mais tarde, analisaremos as principais causas das violações de dados. Mas primeiro, vamos falar sobre risco.

Para que a cibersegurança seja totalmente eficaz, é necessário o apoio ao nível dos executivos seniores. E o risco é a linguagem que todos os líderes empresariais entendem. No que diz respeito a garantir uma abordagem robusta e em conformidade com a privacidade e proteção de dados, os líderes empresariais precisam de saber "o que aconteceria se ..." perdessem dados valiosos.

O que significa uma violação de dados para o seu negócio?

A pesquisa revela que nem todas as perdas de dados apresentam o mesmo nível de risco para o negócio. Isto é importante porque permite às organizações focar os seus recursos de segurança de forma adequada.

Não é totalmente surpreendente que os dados financeiros ocupem o primeiro lugar na lista de informações que, se perdidas ou roubadas, teriam o maior impacto financeiro ou operacional na organização. No geral, 43% dos entrevistados apontaram isto como uma das suas duas maiores perdas de dados com impacto.

Tipos de perda de dados com maior impacto financeiro

Outros insights interessantes incluem:

  • A perda de registos de funcionários tem o segundo maior impacto (37%) no geral. A margem entre o segundo e o terceiro lugar (informação pessoalmente identificável dos clientes, PII, a 36%) é reduzida, mas é maior nas maiores organizações pesquisadas (40%). Isto pode refletir o facto de que as organizações muitas vezes possuem mais, e mais detalhadas, informações sensíveis e confidenciais sobre os seus funcionários do que sobre os seus clientes. Isto pode ser explorado por atacantes para extorsão, recrutamento de insiders maliciosos, deixar o negócio exposto a processos judiciais dispendiosos e violações de conformidade, entre outros.
  • A perda de propriedade intelectual tem um impacto maior nas empresas mais pequenas (30%) do que nas maiores (21%), possivelmente porque as empresas mais pequenas dependem fortemente da PI para a vantagem competitiva e têm menos probabilidade de ter uma gama mais ampla de ativos.
  • A perda de e-mails e conversas/chats de texto informais tem o maior impacto em empresas maiores (32%). Isto pode refletir o risco de ameaças avançadas de e-mail, como Business Email Compromise, e a necessidade de manter esses registos para divulgação legal e conformidade.

As principais causas de violações de dados

Os respondentes foram questionados sobre as causas principais das violações de dados. As conclusões mostram o quão amplas se tornaram as superfícies de ataque digital, com numerosos pontos de fraqueza que podem expor redes e dados.

As causas principais parecem enquadrar-se em quatro categorias — pessoas, ciberameaças, cadeia de abastecimento ou falha/misconfiguração do sistema.

Incluem:

  • Atividade de empregado/contratante, seja por negligência (uma causa raiz em 42% das violações) ou ato malicioso (39%)
  • lapsos de segurança de TI — incluindo vulnerabilidades não corrigidas (34%), erros no sistema ou processo operacional (41%)
  • Erros de terceiros (45%)
  • Adversário externo — hacking (34%), phishing (39%) e vírus ou outro malware (49%).

Noutros pontos do estudo, os resultados mostram que um em cada seis (17%) ataques de phishing bem-sucedidos resultou na perda de informações sensíveis e confidenciais, aumentando para mais de um em cada cinco para organizações no setor de manufatura (22%), no setor público (21%) e para os inquiridos do Reino Unido (23%) e França (21%).

Muitos destes potenciais pontos de ruptura podem ser abordados através de tecnologias e políticas de segurança eficazes.

Protegendo os seus dados

Se cerca de uma em cada duas empresas sofreu uma violação de dados no último ano, não é um grande salto assumir que, com o tempo, todas as organizações irão experienciar uma violação de dados. Se nada mais, cada organização deve abordar a sua segurança de dados e conformidade como se esse fosse o caso.

Independentemente do tamanho da sua organização, não pode errar ao acertar nos fundamentos. Estes incluem uma abordagem robusta à autenticação e ao acesso, com a autenticação multifator como padrão e, idealmente, avançando para uma abordagem de Zero Trust.

A sua infraestrutura de TI deve incluir tecnologias de segurança em profundidade, baseadas em IA, que cubram e proporcionem visibilidade total de toda a sua superfície de ataque e de todos os pontos de entrada, desde dispositivos até APIs, ativos na cloud e muito mais.

Idealmente, isto deve ser suportado por operações de segurança 24/7 e monitorização para que esteja preparado para responder, mitigar e neutralizar qualquer ameaça antes que avance ainda mais na cadeia de ataque cibernético.

Paralelamente, precisa de fazer backup dos seus dados continuamente. Certifique-se de que todos os dados de backup estão encriptados, tanto em repouso como em movimento. Aplique o padrão ouro de 3:2:1 — três cópias de backup, utilizando dois meios diferentes, um dos quais é mantido offline.

O envolvimento e a formação dos colaboradores são fundamentais. Todos os colaboradores devem compreender por que a cibersegurança é importante, as últimas ameaças e esquemas a que devem estar atentos, e o que fazer se identificarem algo suspeito.

Conheça as suas obrigações

Por último, mas não menos importante, certifique-se de conhecer e cumprir os regulamentos de privacidade e proteção de dados de qualquer mercado em que opere.

Informações sobre privacidade de dados estão disponíveis nos EUA na Cybersecurity & Infrastructure Security Agency (CISA), no National Institute of Standards and Technology (NIST), na Federal Trade Commission (FTC), e em muitas outras instituições públicas, privadas e educacionais.

O mesmo aplica-se à EMEA e à Ásia-Pacífico. Juntamente com sites regionais chave, como o GDPR Compliance Checklist, e mais, o Europe Data Guidance da Deloitte e o Asia Pacific Data Guidance incluem informações actualizadas sobre leis e desenvolvimentos em matéria de proteção de dados e privacidade em todas as regiões.

A Barracuda encomendou uma pesquisa internacional ao Ponemon Institute sobre os desafios de segurança e as consequências financeiras dos compromissos enfrentados por organizações com entre 100 e 5.000 funcionários. O Ponemon inquiriu 1.917 profissionais de segurança de TI nos Estados Unidos (522), no Reino Unido (372), em França (329), na Alemanha (425) e na Austrália (269) em setembro de 2023. Um relatório sobre os resultados, Cybernomics 101, está disponível.

Cybernomics 101: Obtenha o relatório
Siroui Mushegian

Siroui Mushegian é Diretora de Informação (CIO) na Barracuda. Siroui juntou-se à Barracuda mais recentemente vinda da BlackLine, onde foi responsável por todos os aspetos do IT corporativo interno da BlackLine. Antes da BlackLine, ocupou cargos de liderança executiva em IT na WNET New York Public Media da PBS, na NBA, na Ralph Lauren e na Time, Inc. Com mais de 20 anos de experiência em liderança executiva e de IT, Siroui construiu com sucesso ambientes operacionais fortes que eliminam silos tecnológicos, elevou a maturidade e o impacto da tecnologia nas suas empresas e entregou resultados empresariais mensuráveis e escaláveis. Siroui possui um Master of Business Administration em Gestão e Estratégia pela Gabelli School of Business da Fordham University e uma licenciatura em matemática e finanças pela University of Connecticut.

Artigos Relacionados:
BarracudaONE: Benefícios para um dos primeiros utilizadores
BarracudaONE: Benefícios para um dos primeiros utilizadores
 Webinar: Os seus dados Entra ID estão vulneráveis? Descubra como protegê-los
Webinar: Os seus dados Entra ID estão vulneráveis? Descubra como protegê-los
 A Tredion utiliza o Barracuda Managed XDR para ajudar o grupo de escolas holandesas a conter ameaças cibernéticas.
A Tredion utiliza o Barracuda Managed XDR para ajudar o grupo de escolas holandesas a conter ameaças cibernéticas.
Destaque do Parceiro: Soluções inovadoras para ameaças cibernéticas modernas
Destaque do Parceiro: Soluções inovadoras para ameaças cibernéticas modernas
Pesquisar o blogue

O Relatório de Perspetivas sobre Ransomware 2025

Principais conclusões sobre a experiência e o impacto do ransomware nas organizações em todo o mundo

Obtenha o relatório

Subscreva o Blogue Barracuda.

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Segurança de Vulnerabilidades Geridas: Remediação mais rápida, menos riscos, conformidade mais fácil

Veja como pode ser fácil encontrar as vulnerabilidades que os cibercriminosos querem explorar

ASSISTA AO WEBINAR

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Receba as últimas notícias, estudos e análises diretamente na sua caixa de correio eletrónico.