O fator humano é a principal causa do vazamento de dados nas empresas. São elas que permitem o vazamento de dados por funcionários, quando não investem em gestão e controle do acesso à internet corporativa.
Empresas que não investem em segurança de dados, facilitam a vida dos golpistas digitais. Praticamente, pedem para ser alvo da maioria dos incidentes de segurança.
A situação é tão grave, que, sem gestão e controle do acesso à internet, os colaboradores viabilizam o vazamento de dados na empresa (acesso indevido, coleta não autorizada e divulgação pública de dados), mesmo que inadvertidamente.
Dessa forma, funcionários acabam expondo indevidamente dados pessoais, sensíveis, sigilosos, biométricos, comportamentais, confidenciais, cadastros ou de navegação de colegas, fornecedores e clientes.
De fato, a falta de políticas de acesso à internet e de segurança da informação nas empresas é meio caminho andado para a inaceitável divulgação pública de dados.
Um prato cheio para a ocorrência de crimes cibernéticos. Afinal, os cibercriminosos ameaçam empresas de todos os portes 24 horas, sem descanso. Sem dúvida, prejuízo certo para as empresas.
Veja, uma série de dicas sobre o que fazer e o que não fazer em relação ao vazamento de dados na empresa. Boa parte delas têm o fator humano como elemento chave.
O que não fazer contra vazamento de dados por funcionários
# Comprovar identidade por meio de informações estáticas
Elas não protegem mais como antes. Informações estáticas são um convite ao vazamento de dados e as técnicas de prevenção à fraude baseadas nelas estão ficando ultrapassadas e cada vez mais sujeitas a golpes. Como a abertura de conta com identidades falsas, por exemplo.
# SMS para autenticação de dois fatores
O celular é muito fácil de ser clonado e, portanto, um canal direto para o vazamento de dados na empresa. O National Institute of Standards and Technology (NIST), o antigo The National Bureau of Standards e responsável pelo framework de cibersegurança (NIST – identificar + proteger + detectar + responder + recuperar), já declarou que o SMS é uma tecnologia pouco confiável como método de segurança para autenticação.
# Autenticação por senhas em aplicativos mobile
Senhas e celulares são inseguros. Elas pioram a experiência dos usuários. Por isso, não utiliza senhas como fator de autenticação de usuários e elimina riscos de vazamentos de dados. Além disso, a usabilidade e a experiência ficam muito melhores. A tendência é utilizar outros métodos de autenticação mais seguros, como o reconhecimento facial ou digital, por exemplo.
# Confirmar ou fornecer dados on-line
Não forneça nem confirme dados por telefone ou aplicativos não seguros (WhatsApp, Telegram e Signa, por exemplo). Mesmo que os solicitantes pareçam ser verdadeiros. Aliás, principalmente quando parecem ser reais, como bancos, Poder Judiciário, Ministério Público, grandes empresas etc. Aí é que mora o perigo. Todo funcionário deve ser treinado para identificar esse tipo de risco. As empresas devem instruir seus colaboradores para, no caso de um contato duvidoso, comunicar ao seu superior, chefe, gerente.
# Responder mensagens SMS
Para evitar o vazamento de dados por funcionários, as empresas devem fornecer informações e conhecimentos. Afinal, todos colaboradores devem ser capazes de reconhecer riscos e identificar ameaças. Assim, quando receberem mensagens SMS que, por exemplo, informem uma operação atípica e reconhecida, a ação correta é não responder! Além disso, responder já fornece dados que podem confirmar identidade pessoal ou empresarial.
# Acessar links em SMS ou no WhatsApp
Nenhum link é confiável se foi recebido via SMS, aplicativos gratuitos de mensagens (WhatsApp, Telegram e Signal, por exemplo). Especialmente, em mensagens como “o prêmio é seu, basta…”, “essa notificação é referente à multa…”, “veja as fotos proibidas do(a) famoso(a)…”. Mais do que certo de que são links que contêm vírus e softwares maliciosos que podem fazer um grande estrago, como coletar senhas de banco e de redes sociais. Quando a internet é corporativa, então, o risco de vazamento de dados por funcionários é altíssimo.
# Realizar pagamentos ou transferências de valores
Essa orientação é voltada aos colaboradores dos departamentos financeiros das empresas. Afinal, são os alvos desse tipo de golpe. Os criminosos digitais usam aplicativos ou fazem ligações telefônicas, com o auxílio de dados e informações previamente vazadas. Inventam histórias e situações muito próximas da realidade possível e abusam da boa-fé (e da falta de treinamento e informação) de colaboradores. Assim, com engenharia social, tentam dissuadir os funcionários a pagar ou depositar valores indevidos. Em 100% das empresas que não investem em segurança de dados e treinamento de pessoal, a chance desse golpe dar certo é muito grande.
O que fazer contra vazamento de dados por funcionários
# Prefira dados dinâmicos a dados estáticos
Para verificar a identidade dos usuários, é sempre melhor utilizar dados dinâmicos do que dados estáticos. Os dinâmicos, como o nome já insinua, estão sempre mudando e se baseiam no inconstante comportamento das pessoas. Dessa forma fica quase impossível a ocorrência de fraudes ou vazamento de dados por funcionários. Um exemplo de dado dinâmico é o comportamento de geolocalização. Smartphones e smartwatches, por exemplo, têm GPS e, quando vinculado a um colaborador, fornece informações únicas e difíceis de serem fraudadas. Enfim, é só um exemplo, mas dados dinâmicos são mais confiáveis e uma tendência na gestão e controle do acesso à internet.
# Biometria comportamental é mais segura do que senhas
As senhas, como hoje as conhecemos e utilizamos, estão com os dias contados. Contudo, antes de sair de cena, um substituto confiável para o processo de identificar, validar e permitir acesso à internet, a sites ou qualquer outro processo de autenticação de usuários. A biometria comportamental é uma forte candidata, tanto para garantir a segurança das empresas, quanto para tornar mais útil e seguro os aparelhos celulares.
# Liveness detection contra vazamento de dados por funcionários
O ano de 2021 foi o ano em que ocorreram os maiores vazamentos de dados no Brasil. Inclusive, fotos também foram vazadas. Assim, os cibercriminosos têm grande facilidade para juntar essas imagens com as informações de identificação civil e falsificar documentos e fazer face-match (reconhecimento facial a partir de imagem estática, de forma resumida), por exemplo. Já o liveness detection, é o reconhecimento facial dinâmico, ao vivo. Ou seja, essa tecnologia detecta e valida o rosto de pessoas vivas, por vídeo. Imagens estáticas não funcionais. Uma “prova de vida” e de identidade muito segura.
# Reconhecimento por voz
Dentre os tipos de biometria, este talvez seja o menos explorado. Muitos serviços atualmente contam com atendimento eletrônico ou humano, que podem contar com senhas ou o pedido de informações pessoais para a identificação do usuário, o que fragiliza o processo de autenticação. Porém com tantas informações pessoais disponíveis para fraudadores, passará a ser uma tecnologia cada vez mais importante e relevante.
# E-mail suspeito
E-mails falsos, normalmente têm remetentes reais e conhecidos. Cuidado redobrado quando a mensagem cair direto na caixa de spam. Aliás, o ideal é deletar sem abrir o e-mail. Ainda mais porque a técnica de engenharia social para enganar e coletar dados, o phishing, é das mais comuns. Além disso, pode causar grandes prejuízos e comprometer a segurança de dados.
# Alertar os gestores
Quando o colaborador identificar ou suspeitar de uma ameaça, deve alertar seu chefe, o mais rápido possível. Deve informar a situação e o contexto no qual estava, para que empresários, profissionais de TI e gestores possam avaliar a gravidade da ameaça e agir para minimizar danos e prejuízos do vazamento de dados por funcionários.
# Verificações atentas e periódicas
Boas práticas de gestão e controle do acesso à internet e de segurança de dados indicam a verificação atenta e periódica de áreas, setores e dados sensíveis das empresas. Como, por exemplo, contas bancárias, aplicações financeiras, faturas e contas e listas de sites para bloquear, dentre outras. Uma prática preventiva que minimiza riscos, danos e prejuízos.
# Monitorar os dados da sua empresa
Uma boa dica é se cadastrar e utilizar aplicativos que monitoram como os serviços de alerta da Serasa e o Registrato, do Banco Central (BC), para monitorar a situação de senhas de e-mails, aplicativos, bancos, financiamentos e redes sociais. A situação é tão séria que, atualmente, o Registrato está “suspenso” desde janeiro de 2022. Segundo informou o BC: “após uma sobrecarga de acessos que causou lentidão e tirou a plataforma do ar, o serviço foi suspenso temporariamente”. Até hoje resta a dúvida: falha ou ataque cibernético. Então, independentemente do que tenha sido, prevenção e proteção continuam sendo palavras-chave contra ameaças digitais.
# Senhas mais seguras
Para pessoas físicas, essa dica é super válida. Contudo, para pessoas jurídicas, é ainda mais relevante. Estabelecer políticas e protocolos para realizar a troca e atualização de senhas de e-mails, aplicativos, bancos, redes sociais e qualquer outro serviço on-line. Quando possível, prefira, sempre, autenticação e verificação de identidade dinâmica. Caso contrário, usar senhas mais seguras e aleatórias, com oito ou mais caracteres, incluindo letras maiúsculas e minúsculas, caracteres especiais, operadores matemáticos, sinais de acentuação ou números deve ser um procedimento padrão na empresa.
# Verificação em duas etapas
Ativar a verificação em duas etapas, em todos os produtos/serviços disponibilizem esta funcionalidade (especialmente o WhatsApp) é uma boa medida padrão de prevenção. Uma forma de dificultar o acesso e tentar prevenir o vazamento de dados por funcionários.
# Gerenciamento de riscos
A empresa deve investir para ser capaz de identificar, quantificar e gerenciar os riscos relacionados à segurança da informação. E, assim, minimizar vulnerabilidades e perdas. Os processos de gerenciamento de risco devem ser realizados periodicamente.
# Conscientização e treinamento
Conscientizar os funcionários, por meio de treinamentos, sobre suas obrigações e responsabilidades relacionadas ao tratamento de dados pessoais. O que implica informar e sensibilizar todos os colaboradores, especialmente aqueles diretamente envolvidos na atividade de tratamento de dados, sobre as obrigações legais existentes na LGPD e em normas e orientações editadas pela ANPD.
# Controle de acesso
Implementar o controle de acesso, uma medida técnica para garantir que os dados sejam acessados somente por pessoas autorizadas. Ele consiste em processos de autenticação, autorização e auditoria. Investir em sistema de controle de acesso aplicável a todos os usuários, com níveis de permissão na proporção da necessidade de trabalhar com o sistema e de acessar dados pessoais. Esse sistema de controle de acesso pode, por exemplo, permitir a criação, aprovação, revisão e exclusão de contas dos usuários.
# Autenticação multifator
Utilizar a autenticação multifator (MFA) para acessar sistemas ou base de dados que contenham dados pessoais. Essa prática consiste em estabelecer uma camada adicional de segurança para o processo de login da conta, exigindo que o usuário forneça duas formas de autenticação.
Evitar o vazamento de dados por funcionários é possível
Tendo em vista o fato de que os colaboradores são a porta de entrada de ataques cibernéticos na empresa, estruturar e implementar a política de segurança de dados e de gestão e controle do acesso à internet é urgente.
Uma maneira de minimizar o impacto do fator humano e prevenir os principais riscos, brechas de segurança, vulnerabilidades da segurança da informação.
Sem dúvida, tão relevante quanto investir em soluções, tecnologias e sistemas de segurança da informação, é treinar e capacitar a equipe para evitar vazamento de dados por funcionários.
Evitar o vazamento de dados por funcionários é possível, acessível e simples. Basta adotar medidas de prevenção contra ciberataques e incidentes de segurança.
Prevenção e informação são palavras-chave contra incidentes de segurança
Estar bem-informado, aprender sobre vazamento de dados e agir de forma preventiva contribuem para reduzir danos, evitar prejuízos e preservar a reputação de sua empresa.
Processos de gestão e controle do acesso à internet não precisam ser difíceis nem complexos. Investir em soluções para prevenir incidentes de segurança da informação é a estratégia mais acessível e inteligente.
É essencial para sua empresa agir de acordo com a legislação (LGPD). Também, para preservar direitos de privacidade e de segurança de dados pessoais de usuários/consumidores/cidadãos.
Na prática, além da prevenção, as melhores soluções do mercado têm tecnologias que contribuem para melhorar os indicadores de produtividade e de lucratividade. Basta pesquisar e comparar.
As dicas, orientações e sugestões foram pesquisadas ou reproduzidas nas seguintes publicações:
Guia Orientativo da Autoridade Nacional de Proteção de Dados (ANPD) – Segurança da informação para agentes de tratamento de pequeno porte (versão 1.0, de outubro de 2021).
Cartilha do Ministério Público de Minas Gerais – Vazamento massivo de dados – O que fazer?
E-book da Incognia – 2021, o ano dos maiores vazamentos de dados no Brasil – Guia de sobrevivência para gestores de risco.
Assine nossa newsletter semanal e receba mais notícias e materiais.
