5 boas práticas de governança corporativa quando o assunto é segurança de dados

Compliance
Escrito por Morgana Emanuella Martins Alencar
 
Notebook aberto com vários fios juntos indo em direção a ele

Boas práticas de governança corporativa também devem considerar a segurança de dados na empresa.

Hoje, quando pensamos em Compliance e governança corporativa, um dos maiores ativos é a reputação da empresa, ou seja, a imagem do negócio perante as pessoas colaboradoras que nele trabalham, seus fornecedores, clientes e sociedade de um modo geral.  

Nesse sentido, é impossível não falarmos em segurança de dados, já que, segundo estudo realizado pela Psafe, 2 a cada 3 brasileiros (73,2%) não voltariam a comprar em empresas que tiveram seus dados vazados.  

Além dos impactos negativos à imagem do negócio, com a vigência da Lei Geral de Proteção de Dados (LGPD), o vazamento de dados por empresas pode resultar ainda no pagamento de multas que vão de 2% do faturamento até o limite de 50 mil reais, tornando essa uma preocupação ainda maior para o time de compliance e governança corporativa.  

Outro ponto importante a ser levado em consideração é que o volume de dados armazenados cresceu. Segundo o “Data Attack Surface Report”, pesquisa anual publicada pela consultoria Cyber Security Ventures, até 2025 serão armazenados 200 Zetabytes. 

Ou seja, as empresas estão armazenando um número cada vez maior de dados e, com a tecnologia viabilizando o cruzamento de informações e a obtenção de conclusões cada vez mais assertivas sobre nosso comportamento, os dados passam a ser considerados o novo petróleo. 

No mesmo ritmo, crescem também os ataques hackers. Segundo pesquisa da Kaspersky, entre janeiro e abril deste ano, ataques hackers a pequenas empresas no Brasil cresceram em 41%.

Render 3D de cadeado

Com o crescimento dos ataques hackers, empresas precisam agir de forma proativa na prevenção de problemas.

Com esses ataques atingindo um novo nível de sofisticação, aumentam os riscos à segurança dos dados da empresa e, como consequência, torna-se necessária uma atenção redobrada por parte das pessoas colaboradoras no que se refere às boas práticas de cibersegurança. 

Assim, pensando na importância da segurança de dados para a gestão de riscos e Compliance para empresas pequenas, de médio e grande porte, a seguir traremos uma lista de boas práticas para proteger a integridade da sua empresa. 

5 práticas para evitar o vazamento de dados e proteger a reputação da sua empresa

1) Uso de senhas fortes

Parece algo simples falarmos no uso de senhas fortes, mas segundo estudo feito pela Kaspersky, esse ainda é o foco dos ataques hackers.

Além disso,  programas que visam roubar senhas das pessoas colaboradoras para acessar a rede da empresa ou o internet banking da organização cresceram 143% no Brasil. O país aparece como segundo maior na América Latina a sofrer esse tipo de ataque, atrás apenas do México.

Sendo assim, seguem algumas dicas para fortalecer a gestão de riscos e Compliance para empresas pequenas, médias e grandes quando falamos em cibersegurança:

  • Evite senhas com nomes, combinações simples, datas de aniversário e substantivos;

  • Dê preferência a senhas formadas com caracteres alfanuméricos (letras e números), caracteres especiais e diferentes caixas;

  • Não digite suas senhas em máquinas de terceiros, especialmente fora da empresa;

  • Atualize suas senhas a cada 45 ou 60 dias.

Uma dica bônus, se tratando do uso de senhas fortes, é apostar no uso de cofres de senhas. 

É comum criarmos senhas simples, principalmente pelo medo de esquecê-las. Porém, hoje em dia existem alguns aplicativos que funcionam como um cofre de senhas e resolvem este problema. Ao utilizá-los, você garante maior segurança aos seus dados e deixa de se preocupar em lembrar das tantas senhas que usa no seu dia a dia. 

Alguns exemplos são: 1password, Lastpass, bitwarden, keeper

Aqui, você consegue ver quanto tempo leva para que senhas sejam descobertas por cibercriminosos, a depender dos parâmetros utilizados para sua criação. Spoiler: algumas são descobertas menos de 1s! 

Cofre pequeno trancado

O roubo de senhas corporativas é um dos principais alvos de hackers

2) De olho no phishing 

O phishing consiste em um tipo de cibercrime que chega por meio de sms, e-mail ou aplicativos de mensagens.

Através do phishing, são obtidas ilegalmente informações como número de identidade, senhas bancárias, número de cartão de crédito, etc.

Um alerta importante é que essas mensagens estão se tornando cada vez mais personalizadas, o que dificulta distinguir o real do falso, por isso o cuidado deve ser redobrado no momento de abrir e clicar em links recebidos através desses canais.  

Como boas práticas de governança corporativa e segurança de dados é recomendável não clicar em e-mails que possuam como assuntos, por exemplo:

  • Acesso não identificado no Mercado Pago

  • Boletim de Ocorrência

  • Segue pedido para fatura

  • Mercadoria não entregue pelo correio

3) Mantenha as atualizações em dia 

O estudo da Kaspersky, citado anteriormente, mostrou que outra vulnerabilidade comum é o acesso não-autorizado através de programas como Adobe, Microsoft Office e sistemas operacionais (Windows, iOS, Android).

Ao infectar sites muito acessados (como portais de notícias e de grandes lojas), hackers aproveitam vulnerabilidades existentes nesses programas para acessar os dispositivos utilizados. 

Aqui, a dica é manter seu antivírus e demais programas atualizados. Caso perceba que não está funcionando, entre em contato o quanto antes com a equipe de TI. 

4) Utilize a autenticação de dois fatores e SSO

Conhecido também pela sigla 2FA, do inglês "two-factor authentication", a autenticação de dois fatores oferece uma camada extra de segurança, confirmando a identidade da pessoa usuária no momento do login. 

A pessoa usuária precisa fornecer uma segunda informação para acessar a conta após inserir login e senha, e são utilizados diferentes métodos de identificação como: códigos via SMS, PIN, segunda senha, token e biometria.

Ao utilizar a autenticação de dois fatores, você evita o acesso às contas mesmo quando a senha é vazada.

Já o SSO, ou Single Sign-On, é usado para proteger os dados de pessoas usuárias dos sistemas e dos softwares envolvidos no processo de identificação de informações e de liberação de acesso.

 
 

5) Evite utilizar redes abertas/públicas

Por fim, uma última dica para ter em mente quando falamos em boas práticas de governança corporativa e segurança de dados, é evitar o uso de redes abertas ou públicas. 

Isso porque redes públicas não contam com protocolos de segurança simples, como firewalls e criptografia de dados. Ou seja, elas fornecem acesso facilitado para as pessoas usuárias, mas também para os hackers

Assim, ao utilizá-las, você se torna um alvo fácil para hackers que desejam instalar malwares nos seus dispositivos, com o intuito de sequestrar dados pessoais. 

Cultura de proteção de dados: um imperativo para a gestão de riscos e compliance em empresas pequenas, médias e de grande porte

Ataques de engenharia social são aqueles em que são utilizadas diversas estratégias que possuem o objetivo de, a partir da interação humana, enganar e levar as pessoas a desrespeitarem regras básicas de cibersegurança. 

Sendo esse o maior gap presente nas organizações, zelar pela integridade e segurança dos dados necessariamente passa pela realização de treinamentos internos a respeito do tema. 

Esse esforço de educação e conscientização contribui para a construção de uma cultura de proteção de dados, em que as pessoas colaboradoras entendam a sua importância, notificando os responsáveis e agindo proativamente diante de qualquer possível ameaça.  

Nesse sentido, é importante que todas as pessoas colaboradoras sejam orientadas a serem protagonistas no que diz respeito à proteção de dados da empresa.

Se você desconfiar que outra pessoa colaboradora esteja compartilhando informações ou dados da empresa ou, ainda, não esteja cumprindo com a política de segurança da sua empresa, o recomendado é fazer um relato no Canal de Denúncias da sua empresa ou comunicar à liderança. 

Aqui, não se trata de ser “dedo duro”, até mesmo porque algumas ações são resultado de hábitos antigos e falta de conhecimento em cibersegurança - e da intenção de colocar a segurança dos dados em risco.  

Assim, ainda que você não tenha certeza se essa pessoa está cometendo uma infração à Política de Privacidade da sua empresa,  um relato feito de boa-fé às áreas responsáveis é uma importante medida para evitar problemas mais graves no futuro, como uma multa por vazamento de dados e danos à reputação do negócio.

Como vimos até aqui, há uma série de boas práticas para evitar o vazamento de dados, fáceis de serem colocadas em prática no dia a dia das equipes. É essencial que todas as pessoas colaboradoras entendam a sua importância para a construção de uma cultura organizacional com foco na proteção de dados.  

 
 
Morgana Emanuella Martins Alencar
Anterior

Compliance comportamental: moldando uma cultura de conformidade
Próximo

Perguntas e provocações sobre treinamentos de Compliance com Cris Amaral