O objetivo da Safetica sempre foi criar um mundo em que as organizações, por maiores ou mais pequenas que sejam, não tenham de se preocupar com a perda de dados. Um mundo onde o fardo de proteger informação sensível contra ameaças em constante evolução é levantado e transferido para um parceiro de confiança e competente. Uma das indústrias mais vulneráveis no domínio da proteção de dados são os serviços financeiros. No setor financeiro, o custo médio estimado de uma violação de dados (com base no Cost of a Data Breach Report 2022 da IBM) foi de 5,97 milhões de dólares — o segundo mais elevado, apenas atrás do setor da saúde. Não é uma quantia pequena!
Porque é que as instituições financeiras têm de prestar especial atenção aos seus sistemas de gestão da proteção da informação, e porque é que pensamos que a Safetica deve ser o seu parceiro nesse caminho?
As instituições financeiras têm acesso a um baú de tesouros sem fundo de informação altamente sensível — números de cartões de crédito, números de segurança social, datas de nascimento, endereços de e-mail e números de telefone. Se essa informação se perder ou for roubada, pode causar todo o tipo de problemas — de processos judiciais e perda de confiança dos clientes a consequências financeiras graves. Já para não falar da enorme dor de cabeça da recuperação após a perda de dados, algo de que nem todas as organizações são capazes.
Implementar processos e sistemas para manter os dados seguros é provavelmente uma das primeiras coisas que uma instituição financeira faz, mas fazê-lo bem não é fácil. Há tanta coisa em que pensar!
Quando começam a aparecer fissuras no sistema, geralmente já é tarde para tentar corrigi-las sem alguma perda de dados. A segurança de dados precisa de ser o mais à prova de falhas possível desde o início.
Para ter a certeza absoluta de que uma organização está a fazer tudo o que pode para proteger os dados que lhe foram confiados, há um espectro tão amplo de variáveis a ter em conta que, sem ajuda especializada, pode facilmente tornar-se esmagador.
As soluções de data loss prevention (DLP) podem evitar acidentes, mas também rastrear perdas ou roubos de dados indesejados se acontecerem (porque nem tudo pode ser previsto), reportá-los e melhorar as políticas existentes para garantir que o mesmo erro não se repete no futuro.
Quando falamos de uma violação de dados, referimo-nos a uma violação de segurança durante a qual uma pessoa não autorizada (ou grupo) consegue de alguma forma deitar a mão aos dados sensíveis de uma organização, seja para uso pessoal ou, normalmente, com intenção maliciosa. Isso pode significar que os dados são vistos, copiados ou de outra forma roubados, por vezes com a ajuda — intencional ou não — de alguém de dentro da organização afetada.
Segundo o relatório anual do ITRC sobre violações de dados, 92 % dos incidentes de comprometimento de dados no primeiro trimestre de 2022 foram resultado de alguma forma de ciberataque, e segundo o relatório Verizon Data Breach , a causa de 82 % de todas as violações de dados em 2021 foi o erro humano.
Algo tão simples como iniciar sessão no sistema da organização a partir de uma rede desprotegida durante o trabalho remoto, ter o portátil roubado, cair num e-mail de phishing ou simplesmente não ser cuidadoso o suficiente com a informação de acesso pode ser exatamente a oportunidade pela qual um ciberatacante esperava.
E assim, é óbvio que proteger a informação sensível de uma organização contra violações de dados não é apenas ter um sistema de TI estelar — é muito mais do que isso.
Nenhum firewall ou programa vai proteger uma organização da maior ameaça que existe — os humanos. Os humanos são inteligentes, mas cometem erros, o que é como uma espada de dois gumes que pode prejudicar qualquer instituição financeira.
Cada organização, não apenas no setor financeiro, precisa de pôr em prática um sistema de gestão da segurança da informação (ISMS) bem pensado, que inclua políticas, procedimentos, medidas técnicas e formação dos colaboradores, entre outras coisas. Tudo isto para se proteger não só dos humanos ciberatacantes, mas também daqueles que cometem erros (ou seja, todos os humanos).
Existem enquadramentos que uma organização pode usar para apoiar a criação e manutenção do seu ISMS. Por exemplo, a ISO 27001 é uma metodologia que visa criar e implementar um ISMS eficaz. Não é tarefa fácil sem ajuda profissional — não são instruções passo a passo que se seguem ao configurar um ISMS, é um guia abrangente que cada organização terá de adaptar ao que é ou não aplicável a si.
Por falar em regras e procedimentos, não são apenas os passos que uma instituição financeira escolhe dar para proteger dados — algumas políticas são definidas em documentos regulamentares e padrões de segurança obrigatórios.
Por exemplo, o Payment Card Industry Data Security Standard (PCI DSS, ou PCI para abreviar) aplica-se globalmente a todas as entidades que processam, transmitem ou armazenam dados de titulares de cartões, independentemente da dimensão ou do número de transações. Isso significa que, no setor financeiro, se aplica a todos.
Existem 4 níveis de conformidade com o PCI DSS, e cada nível terá requisitos diferentes para validação e relato PCI — quanto maior a organização, mais pesados os requisitos.
No entanto, não é uma situação "tamanho único" nem uma simples lista para ir riscando e dar por concluída. Muitas organizações financeiras consideram desafiante cumprir os requisitos de segurança do PCI DSS. Mais ainda quando percebem que isto não é um obstáculo único, mas um esforço contínuo.
O incumprimento desta e de outras regulamentações pode resultar em coimas, auditorias e, claro, violações de dados e tudo o que estas acarretam.
No vasto e interligado mundo da prevenção da perda de dados, os sistemas de DLP e os serviços profissionais de conformidade da Safetica vão sentir-se como um suspiro de alívio. Esforçamo-nos por trazer sentido e clareza à proteção de dados, por isso, acima de tudo, as soluções da Safetica são fáceis de compreender, fáceis de integrar e economicamente vantajosas. E temos orgulho nisso.
Por exemplo, as nossas soluções Next-gen SaaS Safetica NXT vêm com modelos integrados e automação que os administradores de TI podem gerir dentro das suas atuais capacidades, pelo que não há trabalho extra para os colaboradores. Para a prevenção de dados all-in-one Safetica ONE, fornecemos o DLP empresarial on-prem mais fácil de implementar e integrar, integrações com terceiros e suporte de conformidade regulamentar.
Acreditamos que a segurança nunca deve ser à custa da produtividade, por mais complexo que seja o ecossistema da sua organização. Garantimos trabalhar com as organizações de uma forma que retira o stress, e não que o acrescenta.