Funcionários e CIOs não podem concordar sobre quem é o culpado pelo constante torrent de violações de dados internos
Com muita freqüência, quando uma grande organização é atingida por uma violação de dados, é rápido anunciar que uma investigação está em andamento e que seus especialistas em segurança, juntamente com especialistas externos e agentes da lei tentarão fazer tudo o que puderem para descobrir quem é responsável pelo incidente. As pessoas e as organizações estão tão concentradas em descobrir quem fez isso às vezes que esquecem qual deve ser sua verdadeira prioridade - aprender quantas pessoas foram afetadas e descobrir o que pode ser feito para proteger seus dados e privacidade.
Uma investigação completa é, no entanto, uma parte vital da resposta a um incidente de segurança cibernética. Para evitar vazamentos futuros de dados, as organizações devem descobrir o que aconteceu e tirar todas as conclusões necessárias.
Estamos vendo cada vez mais violações em que os dados vazam sem ajuda externa. Nesses casos, descobrir onde o erro foi cometido é ainda mais importante. Infelizmente, uma pesquisa encomendada pela empresa de segurança Egress mostra que, na maioria das vezes, isso é muito mais difícil do que parece.
Índice
Líderes e funcionários de TI entrevistados na tentativa de descobrir quem é o responsável pelo estado da segurança dos dados
O relatório é chamado Insider Data Breach 2019 e, como o nome sugere, ele se concentra em incidentes de segurança de dados que acontecem sem a interferência de hackers. A pesquisa foi conduzida por Opinion Matters e envolveu 500 líderes de TI (Chief Information Officers) e pouco mais de 4.000 funcionários nos EUA e no Reino Unido.
Os entrevistados foram questionados sobre o modo como o empregador lida com os dados. Eles disseram aos pesquisadores se as empresas para as quais trabalham sofreram uma violação recentemente e se esperam ou não uma no futuro. Eles deram opiniões sobre quem é responsável por quê e se os procedimentos e políticas estão tão claramente quanto deveriam. Acontece que há um enorme abismo entre o que os líderes de TI e os funcionários regulares pensam.
Ninguém parece concordar com nada
Parece que os CIOs não têm muita confiança na capacidade dos funcionários de manter as informações seguras. Um colossal 95% deles acha que os insiders podem realmente colocar em risco os dados da organização. Em suas mentes, eles têm uma boa razão para isso.
79% dos líderes de TI entrevistados acreditam que, durante o ano anterior, os funcionários colocaram em risco as informações da empresa e 61% pensam que o fizeram deliberadamente. 60% dos CIOs entrevistados acreditam que suas organizações sofrerão algum tipo de violação de dados durante os próximos doze meses e quase metade (46%) acha que a violação será maliciosa.
Quando os funcionários de nível inferior conseguem responder às perguntas, as coisas parecem muito diferentes. Mais de 90% deles dizem que nunca violaram a política de sua organização quando se trata de processar informações. E daqueles que admitem compartilhar dados de maneira insegura, mais da metade afirma que fez isso porque não recebeu as ferramentas certas para fazê-lo corretamente.
Em outras palavras, a culpa é jogada como uma batata quente e, ao mesmo tempo, o fluxo interminável de violações de dados mostra que a situação está longe de ser ideal. Existe uma maneira de sair disso?
Proteger os dados da empresa deve ser um processo coordenado
Manter as informações comerciais seguras hoje em dia é um processo complicado e contínuo que depende de muitas pessoas diferentes, o que significa que, quando as coisas dão errado, muitas vezes é difícil apontar o dedo para uma única pessoa e dizer "A culpa é deles".. O fato é que todos, desde os funcionários de nível C até a pessoa que copia as informações de um banco de dados para outro, devem estar totalmente cientes de quão importantes são os dados e quais são as consequências de perdê-los.
Os CIOs devem trabalhar com funcionários de nível inferior para criar políticas que protejam os dados e garantam um fluxo de trabalho tranquilo ao mesmo tempo. Os funcionários devem ser ensinados a tirar o melhor proveito dessas políticas e, crucialmente, devem ser informados do que poderia acontecer se não os cumprissem.
Infelizmente, dada a grande lacuna nos números citados no relatório Egress Insider Data Breach 2019, prever uma melhoria significativa no futuro próximo seria pouco mais do que uma ilusão.