Qual é o seu ativo mais valioso?

Sem dúvida, a resposta a essa indagação seria: informação. Listas de clientes, informações de produtos, dados de mercado, preço, custo, promoções ou descontos, dados pessoais de clientes, funcionários ou parceiros, emails, contratos, prontuários médicos e a lista poderia seguir indefinidamente. Mas e se essas informações, por algum motivo, não estiverem mais sob controle de sua empresa?

Estudos publicados por diversas organizações e por institutos de pesquisa mostram que a perda de dados é mais comum do que parece: centenas de milhões de registros são comprometidos a cada ano, no mundo inteiro. Milhares de incidentes acontecem diariamente, no entanto apenas alguns se tornam públicos, como o episódio que expôs os dados de 12 milhões de estudantes do Enem. O mais completo estudo desse tipo de incidente foi conduzido pela Digital Forensics Association (DFA) e computou mais de 2.800 incidentes ao longo de cinco anos, envolvendo o vazamento ou o roubo de mais de 720 milhões de registros em 28 países. Para se ter uma ideia da dimensão do problema, o episódio do Enem representaria menos de 2% dessa fatia.

De acordo com a mesma pesquisa, 49% de todos os casos estudados foram ocasionados pela perda de computadores portáteis e, em 95% deles, o notebook foi roubado. A contar pelo número de registros, o vetor que mais influenciou foi o dos “hacks”, compostos por acesso e uso indevido, roubo de credenciais, malware, SQL Injection, com 327 milhões de registros afetados. O segundo maior vetor de perda de dados, porém, foi a categoria Drive/Mídia (discos e pen drives) com quase 150 milhões de registros violados. Observa-se que essa categoria vem ampliando seu grau de vulnerabilidade em decorrência da onipresença dos dispositivos USB, apesar de ser tão facilmente mitigado com a utilização da criptografia.

Os vazamentos não detectados podem ser particularmente perigosos. Não se pode remediar uma situação desconhecida e, talvez, quando o episódio se torne conhecido seja tarde demais. Por isso, políticas de segurança e controles devem ser cada vez mais reforçados. Outro dado preocupante é que, no Brasil, ainda não há legislação que torne obrigatória a divulgação pública por empresas que sofram esse tipo de violação e que as mesmas notifiquem as partes afetadas,  como determina a legislação em 46 dos 50 estados norte-americanos. Porém, mesmo nos Estados Unidos, não existe um órgão que centralize essa regulamentação, e as leis variam muito de estado para estado.

Nesse contexto, o vazamento ou a violação de dados corporativos é uma grave ameaça ao maior patrimônio das empresas, podendo causar danos irreparáveis. E tudo isso pode custar caro: segundo estudo do Instituto Ponemon, nos Estados Unidos, o custo médio das empresas pesquisadas com a perda ou com o roubo de informações foi de US$ 6,75 milhões, gerando uma perda de receita/negócios associada de US$ 4,5 milhões. O maior prejuízo identificado custou US$ 31 milhões para ser remediado.

E seus dados? Estão protegidos?