A segurança cibernética é fundamental para os negócios e 91% das empresas de alta performance investem em planos operacional e estratégico contra ameaças. Além disso, pelo menos 66% das grandes companhias têm os planos analisados e atualizados anualmente. É o que aponta a pesquisa Futuro da Segurança Cibernética 2023, realizada pela consultoria Deloitte.
O levantamento considerou companhias de alta performance aquelas que possuem três conjuntos de práticas: planejamento cibernético robusto em toda a empresa, atividades cibernéticas importantes e engajamento eficaz no âmbito do conselho. Para chegar aos dados, a consultoria ouviu mais de mil lideranças executivas de empresas com mais de US$ 500 milhões de receita no Brasil, Estados Unidos, Canadá, México, Argentina, Reino Unido, França, Alemanha, Holanda, Espanha, Israel, Itália, Austrália, China, Japão, Singapura, Coreia, Índia, Arabia Saudita e Emirados Árabes Unidos.
A aposta em segurança cibernética é necessária porque, segundo a PwC, pelo menos 65% dos executivos entrevistados em uma pesquisa afirmaram temer o ataque de criminosos cibernéticos em 2023. Outros 48% disseram temer ataques de hackers ativistas, 44% temiam problemas com funcionários atuais ou ex-funcionários e 42% temiam a concorrência. Para este ano, pelo menos 38% dos entrevistados disseram temer o agravamento de ataques aos dados armazenados em nuvem.
Com 18 anos de experiência na área de Tecnologia, o especialista em banco de dados Fernando Boschi Thomaz comenta que é essencial ter um plano consistente de segurança dos dados da empresa e, ainda, um plano de contingência para o caso de violação. “Dependendo do tipo de informação extraída de um banco de dados por indivíduos não autorizados, é possível causar um impacto imensurável na reputação da empresa. Dados pessoais de clientes, produtos em desenvolvimentos, dados de faturamento, ou de cartões de crédito são alguns exemplos de dados sensíveis que, quando violados, causam uma grande dor de cabeça”, aponta.
O profissional explica que o temor dos executivos, mencionado na pesquisa da PwC, faz sentido, especialmente no que se refere a ataques de hackers ou violação de dados por funcionários da própria empresa. Segundo ele, há muitos motivos para um funcionário mal-intencionado violar dados de uma empresa e, por isso, o investimento na segurança da informação deve ser tratado com alta prioridade.
“A revisão de acesso ao banco de dados e sistemas, em conjunto com a equipe de segurança da informação, recursos humanos, desenvolvimento de aplicações e outras áreas, deve ser feita constantemente no intuito de limitar o acesso somente às pessoas que realmente têm necessidade de tê-lo”, reforça.
Medidas simples podem garantir a segurança do banco de dados, ensina especialista
Para proteger dados da empresa e, principalmente, de seus clientes, alguns passos simples podem ser adotados pelas equipes de segurança em tecnologia. O especialista em banco de dados Fernando Boschi Thomaz explica que, além de limitar o acesso das informações do banco apenas a pessoas autorizadas, é preciso identificar os dados sensíveis e os dados críticos e, assim, registrar todos os acessos a eles.
Também é importante criptografar os dados para que somente programas específicos possam realizar a leitura deles, especialmente em caso de vazamento. Outra medida necessária é manter as bases de dados “produtivos” e “de teste” em servidores separados.
“Realizar verificações de acesso periódicos com o intuito de identificar usuários com mais privilégios que o necessário também é uma importante medida a ser tomada visando à segurança do banco de dados”, completa ele.
Empresas devem ter planos de contingência para o caso de ataque ao banco de dados
Quando o banco de dados de uma organização é violado – seja por ataque de criminosos cibernéticos ou por funcionários mal-intencionados – é preciso agir rápido, aponta Fernando Boschi Thomaz. Ele comenta algumas estratégias que podem ser usadas para minimizar prejuízos.
“É preciso agir o mais rápido possível para identificar e proteger os sistemas, fazendo a correção de vulnerabilidades que podem ter causado a violação, pois pior que uma violação de dados são várias violações. Enquanto isso, é importante proteger áreas potencialmente ligadas à violação, por exemplo, um data center ou sistemas específicos. Se necessário, bloqueie e altere os códigos de acesso a estas áreas ou sistemas”, aconselha.
O profissional aconselha também que se mobilize imediatamente uma equipe de especialistas para garantir respostas às violações para evitar a perda adicional de dados. “Dependendo do tamanho e da natureza da empresa, esta equipe pode incluir o departamento jurídico, segurança da informação, desenvolvimento de aplicações, operações, recursos humanos, comunicações, relações com investidores e gerenciamento, para citar algumas”, diz.
Outro conselho do especialista em banco de dados é identificar e remover informações postadas na internet relacionadas a violação de dados. Isto pode envolver o site da própria empresa ou sites de terceiros. Ele ressalta ainda que, além da violação do banco de dados por criminosos, é preciso ter um plano de segurança para casos de desastres como incêndios ou inundações.
“Manter uma cópia atualizada de todo o banco de dados é a providência mais tradicional e talvez a com o custo mais baixo. O tempo de recuperação da base de dados utilizando essas cópias vai depender de alguns fatores”, explica ele, acrescentando que também é possível replicar os dados em servidores secundários ou terciários, em localidades diferentes, como outra cidade ou outro país. Neste caso, a proteção do banco de dados requer ações mais complexas, demanda mais recursos e, consequentemente, o custo financeiro dessa operação é maior.