Equilibrar a privacidade e o risco para a empresa
Manter os dados pessoais privados e os recursos da empresa seguros são dois dos principais objetivos de um programa corporativo de segurança cibernética. Em um artigo anterior, discutimos o equilíbrio entre esses objetivos e o valor de buscar uma estratégia de segurança orientada pela privacidade.
Neste artigo, vamos nos aprofundar nos riscos e custos de não investir em segurança e em como os líderes de segurança e privacidade podem ser parceiros poderosos para convencer suas organizações da importância do investimento em segurança. Quando líderes de segurança e privacidade trabalham juntos, eles conseguem encontrar as ferramentas de segurança certas para proteger uma organização contra os riscos de violações de dados e tomar uma decisão informada sobre quais soluções são a escolha certa para a empresa.
Onde está o verdadeiro dano?
Idealmente, os líderes de segurança e privacidade de uma organiza�ção devem trabalhar em estreita colaboração. A melhor maneira de garantir a privacidade dos dados corporativos e de clientes é implementar um programa eficaz de segurança de dados.
Os líderes de privacidade reconhecem o valor das medidas de segurança para proteger os dados de clientes. No entanto, em alguns casos, pode ser difícil para um líder de segurança vender a um líder de privacidade os benefícios de determinadas tecnologias de segurança. Sem um entendimento claro de como uma solução de segurança funciona e qual é o seu objetivo, pode parecer um risco à privacidade dos dados. Por exemplo, um líder de privacidade pode ficar bastante cético quando seu líder de segurança propõe a integração de uma ferramenta de segurança de e-mail que verifica todos os e-mails de uma empresa para impedir tentativas de phishing ou usa um gateway seguro da web que pode permitir que a equipe de TI de uma empresa veja qual site os funcionários visitam em seus computadores de trabalho enquanto tenta impedir que os funcionários visitem sites que hospedam malware.
Ao pensar em investimentos em segurança para uma rede corporativa, é importante considerar: qual é o verdadeiro dano à privacidade contra o qual a organização está tentando se proteger? O líder de privacidade de uma empresa precisa pesar os danos à privacidade infligidos aos funcionários de uma empresa a partir de uma máquina que se limita a escanear os e-mails da empresa para dizer "Sim, bom" ou "Não, ruim" em relação aos danos que poderiam ocorrer à empresa se tais proteções de segurança não estivessem em vigor. Se essas proteções não estiverem em vigor, um funcionário pode facilmente se tornar vítima de uma exploração de phishing que resulta no fato de um agente de ameaça usar as credenciais desse funcionário para acessar sistemas internos e exfiltrar os dados pessoais confidenciais dos clientes da empresa.
Na minha opinião, ter uma noção muito forte de quais danos à privacidade são o maior risco para uma organização é essencial para implementar uma segurança eficaz baseada em privacidade. Em muitos casos, os benefícios do investimento em segurança superam os possíveis custos. No exemplo acima, vale a pena notar que os funcionários na maioria das jurisdições do mundo têm poucas proteções de privacidade nos e-mails que enviam para o sistema de uma empresa. Mas se os dados pessoais dos clientes de uma empresa forem exfiltrados, uma empresa poderá enfrentar obrigações de notificação de violação de dados, penalidades regulatórias e danos contratuais.
Calcular o custo de investir pouco em segurança
As soluções corporativas de segurança cibernética são projetadas para lidar com uma variedade de ameaças diferentes para uma organização. Por exemplo, uma ameaça comum é a possibilidade de violações de dados, que tiveram um custo médio de US$ 4,45 milhões em 2023. No entanto, esse número não leva em conta os danos à reputação das empresas que sofrem as violações e o impacto sobre os clientes cujos dados foram violados.
Embora não possamos saber o número de violações de dados que uma organização desprotegida pode sofrer em um determinado ano, podemos estimar. Por exemplo, 85% das empresas sofreram pelo menos um ataque de ransomware no ano passado e 24% das violações de dados são causadas por ransomware. Isso significa que há uma boa chance de que uma empresa sofra um ataque de ransomware e violações de dados não ransomware dentro de um ano.
Embora esta seja apenas uma estimativa aproximada, ela demonstra que o possível custo anual para uma empresa subprotegida é provavelmente de dezenas de milhões, se não mais. Além disso, os possíveis impactos dos incidentes de segurança cibernética nos clientes de uma organização são incalculáveis. Ao nos aprofundarmos nos detalhes das principais violações de dados, vocês descobrirão rapidamente que a maioria foi possível devido a uma série de problemas fundamentais de segurança. Senhas fracas, certificados expirados e outras falhas na higiene de segurança básica são frequentemente a causa raiz de grandes incidentes de segurança. Soluções de segurança cibernética que ajudam a mitigar esses riscos e a proteger contra os tipos mais comuns de violações de segurança como antimalware,verificação de e-mail e o controle de acesso Zero Trust, oferecem possíveis benefícios substanciais à empresa e aos seus clientes.
Investir em sistemas de segurança em camadas reduz o risco
Em muitos casos, os benefícios de uma nova solução de segurança são claros: ela fornece uma certa redução no risco de um ataque cibernético. A prevenção até mesmo de um único ataque cibernético pode proporcionar uma economia de custos significativa para a organização. De acordo com os números, se o custo anual de uma solução de segurança cibernética for menor do que a economia prevista, então vale a pena o investimento.
Porém, é importante investir no fornecedor de segurança certo. Sempre que um fornecedor tem acesso aos sistemas e dados de uma empresa, essa empresa deve avaliar se as medidas de segurança do fornecedor são suficientes. Existem vários exemplos em que os fornecedores de segurança foram vítimas de ataques de segurança cibernética e, como resultado, os sistemas e dados de seus clientes foram expostos a riscos.
As recentes violações da Okta são um excelente exemplo dos possíveis impactos que uma violação de um fornecedor de segurança pode ter em seus clientes. Muitas organizações usam a Okta como um provedor de identidade para implementar o logon único (SSO). Com acesso ao ambiente da Okta, um invasor poderia obter acesso às contas de usuário dos clientes da Okta. Se esses clientes não tiverem camadas adicionais de proteção de acesso, eles podem ficar vulneráveis a hackers que podem roubar dados, implantar malware ou realizar outras ações maliciosas.
Ao avaliar os riscos de privacidade dos investimentos em segurança, é importante considerar o histórico de segurança e de certificações de uma organização. Por exemplo, em 2020, apenas 43,4% das empresas tinham conformidade total com o PCI-DSS em uma avaliação do meio do ano, indicando que os controles de segurança podiam falhar entre as auditorias.
Por outro lado, as empresas que buscam ativamente certificações opcionais, como ISO 27001 e 27018, SOC 2 e outras, têm menos probabilidade de sofrer dessas lacunas de segurança que as colocam e a seus clientes em risco. A Cloudflare mantém a conformidade com as certificações obrigatórias e opcionais e realizou auditorias independentes de seu serviço resolvedor de DNS 1.1.1.1, para o qual não existe certificação aplicável. A Cloudflare também aproveita tecnologias de segurança, como criptografia de ponta a ponta, localização de dados e gerenciamento de acesso Zero Trust, para maximizar a privacidade dos usuários e cumprir os requisitos exclusivos de leis e regulamentos regionais de privacidade de dados.
Avaliar os riscos e os benefícios
Embora o ROI do investimento em segurança possa ser difícil de calcular, os riscos e benefícios são claros. Práticas de segurança cibernética fracas significam que uma empresa quase certamente enfrentará uma violação de dados mais cedo ou mais tarde, e a única questão é a quantidade de dólares perdidos, danos à reputação e danos downstream aos indivíduos que confiaram seus dados pessoais à empresa .
Investir em segurança é quase sempre uma boa ideia do ponto de vista da privacidade de dados e do gerenciamento de riscos. Minimizar os riscos de privacidade do investimento em segurança amplifica seus possíveis benefícios de privacidade. Os líderes de segurança e privacidade não apenas têm a evidência de violações caras de dados pessoais e de segurança do seu lado, mas, ao defender investimentos adicionais em segurança, também podem mudar esse equilíbrio ainda mais a seu favor, procurando soluções com boa segurança, privacidade, e histórico de conformidade.
Uma segurança orientada pela privacidade é um princípio fundamental da filosofia da Cloudflare. Nossa Central de confiança expressa nosso compromisso de sermos o mais seguros e transparentes possível, fazendo o possível para demonstrar conformidade com todos os regulamentos e padrões aplicáveis. Nossos produtos são projetados para aproveitar nossa visibilidade única do cenário de ameaças cibernéticas e as tecnologias de segurança mais recentes para identificar possíveis ameaças e, ao mesmo tempo, minimizar o acesso a dados confidenciais. Simplifique e ofereça segurança em qualquer lugar com a Cloudflare.
Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.
Saiba mais sobre esse assunto
Saiba mais sobre como a Cloudflare permite uma proteção de dados mais eficaz, mais produtiva e mais ágil com o resumo da proteção de dados unificada em qualquer lugar .
Autoria
Emily Hancock — @emilyhancock
Diretora de Privacidade da Cloudflare
Principais conclusões
Após ler este artigo, você entenderá:
A importância da colaboração entrea segurança e a privacidade
O custo do baixo investimento em segurança
Os benefícios de um programa de segurança orientado pela privacidade
Recursos relacionados:
Em busca de uma segurança que coloca a privacidade em primeiro lugar
Proteção de dados | Mitigar riscos e fortalecer a conformidade