As empresas geralmente possuem uma abundância de informações de clientes, sendo altamente suscetíveis a incidentes envolvendo dados pessoais, que podem ser vazados por falhas na segurança cibernética ou até pelos próprios funcionários da empresa.
Diante desse cenário, a falta de um treinamento em proteção de dados e, consequentemente, a falta de uma cultura de proteção de dados podem ser considerados fatores agravantes para o aumento dos riscos envolvendo incidentes com dados pessoais.
A empresa de segurança cibernética, Cyberhaven, acompanhou cerca de 1,4 milhão de pessoas que lidam com informações confidenciais das empresas que trabalharam durante o período de janeiro a 30 de junho de 2022. O estudo foi realizado com o intuito de descobrir quando, como e quem está envolvido na exfiltração de dados.
É importante destacar que o vazamento de dados ocorre quando os dados são transferidos para fora da organização de formas não aprovadas. Assim, foi verificado na pesquisa que 2,5% dos funcionários filtraram informações confidenciais em um mês. Entretanto, quando a pesquisa foi estendida para seis meses, um em cada 10 funcionários (9,4%) fizeram o mesmo ato.
Dentre todos os funcionários que vazaram os dados, cerca de 1%, os chamados “super ladrões” foram responsáveis por 7,7% dos incidentes. Além disso, 34,9% dos incidentes foram causados por 10% dos funcionários.
Funcionários demitidos são mais propensos a vazar dados
A pesquisa verificou também que, durante o período entre a notificação de demissão de um funcionário e seu último dia, houve um aumento de 37,7% no número de incidentes de vazamentos de dados em comparação com a linha de base. Ademais, durante o período de duas semanas antes da notificação do funcionário, observou-se um aumento de 83,1% nos incidentes.
Em seu parecer, o relatório conclui sobre essa última análise: “Parece que alguns funcionários descobrem ou percebem sua demissão iminente e decidem coletar dados confidenciais da empresa para si, e outros podem ser notificados de que foram demitidos e coletar dados antes que seu acesso seja desativado”.
Qual o método de vazamento mais utilizado?
O vazamento por e-mail corporativo pode incluir funcionários enviando dados confidenciais da sua conta do trabalho para seus endereços de e-mail pessoais ou funcionários enviando acidentalmente informações confidenciais para o destinatário errado, por exemplo, quando o cliente de e-mail preenche automaticamente o destinatário e, com pressa, eles o enviam, o relatório notado.
Os vetores de vazamento mais comuns são armazenamento em nuvem pessoal (usado em 27,5% dos incidentes), webmail pessoal (usado em 18,7% dos incidentes) e e-mail corporativo para um destinatário inadequado (resultando em 14,4% dos incidentes).
Aplicativos de mensagens como WhatsApp e Signal são usados em 6,4% dos incidentes. Eles também configuram uma preocupação crescente porque o uso de criptografia de ponta a ponta dificulta que as organizações saibam o que está sendo enviado por meio deles. Entre as nuvens utilizadas para o vazamento de dados, o Dropbox foi usado em 44,8% dos incidentes de exfiltração e o Google Drive foi usado em 25,5% dos incidentes.
Através da pesquisa, chegou-se à conclusão de que os dados de clientes foram filtrados por funcionários em 44,6% dos incidentes confirmados. Em explicação dada pela Cyberhaven, ela entende que “Uma explicação possível é que os funcionários não entendem a sensibilidade dessas informações da mesma maneira que entendem, digamos, uma fórmula de produto ou um registro médico”.
O segundo dado com maior risco é o código-fonte, que responde por 13,8% dos dados vazados. A maioria das empresas desenvolve seus próprios aplicativos e algoritmos, que usam para obter uma vantagem competitiva. Perder seu código-fonte para um concorrente pode ter um impacto material em seus negócios, observou o relatório.
Quais os benefícios do Treinamento em Proteção de Dados para as empresas?
O investimento em treinamentos da sua equipe para a proteção de dados pessoais é uma forma de incorporar uma cultura de proteção de dados e de se destacar da concorrência, fortalecendo a marca e reputação da empresa. Veja, abaixo, alguns benefícios do treinamento de proteção dados:
Minimização de riscos: Auxilia na redução de riscos de tratamento indevido de dados pessoais;
Responsabilidade: Ajuda na identificação e compartilhamento de responsabilidades no tocante ao tratamento de dados pessoais;
Alinhamento de ações: Proporciona uma melhoria contínua, otimização dos processos e economia de tempo;
Cultura de Proteção de dados: O Treinamento é fundamental para incorporar a proteção de dados à cultura organizacional. Preparação das equipes: Instrui as equipes para saberem o que é um dado pessoal, dado pessoal sensível, quando deve acionar o DPO, o que fazer em casos de incidentes de segurança e a quem acionar primeiro. Além disso, prepara as equipes de vendas com boas práticas em privacidade para evitar demandas judiciais perante clientes e consumidores.
Desse modo, o treinamento em proteção de dados e a criação de políticas internas bem definidas são algumas maneiras de mitigar riscos envolvendo o vazamentos de dados e os colaboradores e parceiros de uma empresa.
