Diretor do OTRS Group alerta que incidentes de segurança em instituições públicas "podem ser ainda mais graves do que nas empresas"
Nesta terça-feira (28), celebra-se o Dia Internacional da Privacidade/Dia internacional da proteção de dados. A data vem para nos lembrar dos riscos que corremos online, e eles não são poucos.
Há poucos dias, um banco de dados com 20 GB e informações de modelos de um site pornô foi encontrado aberto; a Microsoft passou por um possível vazamento de 250 GB; e golpes de phishing continuam a todo vapor, como já era previsto.
Além disso, a data nos lembra também como ataques cibernéticos podem prejudicar cidades inteiras. Especialistas de segurança do OTRS Group estabeleceu um plano de cinco etapas para instituições públicas se prepararem para os riscos.
Assista também: Como empresas protegem seus dados de hackers?
Em pesquisa do próprio OTRS, 61% dos entrevistados relatam pelo menos um incidente de segurança semanalmente ou com mais frequência.
Como cita Jens Bothe, especialista em segurança e diretor global de consultoria da empresa, o setor público precisa abrir os olhos. “No setor público, as consequências podem ser ainda mais graves do que nas empresas. Portanto, por ocasião do Dia da Privacidade de Dados, gostaria de chamar mais atenção à importância de uma prevenção e preparação abrangentes em relação a possíveis ataques à segurança”, diz.
O Detran, por exemplo, vazou dados de 70 milhões de brasileiros em outubro de 2019. Entre eles, haviam informações de CNH (Carteira Nacional de Habilitação); RG e CPF e outros dados pessoais, informou o Olhar Digital na época.
Vários princípios devem ser estabelecidos antes do desenvolvimento de um plano de gerenciamento de crises. Isso inclui, por exemplo, uma definição (Open Technology Real Services) de responsabilidades, o fornecimento de recursos para o estabelecimento e a formulação de metas de segurança para a instituição.
O objetivo é avaliar quais tipos de ameaças podem ocorrer e qual a probabilidade de acontecerem. Além disso, a análise deve considerar possíveis danos causados por um ataque e como ele pode afetar o funcionamento dos processos indispensáveis.
Na terceira fase, medidas de proteção devem ser identificadas e ponderadas. Por exemplo, a instalação de um firewall, o treinamento de segurança para os funcionários ou a implementação de uma solução como o STORM, que gerencia os processos de segurança, garantindo uma resposta eficaz aos ataques. Uma análise de custo-benefício é útil neste momento.
Apesar dos melhores esforços, as crises não podem ser evitadas. Elas devem, sim, ser gerenciadas por uma equipe profissional de respostas às emergências. Uma de suas tarefas é criar as melhores condições e processos para gerenciar uma crise, bem como estar preparada para responder a um incidente quando chegar a hora.
Situações e condições podem mudar repetidamente, portanto, uma avaliação dos processos deve ser realizada regularmente, de preferência anualmente.
