Cinco riscos de segurança para as empresas de serviços profissionais

Os ciberataques a empresas estão no seu ponto alto¹, sendo as empresas de serviços profissionais as que mais correm risco devido ao amplo volume de informação de clientes com que lidam. Por isso, quisemos analisar os 5 riscos que enfrentam as empresas de serviços profissionais, os seus potenciais impactos e como a gestão da segurança na impressão pode ajudar a reduzir estes riscos.

As empresas de serviços profissionais são considerados de ‘entrada fácil’ para a informação confidencial dos seus clientes, porque costumam ter uma segurança de dados menos sofisticada², sendo a informação financeira uma preocupação em particular. De facto, diversos estudos afirmam que os dados financeiros se encontram entre os de maior risco³. Apenas no âmbito da contabilidade, estima-se que o número de incidentes em matéria de ciber segurança multiplicou-se por quase 10 entre 2007 e 2017, gerando uma perda média de mais de 700.000 euros².

Portanto, quais são os 5 riscos que poderiam fazer as empresas perder dados? A maioria das falhas de segurança nos dados financeiros devem-se a um ou à combinação de vários fatores, entre os quais se encontram:

1. Palavras-passe débeis ou roubadas: Os sistemas são tão fortes como a palavra-passe mais débil, por isso os maus protocolos de criação de palavras-passe abrem as portas aos criminosos de dados. Senhas fracas como “Password1’ são praticamente inúteis, mas inclusivamente as palavras-passe mais complexas poderiam ser hackeadas por programas sofisticados que automaticamente realizam milhões de combinações.
2. Utilizadores maliciosos: Os utilizadores com acesso a informação confidencial poderiam sentir-se tentados a fazer um mau uso dos seus privilégios para seu benefício ou vingança. Uma política de controlo de acesso diligente ajuda a controlar e rastrear esta ameaça. As revisões regulares de autenticação e os protocolos de autorização limitam o acesso dos utilizadores e minimizam qualquer risco na segurança dos dados.
3. Erros de utilizadores: Uma falha de dados não tem que vir necessariamente de um ato deliberado dos funcionários. Sem dar conta, estes podem, por exemplo, colocar em cópia a pessoa errada num email, anexar um documento errado ou enviar informação confidencial para uma impressora desprotegida, onde qualquer pessoa pode ver ou inclusivamente levar. Por isso a formação é fundamental: partilhar boas práticas – desde advertências sobre a segurança na impressão de dados a conselhos sobre como detetar emails de phishing – contribuem para que os utilizadores se mantenham alerta relativamente a esses riscos.
4. Vulnerabilidades do software: Os hackers estão sempre à procura de vulnerabilidades nas aplicações, e os fornecedores de software estão constantemente a trabalhar para reparar essas vulnerabilidades através de atualizações de segurança. As empresas deviam levar a cabo as atualizações o mais rápido possível, já que os hackers vão dar mais atenção aquelas que são mais lentas e estejam mais expostas aos ataques.
5. Malware: Uma empresa de média dimensão sofre até 22 ataques de malware por ano³. Este software malicioso gera vulnerabilidades e infiltra-se nos sistemas para interromper o negócio ou roubar dados. Para prevenir isto, é necessária uma estratégia proativa que ensine os utilizadores a evitar todos os links, mails e sites suspeitos e a pensar bem antes de descarregar qualquer software. A nível de negócio, seria recomendável investir num software antimalware, assegurar que se instalam todas as atualizações e correções de segurança, assim como manter o firmware corretamente configurado e sempre ativo.

Quanto custa perder dados?

Tendo em conta que os ataques podem vir de múltiplas frentes, esperar o melhor não é uma opção. A chegada do Regulamento Geral de Proteção de Dados da União Europeia (RGPD) em 2018, mostrou que a falta de controlo sobre os riscos dos dados pode sair muito caro às empresas, tanto em termos de danos à sua reputação como de severas sanções financeiras.

O RGPD obriga as empresas a proteger os seus dados, com multas até 20 milhões de euros ou de 4% da faturação global (o que for maior) para aqueles que o violem. E as estatísticas assustam: nos primeiros meses depois do RGDP entrar em vigor, a magnitude do problema foi evidente, com 160.000 infrações em todo o Espaço Económico Europeu⁴.

Quais foram as 10 maiores multas do RGPD?

As multas impostas por infrações de dados em 2019 indicam que os reguladores foram mais severos ao penalizar as empresas que não protegem os dados dos seus clientes. As dez maiores infrações do RGPD em 2019 acumularam multas num total de 402,6 milhões de euros⁵.

Apesar da chegada do RGPD, as infrações de dados cresceram 33% entre 2018 e 2019⁶. E esta é uma ameaça que pode vir dos lugares mais inesperados.

Impressoras: um ângulo morto de segurança

Segundo um estudo recente, as vulnerabilidades estão a crescer como consequência das práticas de segurança débeis que encontramos nos equipamentos conectados⁷ . 11% de todos os incidentes de segurança estão relacionados com as impressoras, com cerca de 59% de empresas que experimentaram pelo menos uma perda de dados como consequência da segurança na impressão durante o último ano⁸.

Os equipamentos instalados em empresas de serviços profissionais podem correr o risco de dar como garantida a segurança, como tal a causa mais provável de uma violação na segurança dos dados nas impressoras é devido a comportamentos acidentais dos colaboradores¹.

Mas com apenas um quarto dos responsáveis de TI a investir na segurança da impressão, mais de metade que não utiliza a autenticação e três quartos que afirmam que nunca investiram em soluções de encriptação documental, é evidente que a segurança dos dados em impressão continua a ser um verdadeiro ponto frágil⁹.

Por isso, recomendamos às empresas de serviços profissionais que incorporem soluções de impressão que utilizem ferramentas destinadas a melhorar a segurança como, por exemplo, a encriptação SSL para proteger as redes de comunicações IP, o controlo de portas e protocolos, sistemas de rastreabilidade das impressões e documentos que se digitalizam, assim como um PIN ou cartão de identificação pessoal NFC para assegurar que os documentos são recolhidos e visualizados pelos utilizadores autorizados.

Fontes:

¹ https://www.interpol.int/es/Noticias-y-acontecimientos/Noticias/2020/Un-informe-de-INTERPOL-muestra-un-aumento-alarmante-de-los-ciberataques-durante-la-epidemia-de-COVID-19

² Clyde & Co: "Cyber and privacy risks for professional firms" - 2017

³ Verizon: "2018 Data Breach Investigations Report"

⁴ www.statista.com/chart/20566/personal-data-breaches-notified-per-eea-jurisdiction/ - Jan 21, 2020

⁵ https://www.precisesecurity.com/articles/top-10-gdpr-breaches-in-2019-cause-e402-6-million-fines/

⁶ Ponemon Institute/IBM Security: "Cost of a Data Breach Report" – 2019

⁷ National Cyber Security Centre/National Crime Agency 'The cyber threat to UKbusiness' -2016/2017

⁸ Quocirca: “Global Print Security Landscape” -2019

⁹ Brother: "The print security blind spot"