Você já ouviu falar sobre as leis de Newton que relacionam corpos em repouso e corpos em movimento. Um resultado do século 21 é proteger informações confidenciais quando elas estão inativas na sua rede e implementar proteção eficaz quando elas estão em movimento – por exemplo, quando um cliente transfere informações confidenciais do seu computador para o seu sistema. Empresas cautelosas aconselham Comece com Segurança, armazenando informações pessoais confidenciais de forma segura e protegendo-as durante a transmissão.
Um truque é surpreendentemente simples. Os hackers não podem roubar o que você não possui, portanto, colete e mantenha informações confidenciais somente quando precisar delas. Pedir aos clientes informações confidenciais com a possibilidade de você usá-las algum dia não é uma política sólida. Uma prática sábia é limitar sensatamente o que você coleta e armazená-lo com segurança. É também uma abordagem consciente dos custos, pois é mais barato proteger uma pequena quantidade de dados armazenados em um local designado, em vez de uma série de itens confidenciais espalhados pela sua empresa.
Uma importante ferramenta de segurança é a criptografia. Criptografia é o processo de conversão de informações para que apenas a pessoa (ou computador) que possui a chave possa lê-las. As empresas podem usar tecnologia de criptografia para dados confidenciais em repouso e em trânsito para mantê-los seguros em sites, dispositivos ou na nuvem.
Como sua empresa pode proteger os dados com segurança enquanto eles estão em trânsito? Aqui estão algumas dicas obtidas em acordos da FTC, investigações encerradas e perguntas feitas pelas empresas.
Proteja dados confidenciais durante todo o seu ciclo de vida.
Você não pode manter as informações seguras a menos que tenha uma visão clara do que está lá e onde. Um passo inicial é saber como os dados confidenciais entram, passam e saem da sua empresa. Depois de controlar sua jornada pelo sistema, é fácil manter a guarda alta em cada parada ao longo do caminho.
Exemplo: Um varejista online de artigos esportivos exige que os consumidores selecionem um nome de usuário e uma senha. A empresa armazena todos os nomes de usuário e senhas em texto claro e legível. Ao não armazenar essas informações de forma segura, o varejista aumentou o risco de acesso não autorizado.
Exemplo: Um site de receitas permite que os clientes criem perfis individuais. Ao projetar a página de registro, a empresa considera as diversas categorias de informações que pode solicitar e as restringe ao que justifica um motivo comercial. Por exemplo, a empresa considerou pedir a data de nascimento de um usuário para adaptar o site a receitas que pudessem atrair pessoas desse grupo demográfico, mas depois decidiu escolher uma faixa etária em vez de consumidores. Ao pensar na sua necessidade de informação e recolher tipos de dados menos sensíveis, a empresa fez escolhas mais seguras que lhe permitirão personalizar a experiência do utilizador.
Exemplo: Uma imobiliária precisa coletar informações financeiras confidenciais de potenciais compradores de casas. A empresa usa criptografia apropriada para proteger as informações quando as informações são enviadas do navegador do cliente para os servidores da empresa. Mas quando os dados chegam, um provedor de serviços os descriptografa e os envia para a filial da empresa em texto claro e legível. Ao criptografar a transmissão inicial de informações, as empresas imobiliárias tomam uma medida prudente para mantê-las seguras. Mas ao permitir que os prestadores de serviços enviem dados encriptados às sucursais, a agência não prestou atenção suficiente à importância de manter a segurança adequada ao longo do ciclo de vida da informação sensível.
Exemplo: Uma empresa usa tecnologia de criptografia sofisticada, mas armazena a chave de descriptografia com seus dados criptografados. A empresa deveria ter armazenado as chaves de descriptografia separadamente dos dados usados para desbloquear as chaves
Use métodos testados e aceitos pela indústria.
Alguns profissionais de marketing projetam seus produtos para terem uma aparência única e peculiar. Mas “único” e “estranho” não são palavras que você queira aplicar à segurança da sua empresa. Em vez de reinventar a roda da criptografia, a abordagem inteligente é empregar métodos testados pela indústria que reflitam o conhecimento coletivo de especialistas na área.
Exemplo: Dois desenvolvedores de aplicativos estão preparando produtos semelhantes para o mercado. A ABC Company usa seu próprio método proprietário para ofuscação de dados. Em contraste, a Empresa XYZ usa um método de criptografia testado e comprovado, adotado por especialistas do setor. Ao utilizar uma forma comprovada de criptografia, a XYZ Corporation fez uma escolha prudente no desenvolvimento de seu produto. Além do mais, a campanha publicitária da XYZ pode realmente promover o uso de criptografia padrão da indústria.
Garanta a configuração correta.
Um alpinista pode ter equipamentos de última geração, mas se não conectar os mosquetões e as polias corretamente, ou se os usar de uma forma contra a qual o fabricante alerta, ele poderá ter uma descida desastrosa. Na mesma linha, mesmo quando as empresas escolhem uma criptografia forte, elas precisam ter certeza de que a configuram corretamente.
Exemplo: Uma agência de viagens desenvolve um aplicativo que permite aos clientes comprar ingressos para atrações turísticas populares. O aplicativo da agência de viagens usa o protocolo Transport Layer Security (TLS) para estabelecer conexões criptografadas com os clientes. Quando os dados são transferidos entre o aplicativo e as empresas de emissão de bilhetes, os certificados TLS são usados para garantir que o aplicativo esteja se conectando ao serviço online real. Porém, ao configurar seu aplicativo, a agência de viagens desativa o processo de verificação do certificado TLS. As agências de viagens fazem isso apesar dos provedores de plataformas de desenvolvedores de aplicativos alertarem contra a desativação das configurações de validação padrão ou a falha na validação dos certificados TLS. A agência de viagens deveria ter seguido as recomendações padrão da plataforma de desenvolvimento de aplicativos.
O lembrete para as empresas é que os dados confidenciais podem entrar no seu sistema, passar por ele e sair de maneiras que você não considerou. Você está implementando uma proteção razoável ao longo do caminho?
Próximo da série: Segmente sua rede e monitore quem está tentando entrar e sair.
