10 tendências de segurança de dados para 2021

 10 tendências de segurança de dados para 2021

Trabalho remoto sofrerá mais ataques phishing e ameaças aos departamentos de contabilidade e marketing, de acordo com estudo.

À medida que o trabalho remoto aumentava, as organizações sofriam mais ataques cibernéticos ao exporem suas vulnerabilidades em meio a uma acelerada transição. No último ano, quase um terço das empresas foram atingidas por ransomware, enquanto os esquemas de phishing aumentavam e se tornavam mais prejudiciais, de acordo com relatório da Getapp.

Embora em muitas regiões as empresas estejam retornando às atividades no escritório, o trabalho remoto não deverá voltar a patamares anteriores à Covid. Segundo o Gartner, o trabalho remoto veio para ficar. E além de mudar fundamentalmente o ambiente em que os funcionários e gerentes interagem, o trabalho remoto tem outras consequências já vividas por grande parte das empresas, sobretudo durante a pandemia: maior vulnerabilidade a ataques.

De acordo com o relatório da Getapp, empresa de recomendação de software, a “segurança limitada para trabalhadores remotos é a vulnerabilidade mais comum que as empresas enfrentam hoje”.

A Getapp conversou com 83 gerentes de segurança de TI para seu Relatório Anual de Segurança de Dados e identificou dez tendências a serem observadas pelos líderes de TI:

Apoiador:

Segurança no trabalho remoto vista como a principal vulnerabilidade

A segurança de rede limitada ficou atrás das preocupações com a segurança do trabalho remoto; funcionários descuidados, aplicativos não autorizados e segurança de dispositivos móveis estão entre os cinco primeiros. Outras respostas incluíram vulnerabilidades de aplicativos da web (25%), bugs de software/programação (24%) e práticas de senha inadequadas (24%).

Se a sua empresa for uma daquelas que lutam com a segurança do trabalho remoto, o estudo sugere que você comece a fazer melhorias desenvolvendo uma política formal de trabalho remoto e adotando as ferramentas de software certas que garantem a segurança dos dados da empresa quando acessados remotamente.

O acesso total aos dados torna uma violação quatro vezes mais provável

Um elemento fundamental da segurança da informação é controlar o acesso aos dados. O princípio do privilégio mínimo afirma que um funcionário deve ter permissão apenas para o nível mínimo de acesso aos dados necessário para realizar seu trabalho. Esta é a chave para evitar violações causadas por roubo de dados malicioso e perda acidental de dados.

Metade (50,7%) das empresas que relataram uma violação de dados nos últimos 12 meses permitem o acesso total a todos os dados da empresa, em comparação com apenas 12,6% das empresas que limitam estritamente o acesso aos dados ao que os funcionários precisam para fazer seu trabalho. Em outras palavras: as empresas que permitiam o acesso a todos os seus dados tinham quatro vezes mais chances de sofrer uma violação de dados em comparação com aquelas que limitavam o acesso aos dados relevantes.

Classificação de dados amplamente utilizada, mas não é suficiente por si só

Dados críticos que podem levar a danos financeiros, à reputação ou legais se comprometidos são frequentemente classificados como confidenciais, sensíveis ou restritos. As informações da empresa que estão disponíveis gratuitamente na Internet ou através de outras fontes são geralmente rotuladas como públicas. Embora não existam padrões universais para classificação de dados, a pesquisa descobriu que as categorias mais usadas são públicas, internas e confidenciais.

Enquanto 82% dos funcionários relataram que sua organização usa um sistema de classificação de dados, esses programas por si só se mostraram insuficientes para restringir o acesso e evitar violações de dados. Sessenta e dois por cento das empresas com uma política de classificação de dados ainda fornecem aos funcionários acesso a mais dados do que precisam. Essas empresas tinham duas vezes e meia mais probabilidade de sofrer uma violação de dados em comparação com empresas com uma política de classificação de dados e acesso restrito.

Esquemas de phishing aumentando em número e eficácia

Em 2019, 73% dos funcionários da equipe de pesquisa relataram ter recebido e-mails de phishing, em comparação com 80% este ano. Esse salto nos funcionários que clicam em links maliciosos sugere que os e-mails de phishing estão se tornando mais difíceis de detectar. Quando analisados os departamentos dos entrevistados que admitiram ter clicado em um link malicioso, os funcionários de marketing foram os que mais provavelmente o fizeram (38%).

Claramente, os executivos devem tomar precauções extras quando se trata de canais de comunicação digital. No entanto, a pesquisa também aponta para a necessidade de treinamento aprimorado da equipe de marketing para ajudá-los a se proteger contra táticas de engenharia social usadas em manobras de phishing. Por outro lado, a porcentagem de trabalhadores que relataram ter recebido um teste de phishing de seu empregador aumentou de 30% para 44% ano após ano.

A aquisição de contas afeta mais de um em cada três trabalhadores

Os ATOs (Account Takeover) normalmente resultam em transações não autorizadas e na exposição de informações confidenciais. Segundo o relatório, 37% dos trabalhadores sofreram uma invasão de conta. Senhas fracas e aumento na confiança no comércio elétrico são alguns dos fatores que levaram a isso. Uma pesquisa da empresa sobre as práticas de senha descobriu que 53% dos consumidores usam a mesma senha para várias contas, facilitando o acesso a múltiplas contas com uma única senha hackeada.

Quase dois terços (63%) dos entrevistados que não tiveram um ATO disseram que sua empresa usa software de segurança de e-mail, em comparação com apenas 42% dos empregadores de vítimas de invasão de conta. Esses dados sugerem que o software de segurança de e-mail pode mitigar substancialmente o controle de contas que começa com e-mails de phishing. No entanto, a melhor maneira de evitar o controle de uma conta é adicionar outra camada de proteção de conta usando a autenticação de dois fatores (2FA) sempre que possível.

Melhoria dos métodos de autenticação; uso de 2FA até 18%

No último ano, o uso de medidas de autenticação avançou significativamente. O uso de medidas de segurança de dados biométricos aumentou de 27% em 2019 para 53% em 2020. Este aumento acentuado pode ser impulsionado em parte pelo aumento do uso de laptops e dispositivos móveis para apoiar o trabalho remoto, já que esses dispositivos geralmente incluem impressão digital e reconhecimento facial recursos de segurança.

A adoção da autenticação de dois fatores – um dos recursos de segurança da informação mais importantes da atualidade – fez um progresso considerável no último ano. A porcentagem de trabalhadores que afirmam usar 2FA para alguns ou todos os aplicativos de negócios aumentou de 64% em 2019 para 82% em 2020. Curiosamente, o número daqueles que usam 2FA para alguns aplicativos de negócios praticamente não mudou, enquanto os trabalhadores que usam 2FA para todos os negócios as aplicações saltaram de 21% para 38% ano a ano.

O ransomware atingiu 28% das empresas e 75% delas pagaram

A pesquisa descobriu que 28% das empresas sofreram um ataque de ransomware nos últimos 12 meses. Dessas empresas, 75% pagaram o resgate. O restante removeu ou descriptografou o ransomware, recuperou-se usando um sistema de backup de dados ou foi forçado a aceitar a perda permanente de dados. Das empresas que pagaram o resgate, 70% recuperaram seus dados. Mas isso também significa que 30% fizeram um pagamento apenas para não receber nada em troca. E muitos deles perderam dezenas de milhares de dólares.

Esteja ciente de que as táticas de ransomware estão evoluindo de uma extorsão direta para algo mais parecido com a chantagem. Isso porque, em vez de simplesmente criptografar seus dados, mais e mais operadores de ransomware estão baixando e ameaçando lançá-lo na internet. Ou seja, o ransomware é agora uma ameaça de violação de dados e as organizações vítimas podem ser obrigadas a relatar o ataque enquanto enfrentam multas regulatórias e danos à reputação.

O treinamento de segurança ganha terreno; o uso de VR/AR quase triplica

Segundo o relatório, 17% das empresas estão usando Realidade Virtual e Aumentada para fins de treinamento, contra apenas 6% em 2019. Em alguns setores (incluindo marketing digital e contabilidade), esses números chegam a 35%. O uso de ferramentas de treinamento digital (programas de treinamento on-line, webinars etc.) teve um aumento equivalente, paralelamente a uma maior exigência por parte da empresa; 75% dos funcionários afirmam que são obrigados a passar por treinamento de segurança pelo menos uma vez por ano, contra 57% em 2019.

As empresas continuam a concentrar seus programas de treinamento em privacidade de dados e cibersegurança. Isso ocorre devido ao aumento de ataques como phishing, ransomware e controle de contas, já que a educação de conscientização sobre segurança pode ser a ação mais importante a ser realizada.

As preocupações com a privacidade de dados aumentaram para 86% das organizações

Um total de 86% dos entrevistados disseram que sua empresa ficou mais preocupada com a privacidade de dados nos últimos 12 meses. Esse foi um aumento de 12% em relação a uma pesquisa semelhante realizada pela empresa em julho de 2019.

A familiaridade com os novos regulamentos de privacidade de dados melhorou desde 2019. A porcentagem de profissionais de TI familiarizados com o Regulamento Geral de Proteção de Dados da União Europeia (GDPR) subiu de 66% para 78%.

As tendências de segurança de dados variam de acordo com o setor

Os resultados do setor de serviços de TI foram mistos. Embora mais empresas de serviços de TI tenham adotado um sistema de classificação de dados (de 73% para 93%), o percentual de funcionários com acesso a todos os dados da empresa também aumentou (de 11% para 28%).

Embora o setor de serviços de TI tenha experimentado um número marginalmente maior que a média de ataques de phishing, violações de dados e controle de contas, a porcentagem afetada pelo ransomware foi ligeiramente inferior à média.

Por Redação

via CIO

Editor MDR

Você pode gostar também...

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *