Privacidade de dados do cliente: 10 práticas recomendadas não negociáveis ​​para proteger sua empresa

Publicados: 2022-11-23

Em julho de 2020, um hacker acessou as ferramentas internas do Twitter para apreender 130 contas de alto perfil do Twitter - como Elon Musk, Bill Gates, Barack Obama e Jeff Bezos - para realizar um golpe de “dobrar seu bitcoin”.

hack de twitter de privacidade de dados 2020

Milhares de usuários do Twitter caíram nessa e, em apenas algumas horas, o hacker roubou mais de $ 118.000 em bitcoin. Desde então, milhares de organizações foram invadidas, desde grandes multinacionais como Apple e Facebook até universidades, hotéis, hospitais, departamentos governamentais e até igrejas e sites de arrecadação de fundos.

O fato é que qualquer organização que coleta, processa ou armazena dados de clientes corre o risco de uma violação, incluindo a sua. É por isso que você deve agir agora para proteger esses dados. Este artigo irá mostrar-lhe como.

Índice

  • A importância da privacidade dos dados
  • Regulamentos e padrões de privacidade de dados a serem conhecidos
  • As maiores ameaças à privacidade e segurança dos dados
  • 10 práticas recomendadas para proteger os dados de seus clientes

A importância da privacidade dos dados

As medidas e controles de privacidade de dados têm três objetivos principais: proteger a confidencialidade e integridade das informações, construir a confiança dos clientes e cumprir as leis de privacidade de dados. A falha na implementação desses controles pode levar a uma violação que pode ter sérias consequências para indivíduos e organizações.

Impacto nos indivíduos

Indivíduos cujos dados são roubados podem se tornar vítimas de roubo de identidade ou fraude. Os hackers podem usar os dados roubados para se passar pela vítima e abrir linhas de crédito, solicitar empréstimos, etc.

A perda de dados confidenciais ou privados também pode fazer com que a vítima enfrente humilhação, discriminação, perdas financeiras ou danos psicológicos. Em casos graves, sua saúde, vida ou família podem ser ameaçados.

Impacto nas organizações

As violações de dados também prejudicam as organizações, especialmente financeiramente. De acordo com a IBM, o custo médio de uma violação subiu para US$ 4,35 milhões em 2022. Os custos da violação podem incluir demandas de resgate dos invasores, além de “custos de limpeza” relacionados à remediação da violação e investigações forenses. Multas regulatórias e ações judiciais também podem aumentar o custo.

Uma violação também pode prejudicar a reputação da empresa, a percepção do cliente e os preços das ações. Pode perder a confiança de seus clientes e lutar para cumprir suas obrigações contratuais, o que pode afetar seus relacionamentos comerciais e lucros.

custo da violação de dados nos EUA x global

Regulamentos e padrões de privacidade de dados a serem conhecidos

Após uma série de violações de dados nos últimos anos, muitos governos implementaram leis de privacidade de dados. Essas leis regulam como os dados do consumidor são coletados, processados, armazenados e descartados pelas organizações. Eles visam proteger a privacidade dos dados do consumidor e proteger os consumidores do impacto prejudicial de violações de dados.

RGPD

O GDPR se aplica a qualquer empresa que opere em qualquer país que colete informações de residentes da UE. Ele rege como as empresas coletam, usam, transmitem e protegem esses dados. As organizações que não cumprirem a lei podem ser multadas em mais de US$ 20 milhões ou 4% do faturamento global total.

Leis de privacidade de dados dos EUA

Os EUA não possuem uma única lei federal de privacidade de dados. Em vez disso, várias leis específicas do setor ou do estado regem como as organizações coletam, processam ou usam dados do consumidor. Por exemplo, o Health Insurance Portability and Accounting Act (HIPAA) visa manter a privacidade das informações de saúde protegidas (PHI). Da mesma forma, a Lei de Privacidade do Consumidor da Califórnia (CCPA) controla como as entidades podem coletar as informações pessoais dos residentes da Califórnia.

direitos sob CCPA

Fonte da imagem

Padrões de privacidade específicos do setor

Alguns órgãos do setor desenvolveram padrões de privacidade aplicáveis ​​a organizações em determinados setores. Um exemplo é o PCI-DSS, que se aplica a todos os comerciantes em todo o mundo que coletam informações de cartão de crédito dos consumidores. Embora o padrão não seja aplicado por nenhum governo, os comerciantes devem aderir a ele devido ao seu relacionamento contratual com a empresa de cartão de crédito. O objetivo é garantir que as empresas implementem as proteções necessárias para proteger os dados do titular do cartão e evitar fraudes com cartões de crédito.

Dentro da indústria de tecnologia e publicidade, vimos uma série de mudanças nos últimos anos em nome da privacidade. Por exemplo, o Google reduzindo a visibilidade do relatório de termos de pesquisa e o Facebook exigindo a medição agregada de eventos.

Guia gratuito: 10 estratégias de segmentação do Facebook com privacidade

As maiores ameaças à privacidade e segurança dos dados

A privacidade de dados trata de controlar como os dados são coletados, compartilhados e usados, enquanto a segurança de dados se preocupa em proteger os dados de invasores externos e internos mal-intencionados. Apesar dessas diferenças, há várias sobreposições entre essas ideias. Além disso, existem muitas ameaças que podem afetar a privacidade e a segurança dos dados.

golpes de phishing

Em um golpe de phishing, o invasor envia e-mails que parecem vir de uma fonte confiável. O e-mail pode conter um link malicioso ou um anexo malicioso. Quando um usuário clicar no link, ele será levado a um site onde será solicitado a fornecer suas informações privadas.

O invasor então rouba essas informações, resultando em uma violação. Se o usuário abrir o anexo, o invasor poderá comprometer o dispositivo. Eles também podem obter acesso a outros recursos na rede corporativa e causar danos generalizados. Portanto, é importante garantir que você esteja investindo na solução anti-phishing certa para sua empresa.

exemplo de e-mail de phishing

Fonte da imagem

Malware e ransomware

Malware e ransomware são grandes ameaças à segurança e privacidade dos dados. Em um ataque de ransomware, um invasor infecta dispositivos corporativos com malware que criptografa o sistema e bloqueia o usuário. Em troca da chave de descriptografia, o criminoso exige um alto resgate da organização. Muitas variedades de ransomware podem se espalhar pela rede e exfiltrar grandes quantidades de dados.

Ameaças internas

As ameaças internas são outra ameaça séria à privacidade dos dados. Desde 2020, a frequência de incidentes internos aumentou 44% e o custo por incidente aumentou para US$ 15,38 milhões.

Algumas ameaças vêm de pessoas internas mal-intencionadas ou comprometidas, como funcionários ou fornecedores terceirizados. Outros vêm de insiders não maliciosos ou descuidados com higiene precária de segurança cibernética. Por exemplo, um usuário pode compartilhar sua senha com um colega enquanto outro pode armazenar dados confidenciais em uma pasta pública. Esses erros podem resultar em vazamentos ou exposições acidentais de dados.

vulnerabilidades de software

Vulnerabilidades de segurança em dispositivos e aplicativos abrem as portas para cibercriminosos. Muitos invasores exploram essas vulnerabilidades para atacar organizações e exfiltrar ou comprometer dados de clientes.

10 práticas recomendadas para proteger a privacidade dos dados do cliente

Aqui estão dez maneiras de proteger seus valiosos dados de clientes de ciberataques e hackers.

1. Saiba quais dados você está coletando

Você só pode proteger os dados se souber o que são e onde estão armazenados. Entenda que tipo de dados você coleta dos clientes, como são usados ​​e quem os está usando. Você também deve saber o quão confidenciais são os dados, onde são armazenados e quando são compartilhados.

Realize uma auditoria de dados para identificar os dados em toda a empresa. Em seguida, categorize cada tipo de dados de acordo com a sensibilidade, caso de uso e necessidade de acessibilidade. Por fim, prepare um inventário de dados para entender quais dados precisam ser protegidos e quais leis de conformidade se aplicam à sua organização.

classificações de dados comuns

Fonte da imagem

Aqui estão algumas classificações de dados a serem consideradas:

  • Dados públicos: Comunicados de imprensa, declarações de missão, informações de listagem de diretórios.
  • Dados internos: cronogramas de trabalho, orçamentos, planos de projetos, processos de negócios, estratégias, dados de marketing.
  • Dados confidenciais: informações pessoais, informações de saúde protegidas, registros pessoais, finanças.
  • Dados restritos: Senhas, planos de fusão/aquisição, propriedade intelectual.

2. Colete apenas informações essenciais

Você pode minimizar o dano potencial de uma violação de dados coletando uma quantidade limitada de dados pessoais. Colete apenas os dados privados ou confidenciais de que você precisa para que sua empresa atinja determinados objetivos, por exemplo, para melhorar a experiência e a retenção do cliente.

Para avaliar quais dados são essenciais, realize auditorias periódicas de dados. Em seguida, avalie se você realmente precisa desses dados. Se não, pare de recolhê-lo. Dessa forma, você pode diminuir a possibilidade de perdas caso ocorra uma violação.

3. Crie e publique uma política transparente de privacidade e uso de dados

Defina e implemente uma política de privacidade de dados clara e comunique-a a todas as partes interessadas. A política deve especificar quem tem permissão para acessar os dados e como. Também deve indicar claramente como os dados devem e não devem ser usados.

Além disso, publique uma política de privacidade para clientes no site da sua empresa. A política deve indicar como sua empresa coleta, armazena, usa e protege os dados do cliente. Se você fizer alterações na política, certifique-se de manter os clientes informados.

4. Criptografe todos os dados confidenciais do usuário

Dados não criptografados e mal armazenados dão aos hackers um motivo para atacar a organização. Criptografe todos os seus dados, tanto em trânsito quanto em repouso. Use criptografia de 256 bits para proteger dados em e-mails e criptografia em nível de arquivo para proteger dados em sistemas e servidores.

Além disso, faça backups de dados regulares e armazene os backups em um local seguro. Dessa forma, mesmo se você for alvo de um ataque cibernético como o ransomware, ainda poderá acessar os dados. Além disso, você não terá que pagar o resgate.

tipos de dados sensíveis

Fonte da imagem

5. Proteja-se contra golpes de phishing

Para reduzir o risco de perda devido a ataques de phishing, implemente filtros de spam de e-mail em toda a organização. Atualize também todos os dispositivos com software antivírus e antimalware que é atualizado automaticamente para lidar com ameaças emergentes e proteger continuamente os dados.

As pessoas desempenham um papel importante na minimização do impacto dos ataques de phishing. Incentive os funcionários a denunciar qualquer golpe por e-mail que encontrarem à pessoa ou departamento apropriado.

6. Atualize todos os softwares

Os hackers aproveitam as vulnerabilidades de segurança em dispositivos e software para atacar organizações e comprometer os dados dos clientes. Os fornecedores de software geralmente lançam patches depois de detectar vulnerabilidades em seus produtos. Implemente esses patches para atualizar seu software e proteger os dados de seus clientes.

7. Implemente a autenticação multifator

A autenticação multifator (MFA) fornece proteção mais robusta para contas e dados corporativos. A MFA requer um fator de autenticação adicional, não apenas uma senha. Portanto, mesmo que um hacker roube a senha de um usuário autorizado, ele ainda precisará do segundo fator para fazer login em uma conta corporativa. Normalmente, esse fator permanece sob o controle do usuário autorizado, por isso é difícil para um hacker comprometê-lo ou roubá-lo.

autenticação de dois fatores versus autenticação de vários fatores

Fonte da imagem

8. Treine as pessoas sobre práticas de segurança cibernética

A educação em segurança cibernética é essencial para eliminar os pontos fracos relacionados às pessoas na segurança cibernética. Eduque seus funcionários sobre as melhores práticas de segurança cibernética. Treine-os para reconhecer os sinais de um ataque de phishing e como evitar golpes de engenharia social.

Explique a importância de senhas fortes e MFA. Além disso, mostre a eles por que eles não devem usar redes Wi-Fi públicas para trabalhar e sempre siga as políticas de segurança e privacidade da organização.

9. Limite o acesso aos dados

Limitar o acesso aos dados com base na necessidade de conhecimento minimiza as ameaças internas aos dados. Sempre que possível, implemente o princípio do privilégio mínimo (PoLP), para que os usuários possam acessar ou editar apenas os dados necessários para sua função. Gerencie níveis de acesso e permissões com ferramentas de gerenciamento de identidade e acesso (IAM).

10. Implemente uma infraestrutura abrangente de proteção de dados

Para proteger os dados do cliente e evitar violações, você precisa de uma infraestrutura de segurança abrangente com todas estas ferramentas:

  • Software antivírus e antimalware
  • Software anti-adware e anti-spyware
  • Firewall da Web de próxima geração
  • Bloqueadores de pop-ups
  • Ferramentas de detecção e resposta de endpoints (EDR)
  • Verificador de vulnerabilidade
  • Gerenciador de senhas
  • MFA

Separe um orçamento para essas ferramentas. Eles ajudarão a proteger sua organização contra violações de dados e você recuperará seu investimento rapidamente.

Mantenha sua empresa, clientes e dados seguros

O número e a frequência das violações de dados aumentaram consideravelmente nos últimos anos. Os últimos cinco anos foram especialmente ruins, com hackers visando várias organizações de alto perfil e afetando milhões de pessoas.

Felizmente, nem tudo está perdido. Você tem algum controle sobre os dados que coleta e usa. Mais importante, você pode proteger esses dados e evitar que caiam em mãos erradas. Ao empregar as ideias e práticas recomendadas aqui compartilhadas, você pode reduzir os riscos para sua empresa e seus clientes.

  1. Saiba quais dados você está coletando
  2. Colete apenas informações essenciais
  3. Crie e publique uma política de privacidade e uso de dados transparente
  4. Criptografe todos os dados confidenciais do usuário
  5. Proteja-se contra golpes de phishing
  6. Atualizar todos os softwares
  7. Implemente a autenticação multifator
  8. Treine as pessoas sobre as práticas de segurança cibernética
  9. Limite o acesso aos dados
  10. Implemente uma infraestrutura abrangente de proteção de dados

Sobre o autor

Irina Maltseva é líder de crescimento na Aura e fundadora da ONSAAS. Nos últimos sete anos, ela ajudou empresas de SaaS a aumentar sua receita com inbound marketing. Em sua empresa anterior, a Hunter, Irina ajudou os profissionais de marketing da 3M a construir conexões comerciais importantes. Agora, na Aura, Irina está trabalhando em sua missão de criar uma internet mais segura para todos. Para entrar em contato, siga-a no LinkedIn.