O clássico do cinema francês “The Wages of Fear” – refeito em 1977 como “The Sorcerer” pelo diretor americano William Friedkin – era um thriller tenso sobre uma equipe de valentões transportando uma carga útil de nitroglicerina volátil para um local remoto na América do Sul. Eles encontram perigos ao longo do caminho: uma ponte de corda pendurada por um fio sobre um rio inundado, uma pedra bloqueando um caminho tortuoso na montanha e um trecho de estrada tão esburacado que é chamado de “A Tábua de Lavar”.
A conexão com a abordagem da sua empresa à segurança de dados pode não parecer imediatamente aparente, mas se você tiver informações pessoais confidenciais em sua rede ou em seus arquivos, há uma analogia a ser feita. Assim como seus hábitos de dirigir mudariam se você estivesse ao volante com o porta-malas cheio de nitro, você também deve ajustar as práticas da sua empresa, dada a sensibilidade das informações em seu poder.
Esse é um dos princípios ilustrados no acordo da FTC com Ceridiano Corporação. Ceridiano fornece processamento de folha de pagamento e outros serviços de RH para clientes empresariais. Um produto, Powerpayé um sistema baseado na web que pequenas empresas podem usar para coletar e armazenar dados de funcionários – por exemplo, nomes, endereços, endereços de e-mail, números de telefone, números de seguro social, datas de nascimento e números de contas bancárias de depósito direto – para automatizar sua folha de pagamento processamento.
Certamente, Ceridiano estava ciente da sensibilidade dos dados envolvidos. De acordo com seus próprios contratos, “Ao gerenciar dados de saúde e folha de pagamento dos funcionários, a segurança é fundamental com Ceridiano. Nosso abrangente programa de segurança foi projetado de acordo com os padrões da série ISO 27000, as melhores práticas do setor e os requisitos regulatórios federais, estaduais e locais.”
Mas, como alega o processo da FTC, Ceridiano envolveu-se em uma série de práticas que, em conjunto, não proporcionaram segurança razoável e apropriada aos dados pessoais que coletou e manteve. Especificamente, a FTC acusou a empresa:
- armazenou informações pessoais em texto de fácil leitura;
- criou riscos desnecessários ao armazená-lo indefinidamente em sua rede sem necessidade comercial;
- não avaliou adequadamente a vulnerabilidade de suas aplicações web e rede a riscos comumente conhecidos ou razoavelmente previsíveis, como ataques de injeção de SQL;
- não implementou defesas gratuitas ou de baixo custo prontamente disponíveis; e
- não empregou medidas razoáveis para detectar e impedir o acesso não autorizado.
Como resultado, diz a FTC, os hackers exploraram essas falhas montando um ataque de injeção de SQL no Powerpay site e aplicativo web, roubando dados pessoais de cerca de 28 mil funcionários de Ceridiano clientes de pequenas empresas, incluindo, em alguns casos, seus números de Seguro Social, informações de contas bancárias e datas de nascimento. Para resolver o caso, Ceridiano concordou em implementar um programa abrangente de segurança da informação, incluindo auditorias independentes de segurança de terceiros a cada dois anos durante os próximos 20 anos.
O que os profissionais de marketing experientes tiram da ação de aplicação da lei da FTC?
Permanecer socialmente seguro. É claro que as empresas querem ter cuidado com todos os dados que possuem, mas algumas informações – números da Segurança Social, por exemplo – aumentam a aposta quando se trata de proteção. Desembaralhar o ovo quando ladrões de identidade conseguem, digamos, números de cartão de crédito pode ser bastante difícil: resmas de papelada contestando cobranças não autorizadas e horas ao telefone acertando contas. Mas quando o que está em jogo são os números da Segurança Social, as consequências podem acompanhar as vítimas para o resto das suas vidas. OK, talvez SSNs Não há nitroglicerina instável em uma estrada montanhosa deserta, mas não diga isso a pessoas cujas vidas foram viradas de cabeça para baixo por roubo de identidade envolvendo seu número de Seguro Social.
Podar as frutas mais fáceis de alcançar. Os hackers estarão sempre conosco. Portanto, nosso trabalho é tornar o trabalho deles o mais difícil possível. Muitas das precauções que podem aumentar a segurança da sua rede estão prontamente disponíveis a baixo ou mesmo nenhum custo. Uma etapa simples: entre em contato com seus fornecedores de software para obter patches para lidar com novas ameaças. Marque um compromisso recorrente em sua agenda para verificar atualizações. Além disso, muitos programas instalarão patches de segurança urgentes e outras correções se sua equipe de TI ativar o recurso de “atualizações automáticas”.
Certamente mais seguro. Parte do Departamento de Segurança Interna, a US-CERT (Equipe de Preparação para Emergências de Computadores dos Estados Unidos) fornece suporte de resposta e defesa contra ataques cibernéticos e compartilha informações com o governo e a indústria. A Sala de Leitura do US-CERT oferece uma variedade de recursos gratuitos para empresas de todos os tamanhos. Não é do tipo técnico? O US-CERT oferece cobertura, dividindo convenientemente os materiais em categorias não técnicas para executivos ocupados e dados técnicos para profissionais de TI. Por exemplo, o site deles oferece conselhos passo a passo sobre como proteger sua rede contra ataques de injeção de SQL e outras ameaças comuns.
Próximo: Mais autoridades da FTC lidando com segurança de dados
