As notícias sobre a exposição de dados privados de mais de 20 milhões de pessoas no Equador como consequência de uma base de dados mal configurada causaram uma agitação no país, mas deve servir para muitas empresas e organizações como um caso de reflexão sobre quais possibilidades existem de que algo semelhante possa ocorrer e quais aspectos de segurança devem ser melhorados para evitar um cenário similar.
No caso da Novaestrat, empresa proprietária do servidor que expôs as informações, lembramos que o incidente de segurança que aparentemente afetou quase toda a população do Equador, ocorreu como consequência da má configuração de um banco de dados. Em outras palavras, um erro humano. É importante que as empresas e organizações não só dediquem tempo e recursos aos aspectos tecnológicos da segurança, tais como soluções de criptografia ou soluções para evitar vazamentos de informações, mas também para o desenvolvimento de processos e políticas de segurança que incluam os controles adequados e contribuam para que a gestão da segurança seja a mais adequada.
Embora os números do ESET Security Report 2019 (relatório em espanhol) mostrem que 61% das empresas na América Latina destaquem três principais preocupações de segurança: acesso não autorizado, roubo de dados e privacidade de informações - em países como Equador e Peru, menos da metade das empresas tem uma política de segurança.
Na edição de 2017 deste mesmo relatório, 1 em cada 10 empresas da América Latina destacaram ter sofrido uma brecha ou vazamento de segurança, e apenas 30% das organizações disseram contar com um plano de continuidade de negócios ou resposta a incidentes, algo que mostrou que era muito provável que tais incidentes continuariam ocorrendo, enfatizou o responsável pelo Laboratório da ESET na América Latina, Camilo Gutiérrez, há dois anos, quando explicou as consequências de um vazamento de dados.
Embora seja necessário considerar diversos fatores para analisar por que novos casos de exposição e/ou brechas de segurança continuam ocorrendo, não há dúvida de que o erro humano é responsável por uma alta porcentagem das brechas que ocorrem anualmente. A exposição de dados como consequência da má configuração de um banco de dados não é uma novidade. Somente em 2018, publicamos pelo menos três casos de exposição de dados privados envolvendo milhões de indivíduos em diferentes partes do mundo como resultado de bancos de dados mal configurados, um deles no Brasil e outro no México.
É importante lembrar que uma brecha de segurança pode ter consequências graves para a empresa que sofre o incidente, além das consequências que afetam os usuários. Uma destas consequências é de natureza econômica, considerando que muitas empresas são obrigadas a compensar financeiramente os usuários, que por alguma razão tiveram suas informações divulgadas, ou terão que pagar multas de acordo com a legislação local. Da mesma forma, a informação vazada pode afetar a competitividade da empresa ou interromper o negócio, alterando a dinâmica produtiva de uma organização, o que também poderia gerar consequências econômicas.
De acordo com dados da edição de 2019 do relatório "O custo das brechas de segurança" produzido pela IBM Security e conduzido pelo Instituto Ponemon, o custo médio de uma brecha de segurança em países como o Brasil é de US$ 1,35 milhão, sendo o país com a média de custo mais baixa destacada pelo estudo (ainda assim significativa), enquanto nos Estados Unidos esse valor é de US$ 8,19 milhões. Além disso, o custo médio por cada registro à nível globla é de U$150 e o tempo médio estimado para identificar e conter uma brecha de segurança é de 279 dias.
Imagem 1: Cost of a Data Breach Report - 2019.
Prejuízos à imagem e confiança de uma marca podem ter consequências significativas. O Facebook, por exemplo, após o caso da Cambridge Analytica em 2018, perdeu em enormes proporções a confiança que os usuários tinham na rede social e isso significou um prejuízo enorme à imagem da empresa.
É claro que o incidente que acaba de ocorrer esta semana no Equador destaca a necessidade de continuar trabalhando na conscientização e educação, tanto das empresas como dos usuários.
