Como impactamos
act PROSPERI.AI
A inteligência artificial corporativa act digital
Soluções
Serviços
parcerias
Nos últimos anos, as empresas tornaram-se, mais do que nunca, alvos de ataques de roubo de dados. Isto afeta não só as grandes organizações (vejamos o ataque à Uber em 2022), como também as pequenas empresas. Estas últimas, embora muitas vezes mais pobres em informação, são mais fáceis de prejudicar.
O roubo de dados pode ser conseguido de várias formas, nomeadamente:
No total, mais de 353 milhões de pessoas foram afetadas por fugas, exposição e violações de dados comunicadas em 2023, só nos Estados Unidos. E não nos esqueçamos das que não foram comunicadas... No mesmo ano, a IBM estimou que o custo médio de um roubo de dados para uma empresa era de cerca de 4,5 milhões de dólares. Vejamos porque é que isto acontece e como se caracteriza este custo.
Uma vez detetado um roubo de dados, é essencial reagir rapidamente, determinando a natureza do roubo (dados de funcionários, segredos de negócio, etc.), bem como a forma como ocorreu. De seguida, é possível elaborar um plano para conter a violação de dados.
No entanto, esta etapa pode implicar custos significativos e exigir o recurso a uma equipa especializada no contexto de uma crise cibernética, podendo interromper a atividade da empresa até que a situação seja estabilizada.
É também necessário pensar na fase “pós-ataque”: tendo aprendido com o mesmo, a implementação de novas medidas de segurança é um novo paradigma na proteção de dados. Quando esta etapa ocorre após um acontecimento imprevisto, pode rapidamente tornar-se extremamente dispendiosa.
É também necessário estudar cuidadosamente o tipo de dados que foram roubados. Se disserem respeito à atividade da empresa, a segredos de produção ou a métodos de funcionamento, existe um risco elevado de acabarem à venda na Internet. Isto implica, indiretamente, um grande impacto comercial: as empresas concorrentes podem compreender o modo de funcionamento da empresa afetada e adaptar-se em conformidade. Ou talvez o know-how único dessa organização possa ficar à mercê dos outros.
Também é importante não ignorar o facto de que, embora estes dados possam não aparecer logo após o roubo, é possível (e provável) que reapareçam anos mais tarde – por exemplo, através de phishing com informações roubadas vários anos após a “tempestade” ter passado. Isto pode ser devastador, afetando novamente a empresa.
Se as várias leis de proteção de dados não forem cumpridas pela empresa vítima de roubo de dados, esta pode ser processada pelas pessoas que sofreram o roubo.
Na Europa, é essencial seguir as diretrizes do RGPD sobre proteção de dados. Além disso, a partir de 17 de outubro de 2024, os Estados-Membros da União Europeia (UE) terão de cumprir as regras da Diretiva NIS 2. Esta legislação, que entrou em vigor em 2022, deve ser aplicada o mais rapidamente possível para proteger os dados das empresas, mas também em caso de ataque.
Por vezes, os ataques conseguem “furar” as proteções implementadas, apesar do cumprimento da Diretiva NIS 2 e do RGPD, mas ambas as legislações protegem contra despesas legais e outras multas no caso de um ataque bem sucedido. Em França, por exemplo, os responsáveis por esses dados podem ser punidos pela autoridade francesa de proteção de dados (CNIL) até um máximo de 4% do volume de negócios mundial da empresa.
Note-se que, em caso de fuga de dados pessoais, a pessoa responsável pelos dados é o diretor da empresa. Isto é particularmente verdade para as pequenas e médias empresas. Por outro lado, esta responsabilidade pode ser delegada ao Diretor de Recursos Humanos ou ao Chief Information Officer (CIO), nas organizações em que a dimensão da empresa não permite que o diretor acompanhe a situação de forma controlada.
Após um roubo de dados, a imagem da empresa pode ficar manchada durante meses. Os clientes e parceiros comerciais podem recusar-se a colaborar com a empresa novamente. É certo que, após um roubo de dados, a empresa investe tempo e dinheiro especificamente por causa do ataque, pelo que o seu índice de competitividade diminui intrinsecamente.
Do mesmo modo, pode preocupar os parceiros que trabalham atualmente com a empresa, por receio de que os seus dados possam ter sido roubados. Além disso, pode existir a preocupação de que a correção não tenha sido totalmente eficaz, ou simplesmente que possa voltar a acontecer. Em suma, o índice de confiança também diminui.
Isto leva a grandes custos ocultos, difíceis de quantificar, uma vez que dependem do estado da empresa antes do roubo, bem como do seu sucesso na fase de correção.
As empresas precisam de tomar medidas específicas para se protegerem contra estes ataques. Segue-se uma lista não exaustiva de ações recomendadas:
O roubo de dados pode ter repercussões em muitos aspetos de uma empresa: não só no sistema de informação comprometido, mas também a nível comercial, jurídico e humano. É por isso que aconselhamos vivamente que todas as organizações sigam as recomendações acima descritas, para limitar o risco de comprometimento.
Nos últimos anos, as empresas tornaram-se, mais do que nunca, alvos de ataques de roubo de dados. Isto afeta não só as grandes organizações (vejamos o ataque à Uber em 2022), como também as pequenas empresas. Estas últimas, embora muitas vezes mais pobres em informação, são mais fáceis de prejudicar.
O roubo de dados pode ser conseguido de várias formas, nomeadamente:
No total, mais de 353 milhões de pessoas foram afetadas por fugas, exposição e violações de dados comunicadas em 2023, só nos Estados Unidos. E não nos esqueçamos das que não foram comunicadas... No mesmo ano, a IBM estimou que o custo médio de um roubo de dados para uma empresa era de cerca de 4,5 milhões de dólares. Vejamos porque é que isto acontece e como se caracteriza este custo.
Uma vez detetado um roubo de dados, é essencial reagir rapidamente, determinando a natureza do roubo (dados de funcionários, segredos de negócio, etc.), bem como a forma como ocorreu. De seguida, é possível elaborar um plano para conter a violação de dados.
No entanto, esta etapa pode implicar custos significativos e exigir o recurso a uma equipa especializada no contexto de uma crise cibernética, podendo interromper a atividade da empresa até que a situação seja estabilizada.
É também necessário pensar na fase “pós-ataque”: tendo aprendido com o mesmo, a implementação de novas medidas de segurança é um novo paradigma na proteção de dados. Quando esta etapa ocorre após um acontecimento imprevisto, pode rapidamente tornar-se extremamente dispendiosa.
É também necessário estudar cuidadosamente o tipo de dados que foram roubados. Se disserem respeito à atividade da empresa, a segredos de produção ou a métodos de funcionamento, existe um risco elevado de acabarem à venda na Internet. Isto implica, indiretamente, um grande impacto comercial: as empresas concorrentes podem compreender o modo de funcionamento da empresa afetada e adaptar-se em conformidade. Ou talvez o know-how único dessa organização possa ficar à mercê dos outros.
Também é importante não ignorar o facto de que, embora estes dados possam não aparecer logo após o roubo, é possível (e provável) que reapareçam anos mais tarde – por exemplo, através de phishing com informações roubadas vários anos após a “tempestade” ter passado. Isto pode ser devastador, afetando novamente a empresa.
Se as várias leis de proteção de dados não forem cumpridas pela empresa vítima de roubo de dados, esta pode ser processada pelas pessoas que sofreram o roubo.
Na Europa, é essencial seguir as diretrizes do RGPD sobre proteção de dados. Além disso, a partir de 17 de outubro de 2024, os Estados-Membros da União Europeia (UE) terão de cumprir as regras da Diretiva NIS 2. Esta legislação, que entrou em vigor em 2022, deve ser aplicada o mais rapidamente possível para proteger os dados das empresas, mas também em caso de ataque.
Por vezes, os ataques conseguem “furar” as proteções implementadas, apesar do cumprimento da Diretiva NIS 2 e do RGPD, mas ambas as legislações protegem contra despesas legais e outras multas no caso de um ataque bem sucedido. Em França, por exemplo, os responsáveis por esses dados podem ser punidos pela autoridade francesa de proteção de dados (CNIL) até um máximo de 4% do volume de negócios mundial da empresa.
Note-se que, em caso de fuga de dados pessoais, a pessoa responsável pelos dados é o diretor da empresa. Isto é particularmente verdade para as pequenas e médias empresas. Por outro lado, esta responsabilidade pode ser delegada ao Diretor de Recursos Humanos ou ao Chief Information Officer (CIO), nas organizações em que a dimensão da empresa não permite que o diretor acompanhe a situação de forma controlada.
Após um roubo de dados, a imagem da empresa pode ficar manchada durante meses. Os clientes e parceiros comerciais podem recusar-se a colaborar com a empresa novamente. É certo que, após um roubo de dados, a empresa investe tempo e dinheiro especificamente por causa do ataque, pelo que o seu índice de competitividade diminui intrinsecamente.
Do mesmo modo, pode preocupar os parceiros que trabalham atualmente com a empresa, por receio de que os seus dados possam ter sido roubados. Além disso, pode existir a preocupação de que a correção não tenha sido totalmente eficaz, ou simplesmente que possa voltar a acontecer. Em suma, o índice de confiança também diminui.
Isto leva a grandes custos ocultos, difíceis de quantificar, uma vez que dependem do estado da empresa antes do roubo, bem como do seu sucesso na fase de correção.
As empresas precisam de tomar medidas específicas para se protegerem contra estes ataques. Segue-se uma lista não exaustiva de ações recomendadas:
O roubo de dados pode ter repercussões em muitos aspetos de uma empresa: não só no sistema de informação comprometido, mas também a nível comercial, jurídico e humano. É por isso que aconselhamos vivamente que todas as organizações sigam as recomendações acima descritas, para limitar o risco de comprometimento.
