O Ponemon Institute publicou a versão 2009 da sua pesquisa anual “Annual U.S. Cost of Data Breach Study” na qual analisa o custo das perdas com vazamento de dados no mercado norte-americano. De acordo com os resultados apresentados, o custo por vazamento de dados passou para US$ 204 por evento, totalizando uma média de US$ 6,75 milhões no ano.
A notícia pode ser lida na íntegra aqui, mas se você quiser somente dar uma analisada nos piores resultados, recomendo o também citado “The 2009 data breach hall of shame” onde casos famosos do ano passado são relembrados com especial atenção para a TSA, a mesma agência que reservou a última hora de voo como horário especial para realização de ataques terroristas….
Hoje recebi um e-mail direcionando para uma reportagem da BBC News, onde uma pesquisa conduzida pela RSA foi comentada e chegou a uma conclusão que volta e meia aparece e ainda é tratada como uma novidade: “malicious insiders” are the biggest cyber security threat for companies on its head.”
A matéria é interessante e aborda que como resultado da pesquisa, constatou-se que o maior risco é originado nos terceiros e funcionário temporários, que não são adequadamente treinados nas políticas corporativas e são dificilmente controlado pelo (pouco?) tempo que ficam nas empresas.
Como não existe um link para a pesquisa e não a encontrei no web site da RSA, fica difícil fazer uma análise mais profunda de qualquer resultado, mas:
- Quem fornece o acesso privilegiado para um usuário – independente da sua classificação – não é ele mesmo, é uma área que deveria controlar isso de forma adequada.
- Quem contrata terceiros e temporários e informa a área responsável pela criação e controle de acessos de forma inadequada não é o usuário, é uma área de negócios que não dá o valor adequado à proteção das informações da empresa que representa.
- Quem coloca informações e dados privilegiados fora de um local adequadamente protegido não é um usuário que acabou de entrar na empresa, uma vez que ele não tem idéia do que seja isso. É um usuário com um mínimo de conhecimento e que não teve o seu acesso adequadamente controlado, uma vez que consegue fazer isso.
Abordei este assunto há tempos e insisto neste ponto, é necessário uma mudança de postura de toda a empresa, não adianta mais procurar culpados em pontos específicos. Segurança que não esteja integrada já era há muito tempo, mas parece que a mudança ainda está longe de acontecer em grande escala …
