Melhores Práticas de Segurança de Dados para Manufatura Elétrica e Eletrônica
O processamento de dados tornou-se parte integrante de todos os negócios, independentemente da indústria em que operam. Enquanto o setor de manufatura elétrica e eletrônica não coleta dados de consumidores em larga escala, ele gera e adquire outros tipos de dados altamente sensíveis, como código-fonte, patentes, desenhos e informações proprietárias.
Os fabricantes eletrônicos e elétricos freqüentemente fazem parte da cadeia de fornecimento de organizações maiores e precisam assinar acordos de não-divulgação (NDAs) que garantem a confidencialidade dos dados e, para certos setores, até mesmo submeter-se a avaliações de segurança da informação se desejarem garantir um contrato.
Este é o caso, por exemplo, da indústria automobilística alemã. Os fabricantes de equipamentos originais (OEMs), mas também parceiros e empresas que fazem parte da cadeia de fornecimento automotivo, sejam elas sediadas ou não na Alemanha, devem se submeter a uma avaliação de um padrão de informação de segurança (Trusted Information Security Assessment Exchange – TISAX) para provar que a empresa tem um nível adequado de segurança da informação em vigor.
Nos Estados Unidos, as aproximadamente 300.000 empresas que fazem negócios dentro da cadeia de fornecimento da Base Industrial de Defesa (DIB) precisam obter uma Certificação de Modelo de Maturidade de Segurança Cibernética (CMMC) para poderem concorrer, ganhar ou participar de um contrato do Departamento de Defesa.
Como tal, as violações de dados podem ser desastrosas para os fabricantes de equipamentos elétricos e eletrônicos. Elas podem afetar seriamente a confiança dos clientes, do mercado e dos parceiros e prejudicar as chances das organizações de ganhar novos contratos.
Se sua Propriedade Intelectual (PI) for roubada, as empresas podem perder sua vantagem competitiva e sofrer um duro golpe em seus resultados. De acordo com o Relatório do Custo da Violação de Dados 2021, elaborado pela IBM e o Instituto Ponemon, as empresas fabricantes, incluídas em sua categoria industrial, têm um custo médio de violação de dados de US$ 4,24 milhões por violação de dados.
Para evitar incorrer nos altos custos, tanto financeiros como de reputação, associados às violações de dados, os fabricantes de equipamentos elétricos e eletrônicos precisam seguir as melhores práticas para garantir a segurança contínua dos dados. Aqui estão nossas principais recomendações.
Proteger os dados sensíveis contra ameaças internas
A maioria das estratégias de proteção de dados se concentra na prevenção de ciberataques orquestrados por pessoas de fora e não reconhece que a maior fraqueza de segurança de uma empresa muitas vezes são seus próprios funcionários. Através de ataques de phishing e engenharia social, eles podem ser o ponto de entrada de cibercriminosos em uma rede da empresa. Na fabricação, em particular, os infiltrados maliciosos que procuram vender informações confidenciais ou levar propriedade intelectual com eles quando deixam a empresa representam um alto risco.
O tipo mais prevalente de ameaça interna, no entanto, é a negligência. Ao economizar para resolver problemas mais rapidamente, os funcionários podem adotar o uso de ferramentas de colaboração não verificadas, transferir arquivos através da nuvem insegura e serviços de compartilhamento de arquivos ou deixar os arquivos expostos em locais vulneráveis.
Os fabricantes podem usar soluções de prevenção contra perda de dados (DLP) com capacidade de descoberta de conteúdo para identificar, monitorar e controlar dados sensíveis, sejam eles armazenados localmente nos computadores dos funcionários ou quando estão sendo transferidos.
As empresas podem definir o significado de dados sensíveis no contexto de seus próprios negócios; também podem escolher perfis pré-definidos para Informações de Identificação Pessoal (PII) e Propriedade Intelectual, tais como patentes, projetos e código fonte. Com a digitalização contextual e a inspeção de conteúdo, as ferramentas DLP podem pesquisar dados sensíveis em centenas de tipos de arquivos, registrando, relatando e bloqueando sua transferência.
Abordar dados sensíveis armazenados localmente
Os funcionários podem esquecer de apagar arquivos sensíveis de seus registros uma vez concluída uma tarefa. Eles também podem acidental ou intencionalmente obter acesso a dados sensíveis sem o conhecimento da empresa. Isto pode levar a problemas, especialmente no caso de informações confidenciais protegidas sob NDAs de clientes ou parceiros. Para cumprir suas obrigações legais, os fabricantes devem ter um meio de garantir que os dados sensíveis não sejam vulneráveis ou acessados por partes não autorizadas.
As organizações podem usar soluções DLP para procurar em todos os computadores da empresa arquivos que contenham informações sensíveis. Quando são encontrados em locais não autorizados, os fabricantes podem tomar medidas de correção e apagar ou criptografar automaticamente os arquivos que contêm dados sensíveis diretamente do painel de controle DLP.
Controlar dispositivos removíveis
Os funcionários conectam regularmente dispositivos removíveis aos computadores de trabalho para completar suas tarefas, para compartilhar informações, ou para levar dados com eles quando trabalham remotamente ou viajam para negócios fora do local. Embora muito úteis, os dispositivos removíveis ameaçam a segurança dos dados, pois as organizações não podem controlar como os dados neles armazenados são protegidos ou utilizados. Devido ao seu tamanho, eles também são fáceis de perder ou roubar.
Os fabricantes podem usar soluções DLP como o Endpoint Protector, que vêm com recursos de controle de dispositivos para enfrentar este risco. Através delas, as empresas podem bloquear o uso de portas USB e periféricas, bem como conexões Bluetooth ou limitar seu uso a dispositivos aprovados. Desta forma, as empresas podem monitorar qual funcionário tentou copiar arquivos sensíveis em dispositivos removíveis e qual dispositivo foi utilizado.
As políticas granulares também podem permitir diferentes permissões, dependendo do usuário, grupo ou departamento. Alguém que trabalha com dados sensíveis todos os dias, por exemplo, pode ser impedido de usar dispositivos removíveis o tempo todo, enquanto que alguém que precisa compartilhar arquivos grandes regularmente pode ser autorizado a usar dispositivos seguros emitidos pela empresa.
