Empresas de Capital de Risco e de Private Equity: Por que a segurança dos dados é importante
A cibersegurança é uma preocupação para todos os setores, mas alguns, como o capital de risco e de private equity, são alvos mais atraentes devido à natureza dos dados que coletam e processam. As empresas de investimento trabalham diariamente com dados financeiros altamente sensíveis, e sua confidencialidade é essencial para o bom andamento de suas operações comerciais.
Como conseqüência, as violações de dados podem afetar gravemente os resultados financeiros de uma empresa de capital de risco ou de private equity. De acordo com o Relatório do Custo da Violação de Dados 2021, elaborado pela IBM e o Instituto Ponemon, as instituições financeiras têm o segundo maior custo de quebra de dados de qualquer setor: US$ 5,72 milhões por violação de dados. A perda de negócios é o maior fator de custo contribuinte e inclui interrupção de negócios e perda de receita do sistema no centro da cidade, perda de clientes existentes e novos clientes, bem como danos à reputação.
Mas as empresas de capital de risco e de private equity não precisam se preocupar apenas com sua própria segurança cibernética, mas também com a dos fornecedores e das empresas do portfólio. De acordo com o guia Cibersegurança para o setor de capital de risco e private equity da British Private Equity and Venture Capital Association (BVCA) e a PWC, 52% das organizações entrevistadas indicaram que o valor das ações de clientes negociados publicamente foi afetado negativamente como resultado da quebra de dados pós-aquisição de uma empresa adquirida.
Espera-se, portanto, que as empresas de capital de risco e de private equity não apenas garantam que os fornecedores terceirizados que lidam com informações sensíveis possam fornecer um nível adequado de cibersegurança antes de contratá-los, mas também realizem a devida diligência de cibersegurança para determinar a maturidade cibernética de um investimento alvo e identificar potenciais riscos cibernéticos que possam impactar as partes envolvidas na transação. Segundo a BVCA e a PWC, 49% dos entrevistados disseram que as transações em que estavam envolvidos se desfizeram por causa de violações não reveladas. 82% também disseram que quanto mais forte for a infra-estrutura de cibersegurança de uma empresa, maior será o valor avaliado para a organização.
Se no passado, a devida diligência era para avaliar a saúde financeira e o potencial de mercado de um investimento alvo, hoje as empresas de capital de risco e private equity não podem mais ignorar o papel crucial que a ciber-segurança desempenha no sucesso de suas operações de fusão e aquisição.
Quando se trata de dados sensíveis, as empresas de capital de risco e de private equity também precisam estar cientes de suas obrigações regulamentares. Informações de Identificação Pessoal (PII) e dados financeiros são protegidos por leis como o Regulamento Geral de Proteção de Dados da UE (GDPR) e a Lei Geral de Proteção de Dados (LGPD), e padrões internacionais como o Padrão de Segurança de Dados da Indústria de Pagamento com Cartão (PCI DSS). O não cumprimento de suas exigências pode levar a pesadas multas e penalidades que podem paralisar gravemente as operações comerciais.
O perigo de ameaças internas
Quando se trata de capital de risco e private equity, as ameaças internas podem ser as mais perigosas. Uma estrutura sólida de ciber-segurança pode proteger os dados contra ameaças externas, mas não protege os dados dos funcionários que têm acesso direto a eles. A filtragem de dados pode ser particularmente tentadora para os funcionários que procuram se mudar para outra empresa ou que procuram se engajar em negociações com informações privilegiadas.
Ao mesmo tempo, devido à sensibilidade dos dados envolvidos, a negligência pode ser igualmente desastrosa para as empresas de capital de risco e de private equity. Os vazamentos de dados podem destruir meses de trabalho e fazer com que os negócios que estão sendo negociados caiam por completo.
Uma maneira de lidar com ameaças internas é usar soluções de Prevenção de Perda de Dados (DLP) que permitam definir dados sensíveis com base nas necessidades de uma empresa. As ferramentas DLP vêm com perfis pré-definidos para tipos comuns de informações protegidas, como PII e propriedade intelectual, mas também permitem políticas customizáveis para atender às exigências de uma empresa. Uma vez definidos os dados sensíveis, as soluções DLP monitoram e controlam sua transferência e uso.
Monitorando dados sensíveis e registrando e relatando quaisquer tentativas de violação de políticas, as soluções DLP permitem que as empresas identifiquem atividades suspeitas de usuários. A tecnologia DLP pode bloquear arquivos contendo informações confidenciais de serem transferidos para endereços de e-mail pessoais ou serviços de armazenamento em nuvem e até mesmo impedir que informações confidenciais sejam impressas ou copiadas para o corpo de um e-mail.
Quando aplicadas no ponto final, as soluções DLP como o Endpoint Protector também podem garantir que suas políticas permaneçam ativas em um computador de trabalho, seja no escritório, usado remotamente ou não conectado à Internet.
Controle do uso de dispositivos removíveis
Outro ponto comum de saída de dados são os dispositivos removíveis. Fáceis de usar, esconder ou perder, os USBs, em particular, são há muito tempo um ponto cego de segurança de dados e têm sido a causa principal de violações maciças de dados no passado. Entretanto, eles também podem ser ferramentas úteis para que os funcionários levem facilmente dados com eles quando saem para reuniões ou conferências.
As empresas de capital de risco e de private equity podem usar soluções DLP para controlar o uso de portas periféricas e USB, assim como conexões Bluetooth. Desta forma, somente dispositivos aprovados pela empresa podem ser conectados a computadores de trabalho. Assim, as empresas podem garantir que os funcionários só utilizem dispositivos seguros emitidos pela empresa e monitorar facilmente quais funcionários estão copiando arquivos sensíveis.
Aplicando criptografia forçada, as empresas podem garantir que todos os arquivos copiados em dispositivos removíveis sejam automaticamente criptografados com criptografia AES de modo CBC de 256 bits. Ninguém sem uma chave de descriptografia pode acessá-los. As senhas podem ser redefinidas se tiverem sido comprometidas, e os dispositivos podem ser limpos remotamente. Fáceis de usar e altamente eficientes, tais soluções garantem que qualquer USB roubado ou perdido não será acessado por terceiros.
Abordando os riscos dos dados em repouso
De acordo com o Relatório de Risco de Dados Financeiros 2021 da Varonis, um funcionário dos serviços financeiros tem acesso, em média, a quase 11 milhões de arquivos. Muitos deles podem conter dados sensíveis da empresa e informações protegidas pela legislação de proteção de dados. As empresas de capital de risco e private equity devem assegurar que tais arquivos, quando não mais utilizados, não sejam simplesmente armazenados em locais desprotegidos onde, em caso de violação de dados, eles possam ser facilmente roubados.
As empresas podem usar ferramentas de descoberta de dados DLP para identificar onde os dados estão sendo armazenados localmente. Algumas soluções também oferecem aos administradores a possibilidade de tomar medidas de correção para apagar ou criptografar dados sensíveis quando encontrados em locais desprotegidos. Isto pode ser feito automaticamente a partir do painel de controle do DLP em toda a rede da empresa.
A descoberta de conteúdo DLP também pode ser útil no caso de auditoria de conformidade. Empresas de capital de risco e private equity podem realizar varreduras de descoberta de conteúdo e gerar relatórios que comprovem a segurança de dados sensíveis, reduzindo o tempo necessário para o processo de auditoria.