Os dados foram obtidos por meio de uma solicitação da Lei de Liberdade de Informação ao Information Commissioner’s Office (ICO) do Reino Unido, o órgão público responsável por monitorar e multar violações de dados. Abrangeu violações de dados pessoais, incluindo dados de saúde, financeiros, de emprego e registros criminais.
A pesquisa mostrou que, embora as violações de dados geralmente estejam associadas às ações de criminosos maliciosos, a realidade indica algo bem diferente: 88% foram o resultado de erro humano.
O erro mais comum era enviar dados confidenciais para o destinatário errado, que foi a causa de 37% das violações de dados relatadas. A maioria deles aconteceu por e-mail, mas um número considerável também ocorreu por correio ou fax.
Outros erros comuns incluem perda ou roubo de documentos em papel, esquecimento de redigir dados ou armazenamento de dados em um local inseguro, como um servidor de nuvem pública.
“A segurança cibernética eficaz não se trata apenas de tecnologia. Freqüentemente, as empresas compram o software mais recente para se protegerem de hackers, mas falham em instigar os processos de gerenciamento de dados e a educação dos funcionários necessários para mitigar os riscos ”, disse Andrew Beckett, diretor administrativo e líder EMEA da Kroll’s Cyber Risk Practice.
“A maioria das violações de dados, e até mesmo muitos ataques cibernéticos, podem ser evitados por vigilância humana ou pela implementação de procedimentos de segurança relativamente simples.”
Relatórios de violações de dados no Reino Unido aumentam com o GDPR
Com a introdução do GDPR em maio de 2018, tornou-se obrigatório para as empresas informarem as violações de dados ao ICO. No entanto, esta pesquisa sugere que as empresas fizeram isso cada vez mais em preparação para a regulamentação.
Significativamente, esses relatórios representam apenas um pequeno número das violações de dados sofridas por empresas do Reino Unido durante este período.
“Relatar violações de dados não era obrigatório para a maioria das organizações antes do GDPR entrar em vigor, então, embora os dados sejam reveladores, eles fornecem apenas um instantâneo da verdadeira imagem das violações sofridas por organizações no Reino Unido”, disse Beckett.
“O recente aumento no número de relatos provavelmente se deve tanto ao preparo das organizações para o GDPR quanto ao aumento de incidentes.”
“Agora que o regulamento está em vigor, esperamos ver um aumento significativo no número de incidentes relatados, já que o GDPR impõe a todas as organizações o dever de relatar certos tipos de violação de dados pessoais.”