Pegada digital é o rastro persistente deixado como resultado de todas as interações de uma pessoa na internet, ela guarda dados do comportamento ativo (como postagens e cliques) e passivo (como endereços de IP, localização e padrões de navegação).
Os dados coletados na pegada digital muitas vezes são permanentes e podem escapar da gestão do usuário. Esses dados se convertem em uma espécie de dossiê que alimenta um perfilamento comportamental e pode ser usado por algoritmos de crédito, recrutadores e sistemas de vigilância, demonstrando uma relação direta com a reputação do usuário
As empresas também deixam uma pegada digital que é ainda mais complexa. Ela consiste em toda a presença online da empresa, incluindo todos os seus ativos, conteúdos e atividades públicas e privadas voltados para a internet. Sites oficiais, dispositivos conectados à internet e bancos de dados confidenciais fazem parte da pegada de uma empresa. Até mesmo as ações dos funcionários (por exemplo, o envio de e-mails de contas da empresa) aumentam a pegada de uma empresa.
A presença organizacional está se tornando cada vez maior e mais distribuída, impulsionada por tendências como o boom da nuvem e o trabalho remoto. Esse crescimento traz riscos. Cada aplicativo, dispositivo e usuário em uma pegada digital é um alvo dos cibercriminosos. Os hackers podem invadir as redes da empresa explorando vulnerabilidades, sequestrando contas ou enganando usuários. Em resposta, as equipes de cibersegurança estão adotando ferramentas que oferecem maior visibilidade e controle sobre a pegada da empresa.
Junte-se aos líderes de segurança que confiam no boletim informativo Think para receber notícias selecionadas sobre IA, cibersegurança, dados e automação. Aprenda rápido com tutoriais e explicações de especialistas, entregues diretamente em sua caixa de entrada. Consulte a Declaração de privacidade da IBM.
No geral, existem dois tipos de pegadas digitais: ativa e passiva.
No contexto organizacional, definir a pegada digital de uma empresa pode ser complicado devido ao número de pessoas e ativos envolvidos. Os contornos da pegada de uma empresa podem mudar diariamente à medida que novos ativos são disponibilizados online e os funcionários usam a internet para realizar tarefas rotineiras.
Diferentes unidades de negócios enfatizam diferentes aspectos da pegada. Os profissionais de marketing se concentram na presença online pública e no conteúdo da marca de uma empresa. As equipes de segurança se concentram na superfície de ataque da organização, que são os ativos conectados à internet que os hackers podem atacar.
Para entender melhor o que uma pegada digital empresarial pode conter, fica mais fácil dividi-la em pegada digital ativa e pegada digital passiva.
A pegada digital ativa de uma empresa consiste em toda a atividade online, ativos e dados que ela controla direta e intencionalmente. A pegada ativa contém itens como:
O conteúdo de marca público da empresa, como sites, contas de redes sociais, blogs, anúncios e outras mídias.
Aplicações e serviços online criados e controlados pela organização, incluindo portais de clientes e contas de clientes nessas aplicações e serviços.
Qualquer hardware ou software voltado para a internet que os funcionários usam para realizar os negócios da empresa, como contas de e-mail, aplicativos na nuvem, endpoints de propriedade da empresa e dispositivos de propriedade do funcionário usados na rede corporativa, dentro ou fora da política de bring your own device (BYOD) da organização.
Dados que a empresa possui, incluindo propriedade intelectual, dados financeiros e registros de clientes.
A pegada passiva de uma empresa consiste em atividades online, ativos e dados conectados à empresa, mas não sob seu controle direto. As pegadas passivas incluem itens como:
Atividade do fornecedor e ativos conectados à rede da empresa, como pacotes de software de terceiros usados em aplicações da empresa ou endpoints que os provedores de serviços usam nos sistemas da empresa.
Ativos de TI invisível, que incluem todos os aplicativos e dispositivos usados ou conectados à rede da empresa sem a aprovação e supervisão do departamento de TI.
Ativos de TI órfãos que permanecem online mesmo que a empresa não os use mais. Exemplos incluem contas antigas em plataformas de redes sociais ou software obsoleto ainda instalado nos notebooks da empresa.
Conteúdo online produzido sobre a empresa por pessoas de fora da empresa, como artigos de notícias e avaliações de clientes.
Ativos maliciosos criados ou roubados por agentes de ameaças para atacar a empresa e prejudicar sua marca. Exemplos incluem um site de phishing, que personifica a marca da organização para enganar os clientes, ou dados roubados vazados na dark web
Os colaboradores e clientes de uma empresa têm suas próprias pegadas digitais. As trilhas de dados que eles deixam para trás podem fazer parte da pegada digital da empresa.
Os clientes contribuem para a pegada digital da empresa interagindo com a organização. Isso inclui postar sobre a empresa nas redes sociais, escrever avaliações e compartilhar dados com a empresa.
Os clientes podem fornecer dados diretamente à empresa, como ao preencher formulários online para realizar inscrições ou ao informar números de cartão de crédito em portais de compras online. Os clientes também contribuem por meio da coleta indireta de dados, como quando uma aplicação registra o endereço IP e os dados de geolocalização do usuário.
Os funcionários contribuem para a pegada digital da empresa sempre que utilizam os ativos online da empresa ou atuam em nome dela na internet. Exemplos incluem o manuseio de dados empresariais, navegar na web com um notebook da empresa ou agir como representante da empresa no LinkedIn.
Até mesmo as pegadas difitais pessoais dos funcionários podem afetar os negócios. Os funcionários podem prejudicar a marca da empresa ao tomar posições controversas nas suas contas pessoais de rede social ou compartilhar informações que não deveriam compartilhar.
O tamanho e o conteúdo da pegada digital de uma empresa podem afetar sua postura de cibersegurança, reputação online e status de conformidade.
A pegada digital de uma empresa pode torná-la um alvo. Os estoques de dados pessoais chamam a atenção dos hackers, que podem ganhar um bom dinheiro lançando ataques de ransomware que mantêm esses dados como reféns e ameaçam vendê-los na dark web.
As empresas também podem irritar hacktivistas e hackers de nações-estado quando usam plataformas online para se posicionar sobre temas políticos.
Quanto maior for a pegada da empresa, mais exposta ela estará a ataques cibernéticos. Cada dispositivo ou aplicativo conectado à internet na rede da empresa é um possível vetor de ataque. Atividades e ativos dos fornecedores também expõem a organização a ataques da cadeia de suprimentos.
Os hackers podem usar as pegadas pessoais dos funcionários para violar a rede. Eles podem usar as informações pessoais que as pessoas compartilham nos sites de rede social para criar golpes de spear phishing e de comprometimento de e-mail comercial altamente direcionados. Até mesmo informações que parecem triviais, como o número de telefone de um funcionário, podem dar uma brecha para os hackers. E se os colaboradores adotarem práticas inadequadas de segurança de senhas (como usar a mesma senha para várias finalidades ou não alterá-las com frequência), eles facilitam o trabalho dos hackers, que podem roubar as senhas e obter acesso não autorizado à rede.
O conteúdo público, a cobertura de notícias e as avaliações de clientes de uma empresa contribuem para sua reputação online. Se a maioria desse conteúdo tiver uma imagem positiva da marca, a empresa terá uma pegada digital positiva. Uma pegada digital positiva pode impulsionar novos negócios, já que muitos clientes em potencial pesquisam as empresas online antes de comprar qualquer coisa.
Por outro lado, uma pegada digital negativa pode atrapalhar os negócios. Cobertura de notícias críticas, clientes chateados que compartilham suas opiniões em sites de redes sociais e sites de empresas de baixa qualidade causam pegadas digitais negativas.
As violações de dados também podem prejudicar a reputação de uma empresa. Os clientes confiam na empresa para proteger a sua privacidade online quando compartilham dados sensíveis. Se esses dados forem roubados, as pessoas poderão levar seus negócios para outro lugar.
Os dados pessoais que uma empresa coleta de seus clientes e funcionários fazem parte de sua pegada digital. Grande parte desses dados pode estar sujeita a certas regulamentações de privacidade de dados e específicas do setor. Por exemplo, qualquer organização que faça negócios com clientes na UE deve cumprir com o Regulamento Geral sobre a Proteção de Dados, e o prestadores de serviços de saúde e outros prestadores que lidam com informações de saúde protegidas do paciente devem cumprir com a Lei de portabilidade e responsabilidade de planos de saúde (HIPAA).
A não conformidade regulatória pode levar a ações legais, multas e perda de negócios. Casos de não conformidade jornalística geralmente envolvem violações de dados em grande escala ou ciberataques. Mas uma organização corre o risco de não conformidade regulatória em qualquer lugar na sua pegada digital. Por exemplo, um funcionário do hospital postar a foto de um paciente ou fofocar sobre um paciente nas redes sociais pode constituir uma violação da HIPAA.
Embora uma empresa não possa controlar todos os aspectos de sua pegada digital, pode tomar medidas para impedir que atores mal-intencionados usem essa pegada contra ela.
Algumas organizações rastreiam as partes públicas de suas pegadas digitais configurando alertas do Google ou outras notificações de mecanismos de pesquisa com o nome da empresa. Isso permite que a empresa fique por dentro da cobertura jornalística, das avaliações e de outros conteúdos que podem afetar sua reputação online.
O software de gerenciamento de superfície de ataque pode mapear, monitorar e proteger ativos voltados para a internet, como endpoints, aplicações e bancos de dados. As soluções de gerenciamento de eventos e informações de segurança (SIEM) podem detectar atividades anormais e potencialmente maliciosas em toda a pegada. As soluções de detecção e resposta de endpoint (EDR) podem proteger os ativos que os hackers podem ter como alvo. As ferramentas de prevenção contra perda de dados podem impedir violações de dados em andamento.
As redes virtuais privadas podem proteger a atividade online dos funcionários e usuários contra hackers, dando-lhes menos um vetor na rede.
O treinamento de consciência de segurança pode ensinar aos funcionários como proteger suas identidades digitais, beneficiando tanto a eles quanto o empregador. Os hackers têm menos informações para trabalhar quando os funcionários sabem evitar o compartilhamento excessivo e usam configurações de privacidade fortes.
O treinamento também pode se concentrar em detectar golpes de phishing e usar os ativos da empresa adequadamente para evitar expor a rede a malware ou a outras ameaças.