Uma multa de US$ 2 milhões aplicada pelo Departamento de Serviços Financeiros de Nova York (NYDFS) à seguradora Delta Dental Insurance Company virou sinal de alerta para qualquer profissional de TI e segurança da informação. Mais do que o vazamento em si, o órgão regulador se concentrou em erros de configuração, políticas mal aplicadas e lacunas na retenção de dados — pontos que costumam passar despercebidos no dia a dia, mas que podem custar caro, muito caro.
O que realmente aconteceu?
A investigação revelou que a Delta Dental possuía uma política rígida de retenção de dados, mas o software corporativo — especialmente o módulo MOVEit Transfer — permitia alterar prazos de armazenamento pasta a pasta, ou até arquivo por arquivo, sem qualquer procedimento formalizado. Na prática, alguns dados sensíveis que deveriam ter sido destruídos continuaram ativos, tornando-se presa fácil para atacantes.
Por que os reguladores ficaram tão irritados?
Três pontos pesaram na caneta do NYDFS:
- Retenção inconsistente: dados antigos, que deveriam ter sido eliminados, permaneciam na rede.
- Plano de resposta a incidentes falho: não havia diretrizes claras de quem aciona quem (e em quanto tempo) quando o pior acontece.
- Notificação tardia: a empresa demorou a comunicar oficialmente a violação, descumprindo regras estaduais.
Como isso afeta você (mesmo que sua empresa não seja seguradora)
Com a SEC, FTC e agências estaduais aumentando a lupa em cima de vazamentos, qualquer TI que “diz uma coisa e faz outra” vira alvo fácil. Basta uma página corporativa prometer “excluímos seus dados em 12 meses” para que o órgão regulador use essa declaração contra a empresa se o prazo não for seguido à risca.
Na prática:
- Se você administra servidores, ative políticas de expiração automática em pastas sensíveis. Prefira soluções que registrem logs imutáveis.
- Documente exceções: não basta permitir “estender o prazo porque sim”. Crie formulários, aprove responsabilidades e registre quem solicitou, quando e por quê.
- Revise periodicamente seu plano de resposta a incidentes. Uma playbook bem ensaiada poupa tempo (e multas) quando a notificação for obrigatória.
Hardware e ferramentas que fazem diferença
Embora a multa tenha origem em políticas, a tecnologia certa ajuda a cumpri-las. NAS corporativos com WORM (Write Once, Read Many), switches com VLANs isoladas e appliances de backup imutável podem automatizar boa parte dessa governança. Modelos como os da linha Synology Plus ou QNAP Guardian trazem agendamentos de deleção e snapshots criptografados — um ponto que coloca seu ambiente em vantagem quando (não se) perguntar “onde estão os logs?”.
Imagem: Evan Schuman C
Além disso, softwares de transferência segura, como o próprio MOVEit em versões mais recentes, já oferecem políticas granulares integradas. Cabe ao administrador ativá-las e monitorá-las, evitando que a exceção vire regra.
Lição de ouro: política sem execução é só slide de PowerPoint
O caso Delta Dental prova que não basta ter um documento bonito aprovado pelo jurídico. Sem auditoria contínua, treinamento de equipe e checklist de conformidade, a “última versão” da política nunca chega à prática.
Portanto, da próxima vez que alguém sugerir armazenar logs por “só mais seis meses”, lembre-se: cada override precisa de trilha, motivo e aprovação formal. Caso contrário, você pode estar abrindo a porta para a próxima manchete — e para uma conta milionária.
Com informações de Computerworld
