As estatísticas de violação de dados oferecem uma leitura sóbria: se ler este blog regularmente, terá notado que as violações de dados são comuns e muitas vezes começam com um ataque de engenharia social aumentado pelo phishing.
Em 2021, a Cisco registou que 90% das violações de dados começam com phishing, a maior parte destas violações dependem de spear-phishing direccionado. Um ataque cibernético ou mesmo um acidente que leva à perda de dados tem muitas consequências. Mas o que acontece após a ocorrência de uma violação de dados? Alguém tem normalmente de se apropriar de deixar a porta aberta a cibercriminosos, por isso quem transporta a lata quando os dados são violados?
As Pessoas Envolvidas numa Quebra de Dados
Uma violação de dados tem um impacto de grande alcance sobre as pessoas de uma organização. Um ataque cibernético toca no próprio coração de uma empresa, desde o mais alto nível até ao empregado do chão da loja:
O CEO
Um CEO desempenha um papel integral na forma como a segurança cibernética é vista na organização. Uma cultura de segurança vem de cima para baixo, e uma violação de dados reflecte uma fissura nesta cultura. Os CEOs estão também na mira dos cibercriminosos, com golpes como a fraude do CEO e o Business Email Compromise (CEO) utilizando a autoridade de um CEO para cometer fraude.
O analista Gartner resume a situação prevendo que até 2024, 75% dos CEOs poderão ser pessoalmente responsáveis por violações de dados ciberfísicos se a sua empresa não se concentrar ou não investir suficientemente na segurança cibernética. Quando ocorre uma violação de dados, um CEO deve estar preparado para gerir a situação e mitigar o seu impacto no negócio.
O Chefe da Segurança ou CISO (Chief Information Security Officer)
O chefe da segurança é o primeiro ponto de chamada óbvio quando algo relacionado com a segurança corre mal. Numa sondagem Tripwire, 21% dos decisores de TI colocariam a culpa de uma falha de segurança aos pés da CISO. Isto não é surpreendente, pois o trabalho de uma CISO envolve a tomada de decisões sobre as melhores práticas de segurança e a supervisão da sua aplicação.
Assim, quando ocorre uma violação de dados, o CISO ou chefe de segurança será aquele que se encontra no terreno a apanhar as peças ao lado da sua equipa.
A equipa de Segurança ou TI
Os membros da equipa de TI ou de segurança estão na vanguarda de uma violação de dados juntamente com os seus gestores. A sua função é identificar e responder a uma violação de dados. Isto é feito quer internamente quer por um prestador de serviços de segurança gerido por terceiros. No entanto, o tempo para identificar uma quebra de dados pode ser longo.
Por exemplo, um inquérito da IBM descobriu que são necessários, em média, 212 dias para detectar uma violação e 75 dias para a conter. Isto envolve muito trabalho para o pessoal de TI e segurança, retirando-os do trabalho em projectos centrais.
Responsável pelo cumprimento
O responsável pela conformidade está sob enorme pressão após uma violação de dados. A sua função é assegurar que os regulamentos sejam cumpridos após a violação. Isto significa lidar com o supervisor do regulamento para os notificar das métricas de violação de dados. Dependendo do impacto da violação e da lei, isto pode ser no prazo de 24 horas após a descoberta de uma violação.
Os responsáveis pela conformidade devem também lidar com as consequências de uma violação, incluindo lidar com notificações de clientes e imprensa. Finalmente, será tarefa do responsável pela conformidade trabalhar com a CISO e outros para rectificar a situação que causou a violação de dados, a fim de evitar que esta se repita.
Marketing e relações públicas
O marketing pode parecer totalmente fora do âmbito de uma resposta de violação de dados, mas o marketing e as relações públicas devem desempenhar cada vez mais um papel. O embaraço e a exposição prejudicial da marca são frequentemente uma consequência de uma violação de dados.
Um relatório sobre os custos financeiros de um ataque cibernético descobriu que 71% das OCM estavam convencidas de que o custo mais elevado de um incidente de segurança era a perda do valor da marca. Além disso, um inquérito da Okta e do YouGov descobriu que 39% dos empregados britânicos perderam a confiança numa empresa que utilizou indevidamente os seus dados.
A confiança é quebrada quando ocorre uma quebra de dados. Isto afecta materialmente o marketing e as relações públicas de uma empresa. Os profissionais de marketing de uma organização devem trabalhar para resolver o impacto de uma violação de dados na marca de uma organização.
Empregados
A responsabilidade directa pela prevenção e pelo rescaldo de uma violação de dados pode estar à porta da direcção. Ainda assim, os funcionários são também afectados: desde uma queda do moral até ao aumento dos níveis de stress, passando por acções disciplinares por exposição acidental a dados, os funcionários fazem parte do espectro mais amplo de responsabilidade de uma violação de dados. Por conseguinte, os funcionários devem fazer parte de uma cultura geral de segurança para os capacitar.
Consequências da Quebra de Dados da Vida Real
O impacto de uma violação de dados não inclui apenas consequências financeiras; os empregados são afectados materialmente, perdendo muitas vezes o seu emprego, e alguns podem mesmo ir parar à prisão. Por exemplo, um relatório de 2018 da Shred-IT descobriu que 30% das empresas britânicas que sofreram uma violação de dados rescindiram o contrato de um empregado por negligência.
Alguns exemplos de recentes violações de dados que mostram o impacto de grande alcance numa organização e quem acaba por transportar a lata, incluem:
Uber: a empresa de aluguer de automóveis sofreu uma quebra de dados em 2016 que afectou 57 milhões de clientes. No entanto, o chefe da segurança (Joe Sullivan) em Uber não revelou a violação. Em vez disso, o chefe de segurança disse ao seu pessoal para manter o conhecimento da violação "rigorosamente controlado" e para apresentar o incidente como parte de um programa de recompensa de bugs. Sullivan chegou mesmo a pagar aos hackers $100.000 como parte da 'recompensa de bugs', os hackers concordaram em assinar acordos de não divulgação como parte do acordo.
O resultado de todo este subterfúgio devastou tanto Uber como o chefe da segurança. Sullivan foi recentemente considerado culpado de não revelar a violação e enfrenta uma pena máxima de cinco anos de prisão por obstrução e três anos por uma acusação de erro de decisão. Quanto a Uber, a empresa foi multada em 148 milhões de dólares (130 milhões de libras esterlinas) em 2018.
DWP (Department for Work and Pensions): em 2010, 26 empregados foram despedidos por "bisbilhotar dados pessoais". Os dados foram armazenados no Sistema de Informação ao Cliente (CIS) do Departamento do Trabalho e Pensões (Department for Work and Pensions - DWP). As questões foram imputadas a um "regime de segurança laxista" com procedimentos deficientes de acompanhamento das notificações e alertas.
Singhealth: uma violação de dados em Singhealth em 2018 afectou 1,5 milhões de pacientes. Como resultado, dois funcionários, a equipa Citrix, líder e o gestor da resposta a incidentes de segurança, foram considerados negligentes e, consequentemente, despedidos. Além disso, foram emitidas multas pessoais a cinco executivos de alta direcção, incluindo o director executivo.
Como evitar as consequências pessoais de uma quebra de dados
Os dados são da responsabilidade de todos, e a segurança dos dados deve ser uma parte intrínseca da sua estratégia de segurança. Isto é possível se uma empresa trabalhar para desenvolver uma cultura de segurança primeiro que permeia toda a organização. Como aqui demonstrado, todos nós partilhamos as consequências de uma violação de dados.
Contudo, essas consequências podem ser controladas através da criação de uma cultura de segurança onde todos na organização recebem educação sobre como os cibercriminosos operam, a sua parte em manter os dados seguros, e como detectar tentativas de phishing.