Violação de dados: Quem carrega a lata?
Publicado em: 15 Nov 2022
Última modificação em: 24 Jul 2025
As estatísticas sobre violações de dados oferecem uma leitura sóbria: se lês este blogue regularmente, deves ter reparado que as violações de dados são comuns e começam frequentemente com um ataque de engenharia social aumentado por phishing.
Em 2021, A Cisco registou que 90% das violações de dados começam com phishing, sendo que a maioria destas violações se baseia em spear-phishing direcionado. Um ataque cibernético ou mesmo um acidente que leva à perda de dados tem muitas consequências. Mas o que acontece depois de uma violação de dados? Normalmente, alguém tem de assumir a responsabilidade de deixar a porta aberta aos cibercriminosos, por isso, quem carrega a lata quando os dados são violados?
As pessoas envolvidas numa violação de dados
Uma violação de dados tem um impacto de grande alcance nas pessoas de uma organização. Um ataque cibernético afecta o coração de uma empresa, desde os quadros superiores até ao empregado da loja:
O Diretor Executivo
Um diretor executivo desempenha um papel fundamental na forma como a cibersegurança é vista na organização. Uma cultura de segurança vem de cima para baixo, e uma violação de dados reflecte uma falha nesta cultura. Os diretores executivos também estão na mira dos cibercriminosos, com esquemas como o Fraude do CEO e Business Email Compromise (CEO), utilizando a autoridade de um CEO para cometer fraude.
O analista Gartner resume a situação prevendo que, até 2024, 75% dos diretores executivos poderão ser pessoalmente responsáveis por violações de dados ciber-físicos se a sua empresa não se concentrar ou não investir suficientemente na segurança cibernética. Quando ocorre uma violação de dados, o diretor-geral deve estar preparado para gerir a situação e atenuar o seu impacto na empresa.
O chefe de segurança ou o CISO (Chief Information Security Officer)
O chefe de segurança é o primeiro ponto de contacto óbvio quando algo relacionado com a segurança corre mal. Num Segundo um inquérito da Tripwire, 21% dos decisores de TI atribuiriam a culpa de uma violação de segurança ao CISO. Isto não é surpreendente, uma vez que o trabalho de um CISO envolve a tomada de decisões sobre as melhores práticas de segurança e a supervisão da sua aplicação.
Assim, quando ocorre uma violação de dados, o CISO ou o responsável pela segurança é quem está no terreno a apanhar os cacos juntamente com a sua equipa.
A equipa de segurança ou de TI
Os membros da equipa de TI ou de segurança estão na linha da frente de uma violação de dados, juntamente com os seus gestores. A sua função é identificar e responder a uma violação de dados. Isto é feito internamente ou por um fornecedor de serviços de segurança gerido por terceiros. No entanto, o tempo para identificar uma violação pode ser longo.
Por exemplo, um O inquérito da IBM revelou que são necessários, em média, 212 dias para detetar uma violação e 75 dias para a conter. Isto implica muito trabalho para o pessoal de TI e de segurança, afastando-os do trabalho em projectos essenciais.
Responsável pela conformidade
O responsável pela conformidade está sob enorme pressão após uma violação de dados. A sua função é garantir que os regulamentos são cumpridos após a violação. Isto significa lidar com o supervisor da regulamentação para o notificar das métricas da violação de dados. Dependendo do impacto da violação e da lei, isto pode acontecer no prazo de 24 horas após a descoberta da violação.
Os responsáveis pela conformidade também têm de lidar com as consequências de longo alcance de uma violação, incluindo lidar com as notificações dos clientes e da imprensa. Por fim, caberá ao responsável pela conformidade trabalhar com o CISO e outros para retificar a situação que causou a violação de dados e evitar que se repita.
Marketing e relações públicas
O marketing pode parecer totalmente fora do âmbito de uma resposta a uma violação de dados, mas o marketing e as relações públicas devem desempenhar um papel cada vez mais importante. O embaraço e a exposição prejudicial da marca são muitas vezes uma consequência de uma violação de dados.
Um relatório sobre os custos financeiros de um ataque informático revelou que 71% dos CMO estão convencidos de que o custo mais elevado de um incidente de segurança é a perda de valor da marca. Além disso, um inquérito da Okta e da YouGov revelou que 39% dos funcionários britânicos perderam a confiança numa empresa que utilizou indevidamente os seus dados.
A confiança é quebrada quando ocorre uma violação de dados. Isto afecta materialmente o marketing e as relações públicas de uma empresa. Os profissionais de marketing de uma organização devem trabalhar para resolver o impacto de uma violação de dados na marca de uma organização.
Empregados
A responsabilidade direta pela prevenção e pelas consequências de uma violação de dados pode recair sobre a gestão de topo. No entanto, os funcionários também são afectados: desde uma queda na moral até ao aumento dos níveis de stress e às acções disciplinares por exposição acidental de dados, os funcionários fazem parte do espetro mais vasto de responsabilidade de uma violação de dados. Por conseguinte, os funcionários devem fazer parte de uma cultura de segurança geral que os capacite.
Consequências da violação de dados na vida real
O impacto de uma violação de dados não inclui apenas consequências financeiras; os empregados são materialmente afectados, perdendo frequentemente o seu emprego, e alguns podem mesmo acabar na prisão. Por exemplo, um Um relatório de 2018 da Shred-IT concluiu que 30% das empresas britânicas que sofreram uma violação de dados rescindiram o contrato de um funcionário por negligência.
Alguns exemplos de violações de dados recentes que demonstram o impacto de longo alcance numa organização e quem acaba por pagar a fatura, incluem:
Uber: a empresa de aluguer de automóveis sofreu uma violação de dados em 2016 que afectou 57 milhões de clientes. No entanto, o chefe de segurança (Joe Sullivan) da Uber não divulgou a violação. Em vez disso, o diretor de segurança alegadamente disse aos seus funcionários para manterem o conhecimento da violação “rigorosamente controlado” e para apresentarem o incidente como parte de um programa de recompensa por erros. Sullivan chegou mesmo a pagar aos piratas informáticos 100.000 dólares como parte da “recompensa pelos erros”, com os hackers a concordarem em assinar acordos de não divulgação como parte do acordo.
O resultado de todo este subterfúgio devastou tanto a Uber como o chefe de segurança. Sullivan foi recentemente foi considerado culpado por não ter revelado a infração e pode ser condenado a um máximo de cinco anos de prisão por obstrução e três anos por uma acusação de delito. Quanto à Uber, a empresa foi multado em 148 milhões de dólares (130 milhões de libras) em 2018.
DWP (Department for Work and Pensions): em 2010, 26 funcionários foram despedidos por “bisbilhotarem dados pessoais”. Os dados estavam armazenados no Sistema de Informação ao Cliente (CIS) do Departamento do Trabalho e Pensões (DWP). Os problemas foram atribuídos a um “regime de segurança pouco rigoroso” com procedimentos deficientes para dar seguimento a notificações e alertas.
Singhealth: em 2018, uma violação de dados na Singhealth afectou 1,5 milhões de pacientes. Como resultado, dois funcionários, o chefe da equipa Citrix e o gestor de resposta a incidentes de segurança, foram considerados negligentes e, consequentemente, despedidos. Além disso, foram aplicadas multas pessoais a cinco quadros superiores, incluindo o CEO.
Como evitar as consequências pessoais de uma violação de dados
Os dados são um assunto de todos, e a segurança dos dados deve ser uma parte intrínseca da tua estratégia de segurança. Isto é possível se uma empresa trabalhar no sentido de desenvolver uma cultura de segurança que esteja presente em toda a organização. Como demonstrado aqui, todos partilhamos as consequências de uma violação de dados.
No entanto, essas consequências podem ser controladas através da criação de uma cultura de segurança em que todos na organização recebem formação sobre a forma como os cibercriminosos operam, o seu papel em manter os dados seguros e como detetar tentativas de phishing.
