A existência de um plano de gestão da violação de dados assegura que o pessoal e os procedimentos correctos estão em vigor para lidar eficazmente com uma ameaça.
Imagine o pânico quando for detectada uma violação maciça de dados, talvez uma que esteja em curso há meses. Em 2017, Equifax alertou o mundo para o roubo de vários milhões de registos de dados que foram mantidos sob a sua vigilância.
O roubo foi iniciado por uma vulnerabilidade no Apache Struts, um quadro de desenvolvimento amplamente utilizado. O Equifax sabia da vulnerabilidade, mas o funcionário encarregado de remediar a situação não o fez. Seguiu-se uma série de acontecimentos infelizes, incluindo uma falha dos scanners de correcção para localizar mais vulnerabilidades múltiplas, exacerbada por várias falhas de operadores humanos.
Desde então, o Equifax gastou cerca de $1,4 mil milhões (£1 mil milhões) a melhorar a sua segurança. A empresa foi também multada em meio milhão de libras pelo Gabinete do Comissário de Informação do Reino Unido (ICO), e ao ex-CIO da Equifax foi aplicada uma pena de prisão de quatro meses por utilizar a violação para ganho pessoal. A violação de dados da Equifax foi motivo de pesadelos para a empresa.
Ao "andar uma milha na pele de outra pessoa" podemos compreender como cada parte de uma organização lida eficazmente com a gestão da violação de dados. Ao reflectir sobre como cada departamento pode ajudar a desescalar a cadeia de eventos que levam a uma violação de dados, a exposição de dados pode ser gerida de forma mais eficaz.
O Como, e Porquê da Gestão da Quebra de Dados
As violações de dados afectam todas as pessoas de uma organização. Da mesma forma, todos podem ajudar a prevenir ou minimizar o impacto de uma violação de dados. Segue-se uma análise das diferentes responsabilidades de cinco áreas-chave numa organização e do tipo de responsabilidades que cada uma tem na gestão de uma violação de dados.
A Equipa de Incidentes de Segurança
A gestão e prevenção da violação de dados é a base da equipa de incidentes de segurança. Esta equipa tem sido cada vez mais chamada à medida que as violações de dados aumentam em número e intensidade. O seu papel é central para a gestão de uma violação de dados e a equipa depende de um processo robusto para os ajudar nesta tarefa. A equipa de segurança deve poder recorrer a um plano de resposta a incidentes e a um plano de recuperação de desastres para os ajudar a conter a violação. Estes planos ajudam a informar as acções quando ocorre uma violação.
As etapas típicas de contenção e gestão de infracções incluem:
Confirmar a violação
Pode parecer um passo óbvio, mas confirmar que a violação ocorreu e se tem impacto em dados confidenciais ou sensíveis. Os dados recolhidos durante a análise da violação serão invocados se a violação for suficientemente grave para notificar uma autoridade de controlo. As informações que devem ser recolhidas e documentadas incluem:
- Como foi detectada a violação
- Onde ocorreu
- Quem é impactado (incluir quaisquer vendedores de ecossistemas)
- Quem denunciou a violação
- A(s) data(s) em que ocorreram quaisquer infracções
- Que nível de risco a violação representa para a organização/clientes, etc.
- A violação está agora totalmente contida?
Como ocorreu a violação?
Uma análise da violação não só é necessária por razões de conformidade, como também pode ajudar a mitigar a exposição futura aos dados. As dinâmicas de violação são variadas. Os dados podem ser expostos por uma variedade de mecanismos tanto acidentais como maliciosos. Identificar estes mecanismos: tratou-se de uma exposição acidental de um empregado ou de um hack malicioso? A compreensão dos vectores e tácticas utilizadas pode ajudar a aliviar a exposição e a mitigar o ataque.
O tipo de dados afectados
Ser capaz de identificar o nível de risco dos dados afectados é crucial tanto para a notificação e conformidade da violação, como para compreender o impacto global sobre o negócio. Documentar o tipo e o nível de risco dos dados violados. Uma organização já deveria ter desenvolvido um sistema de classificação baseado numa norma como a ISO 27001. Esta norma estabelece quatro categorias de dados:
- Confidencial (só os quadros superiores têm acesso)
- Restrito (a maioria dos empregados tem acesso)
- Interno (todos os empregados têm acesso)
- Informação ao público (todos têm acesso)
Contenção e recuperação
Uma vez detectada uma violação, é vital conter a violação o mais rapidamente possível. As acções tomadas durante a análise da violação permitirão a criação de uma estratégia de contenção. As violações que envolvam funcionários podem exigir uma revisão da formação de sensibilização para a segurança. As violações que envolvam hackers maliciosos externos necessitarão de uma maior exploração dos sistemas e de medidas mitigadoras. Devem ser implementados planos de recuperação para minimizar o impacto da violação.
Legal e Conformidade
Todas as provas documentais recolhidas sobre a violação são utilizadas pelos departamentos jurídico e de conformidade para lidar com as consequências da violação. As equipas jurídica e de conformidade decidirão se a violação se enquadra no âmbito de um requisito de notificação de violação; por exemplo, ao abrigo da Secção 67 da Lei de Protecção de Dados do Reino Unido de 2018 (DPA 2108), deve ser feita uma notificação de violação de dados ao ICO no prazo de 72 horas após a empresa ter tomado conhecimento da violação. Todas as provas documentadas sobre a violação, o local, o porquê, e como é mitigada, recolhidas pela equipa de segurança, serão utilizadas nesta divulgação. Poderá também haver um requisito de revelar a violação a qualquer pessoa afectada. Isto pode exigir uma carta de divulgação pública completa publicada no website da empresa.
Regras de Notificação
A chave para o tratamento legal de uma violação de dados é tomar uma decisão informada sobre se/quando notificar a autoridade de controlo sobre a violação. Questões como, se existe um imperativo regulamentar para comunicar a violação, só podem ser feitas por pessoal qualificado e conhecedor. Esta decisão pode exigir que a violação seja tornada pública: isto tem óbvios efeitos de reputação duradouros e envolverá provavelmente o departamento de marketing para minimizar o impacto da marca. Aqui estão alguns exemplos de avisos públicos de violação:
As regras de notificação de infracção variam consoante os diferentes regulamentos. Por exemplo, de acordo com o Regulamento Geral de Protecção de Dados da UE (GDPR), a notificação da violação deve ser feita no prazo de 72 horas após a identificação de uma violação. Contudo, nos termos do Regulamento de Privacidade e Comunicações Electrónicas (PECR, regulamento que é aplicado aos fornecedores de serviços de Internet e telecomunicações), uma violação de dados pessoais deve ser comunicada ao ICO o mais tardar 24 horas após a detecção.
O Pessoal
Tornando o pessoal parte do processo de gestão das violações, eles tornam-se um recurso de primeira linha na luta contra os ciberataques. O pessoal e a segurança cobrem um vasto espectro de potenciais vulnerabilidades, desde a exposição acidental a dados de phishing até ao conluio com hackers externos.
De acordo com o Data Breach Investigation Report 2020 (DBIR) da Verizon, cerca de 17% das violações de dados podem ser rastreadas simplesmente até erros. Por exemplo, funcionários que partilham palavras-passe ou reutilizam palavras-passe em múltiplas aplicações é uma má prática de segurança.
O phishing continua a ser a arma de eleição dos cibercriminosos; os phishers adoram imitar marcas como a Microsoft para enganar os utilizadores na entrega de credenciais empresariais. A formação de consciência de segurança ensina aos empregados sobre as muitas formas positivas que podem ajudar a manter uma boa postura de segurança da empresa.
Em termos de gestão de infracções, a sensibilização do pessoal deve estender-se à compreensão das suas responsabilidades no âmbito de vários regulamentos, tais como assegurar que os dados dos clientes são respeitados e utilizados dentro dos limites da legislação, tais como a DPA 2018 e a GDPR. Ao compreender onde pode ocorrer uma violação, juntamente com as responsabilidades ao abrigo de vários regulamentos relevantes, uma organização pode cooptar o pessoal para o processo de gestão da violação.
É importante, contudo, formar o pessoal ao nível relevante. Algum pessoal, tal como funcionários técnicos, pode necessitar de formação especializada em segurança e/ou passar por uma certificação.
As novas contratações têm de ser feitas a bordo dos programas de formação de sensibilização para a segurança de uma organização desde o primeiro dia. Revisões regulares da formação de sensibilização para a segurança do pessoal em áreas tais como:
- Phishing
- Higiene de segurança
- Consciência da responsabilidade pela segurança dos dados
deve ser contínuo para se manter eficaz.
A formação de sensibilização para a segurança deve ser incorporada na política de segurança da empresa como parte de um processo de gestão de violações de dados.
Fornecedores de Terceiros
Os ecossistemas dos fornecedores podem ser complexos e podem envolver a quarta e quinta partes. Um relatório recente da Accenture, "State of Cyber Resilience 2020", concluiu que 40% das violações de segurança começam com ataques indirectos ao nível da cadeia de fornecimento. A gestão do risco dos fornecedores faz parte da gestão eficaz de uma violação de dados. As violações de dados relacionadas com o fornecedor são uma consideração de dois sentidos. Além de realizar uma análise de vulnerabilidade dos elos do fornecedor para mitigar os ciberataques, quando ocorre uma violação, o ecossistema do fornecedor deve ser analisado para ver se a violação tem impacto sobre o fornecedor.
A Direcção
Um relatório do governo britânico "Cyber Security Breaches Survey 2021" concluiu que 77% das empresas acreditam que a segurança cibernética é uma alta prioridade para os seus directores ou gestores de topo. Como resultado do elevado perfil das violações de dados, mais conselhos incluem agora peritos no domínio da segurança. Quando ocorre uma violação de dados, um conselho instruído pode apoiar o resto da organização no tratamento da violação, assegurando o cumprimento dos requisitos regulamentares, e assegurando a disponibilidade de um orçamento para gerir a violação e mitigar contra novos ataques.
Os funcionários sabem o que fazer quando há uma quebra de dados?
A implementação de medidas de gestão da violação de dados é uma tarefa empresarial. Uma das partes fundamentais para uma gestão eficaz da violação de dados é a forma como forma o seu pessoal. A relevância é fundamental para garantir que a gestão de incidentes funcione para a sua organização. Cada organização deve desenvolver a sua própria abordagem relevante e única para comunicar e gerir uma quebra de segurança.
A perfuração para optimizar a consciência começa ao nível do povo e do processo. Cada aspecto, desde o mais pequeno detalhe até ao grande quadro, deve ser suficientemente minucioso para assegurar que a sua política de resposta a incidentes seja robusta e compreensível por todo o pessoal. Isto deve incluir:
Comunicações: Desde os números de telefone utilizados até ao endereço de correio electrónico ou qualquer outro sistema utilizado para comunicar uma violação
Papéis e responsabilidades: Destacar os gestores de incidentes relevantes e as suas responsabilidades
Acções: Quem faz o quê, quando e como desempenha o seu papel na ajuda à gestão de uma violação de dados
Remediação: Como corrigir a violação e as lições aprendidas, incluindo qualquer actualização da formação de sensibilização para a segurança
Em empresas multinacionais maiores, estas linhas de comunicação precisam de reflectir em toda a organização, reunindo os departamentos e escritórios da empresa.
Todos precisam de aderir a este plano, desde empregados a gestores e membros do conselho de administração.
