A existência de um plano de gestão de violações de dados garante a existência do pessoal e dos procedimentos adequados para lidar eficazmente com uma ameaça.

Imagina o pânico quando é detectada uma violação maciça de dados, talvez uma violação que já dura há meses. Em 2017, a Equifax alertou o mundo para o roubo de vários milhões de registos de dados que estavam sob a sua vigilância.

O roubo foi iniciado por uma vulnerabilidade no Apache Struts, uma estrutura de desenvolvimento amplamente utilizada. A Equifax sabia da vulnerabilidade, mas o funcionário encarregado de a corrigir não o fez. Seguiu-se uma série de acontecimentos infelizes, incluindo a incapacidade dos scanners de correção para localizar outras vulnerabilidades múltiplas, exacerbada por várias falhas de operadores humanos.

Desde então, a Equifax gastou cerca de 1,4 mil milhões de dólares (mil milhões de libras) para melhorar a sua segurança. A empresa foi também multada em meio milhão de libras esterlinas pelo Information Commissioner’s Office (ICO) do Reino Unido e o ex-CIO da Equifax foi condenado a uma pena de prisão de quatro meses por ter utilizado a violação para benefício pessoal. A violação de dados da Equifax foi um pesadelo para as empresas.

Ao “andar uma milha na pele de outra pessoa”, podemos compreender como cada parte de uma organização lida eficazmente com a gestão de violações de dados. Ao refletir sobre a forma como cada departamento pode ajudar a reduzir a cadeia de acontecimentos que conduzem a uma violação de dados, a exposição dos dados pode ser gerida de forma mais eficaz.

O como e o porquê da gestão da violação de dados

As violações de dados afectam todos os elementos de uma organização. Da mesma forma, todos podem ajudar a evitar ou minimizar o impacto de uma violação de dados. Segue-se uma análise das diferentes responsabilidades de cinco áreas-chave de uma organização e do tipo de responsabilidades que cada uma tem na gestão de uma violação de dados.

A Equipa de Incidentes de Segurança

A gestão e prevenção de violações de dados é o pilar da equipa de incidentes de segurança. Esta equipa tem sido cada vez mais solicitada à medida que as violações de dados aumentam em número e intensidade. O seu papel é fundamental para a gestão de uma violação de dados e a equipa depende de um processo sólido para a ajudar nesta tarefa. A equipa de segurança deve poder recorrer a um plano de resposta a incidentes e a um plano de recuperação de desastres para os ajudar a conter a violação. Estes planos ajudam a informar as acções depois de ocorrer uma violação.

Os passos típicos na contenção e gestão de violações incluem:

Confirma a violação

Pode parecer um passo óbvio, mas confirma que a violação ocorreu e se afecta dados confidenciais ou sensíveis. Os dados recolhidos durante a análise da violação serão utilizados se a violação for suficientemente grave para notificar uma autoridade de controlo. As informações que devem ser recolhidas e documentadas incluem:

  • Como foi detectada a violação

  • Onde ocorreu

  • Quem é afetado (inclui quaisquer fornecedores de ecossistemas)

  • Quem comunicou a violação

  • A(s) data(s) em que ocorreram as infracções

  • Qual o nível de risco que a violação representa para a organização/clientes, etc.

  • A violação já foi totalmente contida?

Como é que a violação ocorreu?

Uma análise da violação não é apenas necessária por motivos de conformidade, mas também pode ajudar a reduzir a exposição futura dos dados. A dinâmica das violações é variada. Os dados podem ser expostos por uma variedade de mecanismos acidentais e maliciosos. Identifica estes mecanismos: tratou-se de uma exposição acidental de um funcionário ou de um hack malicioso? Compreender os vectores e as tácticas utilizadas pode ajudar a aliviar a exposição e a atenuar o ataque.

O tipo de dados afectados

Ser capaz de identificar o nível de risco dos dados afectados é crucial tanto para a notificação da violação como para a conformidade, bem como para compreender o impacto global na empresa. Documenta o tipo e o nível de risco dos dados violados. Uma organização já deve ter desenvolvido um sistema de classificação baseado numa norma como a ISO 27001. Esta norma estabelece quatro categorias de dados:

  1. Confidencial (só os quadros superiores têm acesso)

  2. Restrito (a maioria dos empregados tem acesso)

  3. Interno (todos os empregados têm acesso)

  4. Informação pública (todos têm acesso)

Contenção e recuperação

Uma vez detectada uma violação, é fundamental contê-la o mais rapidamente possível. As acções tomadas durante a análise da violação permitirão a criação de uma estratégia de contenção. As violações que envolvem funcionários podem exigir uma revisão da formação de sensibilização para a segurança. As violações que envolvam hackers maliciosos externos necessitarão de uma exploração mais aprofundada dos sistemas e das medidas de mitigação. Devem ser implementados planos de recuperação para minimizar o impacto da violação.

Jurídico e conformidade

Todas as provas documentais recolhidas sobre a violação são utilizadas pelos departamentos jurídico e de conformidade para lidar com as consequências da violação. As equipas jurídica e de conformidade decidirão se a violação se enquadra no âmbito de um requisito de notificação de violação; por exemplo, ao abrigo da Secção 67 da Lei de Proteção de Dados do Reino Unido de 2018 (DPA 2108), deve ser feita uma notificação de violação de dados ao ICO no prazo de 72 horas após a empresa ter tido conhecimento da violação. Todas as provas documentadas sobre a violação, o local, o motivo e a forma como foi atenuada, recolhidas pela equipa de segurança, serão utilizadas nesta divulgação. Também pode ser necessário divulgar a violação a qualquer pessoa afetada. Isto pode exigir uma carta de divulgação pública completa publicada no sítio Web da empresa.

Regras de notificação

A chave para o tratamento legal de uma violação de dados é tomar uma decisão informada sobre se/quando notificar a autoridade de controlo sobre a violação. Perguntas como “existe um imperativo regulamentar para comunicar a violação” só podem ser feitas por pessoal qualificado e conhecedor. Esta decisão pode exigir que a violação seja tornada pública: isto tem efeitos óbvios e duradouros na reputação e provavelmente envolverá o departamento de marketing para minimizar o impacto na marca. Eis alguns exemplos de avisos públicos de violação:

Violação da Equifax

Violação da CapitalOne

Violação do Twitter

As regras de notificação de violações variam consoante os diferentes regulamentos. Por exemplo, de acordo com o Regulamento Geral sobre a Proteção de Dados (RGPD) da UE, a notificação da violação deve ser feita no prazo de 72 horas após a identificação da ocorrência de uma violação. No entanto, ao abrigo do Regulamento sobre Privacidade e Comunicações Electrónicas (PECR, regulamento aplicado aos fornecedores de serviços de Internet e telecomunicações), uma violação de dados pessoais deve ser comunicada ao ICO no prazo máximo de 24 horas após a sua deteção.

O pessoal

Ao integrar o pessoal no processo de gestão de violações, este torna-se um recurso de primeira linha na luta contra os ciberataques. O pessoal e a segurança cobrem um vasto espetro de potenciais vulnerabilidades, desde a exposição acidental de dados, passando pelo phishing, até ao conluio com hackers externos.

De acordo com o Data Breach Investigation Report 2020 (DBIR) da Verizon, cerca de 17% das violações de dados podem ser atribuídas simplesmente a erros. Por exemplo, o facto de os funcionários partilharem palavras-passe ou reutilizarem palavras-passe em várias aplicações é uma má prática de segurança.

O phishing continua a ser a arma de eleição dos cibercriminosos; os phishers adoram imitar marcas como a Microsoft para enganar os utilizadores e levá-los a entregar credenciais empresariais. A formação de sensibilização para a segurança ensina os funcionários sobre as muitas formas positivas de ajudar a manter uma boa postura de segurança da empresa.

Em termos de gestão de violações, a sensibilização do pessoal deve estender-se à compreensão das suas responsabilidades no âmbito de vários regulamentos, tais como garantir que os dados dos clientes são respeitados e utilizados dentro dos limites da legislação, como a DPA 2018 e o RGPD. Ao compreender onde pode ocorrer uma violação, juntamente com as responsabilidades ao abrigo de vários regulamentos relevantes, uma organização pode cooptar o pessoal para o processo de gestão de violações.

É importante, no entanto, formar o pessoal ao nível adequado. Alguns funcionários, como os técnicos, podem necessitar de formação especializada em segurança e/ou de certificação.

As novas contratações devem ser integradas nos programas de formação de sensibilização para a segurança da organização desde o primeiro dia. Revisões regulares da formação de sensibilização para a segurança do pessoal em áreas como:

  • Phishing

  • Higiene da segurança

  • Consciencialização da responsabilidade pela segurança dos dados

…deve ser contínua para se manter eficaz.

A formação de sensibilização para a segurança deve ser incorporada na política de segurança da empresa como parte de um processo de gestão da violação de dados.

Fornecedores terceiros

Os ecossistemas de fornecedores podem ser complexos e podem envolver quarta e quinta partes. Um relatório recente da Accenture, “State of Cyber Resilience 2020“, concluiu que 40% das violações de segurança começam com ataques indirectos ao nível da cadeia de fornecimento. A gestão do risco do fornecedor faz parte da gestão eficaz de uma violação de dados. As violações de dados relacionadas com o fornecedor são uma consideração bidirecional. Para além de realizar uma análise da vulnerabilidade das ligações do fornecedor para atenuar os ciberataques, quando ocorre uma violação, o ecossistema do fornecedor deve ser analisado para verificar se a violação afecta o fornecedor.

A Direção

Um relatório do Governo britânico intitulado “Cyber Security Breaches Survey 2021” concluiu que 77% das empresas consideram que a cibersegurança é uma prioridade elevada para os seus diretores ou gestores de topo. Como resultado do elevado perfil das violações de dados, cada vez mais conselhos de administração incluem especialistas no domínio da segurança. Quando ocorre uma violação de dados, um conselho de administração instruído pode apoiar o resto da organização no tratamento da violação, assegurando que os requisitos regulamentares são cumpridos e garantindo que existe um orçamento disponível para gerir a violação e mitigar novos ataques.

Os funcionários sabem o que fazer quando há uma violação de dados?

A implementação de medidas de gestão das violações de dados é uma tarefa que envolve toda a empresa. Uma das partes mais importantes da gestão eficaz de violações de dados está na forma como forma o seu pessoal. A relevância é fundamental para garantir que a gestão de incidentes funciona para a tua organização. Cada organização deve desenvolver a sua própria abordagem relevante e única para comunicar e gerir uma violação da segurança.

O aprofundamento para otimizar a sensibilização começa ao nível das pessoas e dos processos. Todos os aspectos, desde o mais ínfimo pormenor até ao quadro geral, devem ser suficientemente minuciosos para garantir que a sua política de resposta a incidentes é sólida e compreensível para todo o pessoal. Isto deve incluir:

Comunicações: Desde os números de telefone utilizados até ao endereço de correio eletrónico ou qualquer outro sistema utilizado para comunicar uma violação

Funções e responsabilidades: Destacar os gestores de incidentes relevantes e as suas responsabilidades

Acções: Quem faz o quê, quando e como desempenha o seu papel na gestão de uma violação de dados

Correção: Como corrigir a violação e as lições aprendidas, incluindo qualquer atualização da formação de sensibilização para a segurança

Nas grandes empresas multinacionais, estas linhas de comunicação devem refletir-se em toda a organização, reunindo os departamentos e escritórios da empresa.

Todos têm de aderir a este plano, desde os empregados aos gestores e aos membros da direção.

Conscientização sobre segurança cibernética para leigos