Como reduzir o impacto financeiro de uma violação de dados
Gorodenkoff / Shutterstock. com
Quer haja um resgate ou não, as violações de dados sempre têm implicações financeiras. As organizações podem enfrentar penalidades regulatórias, perdas operacionais e danos à reputação. Um planejamento cuidadoso pode economizar tempo e dinheiro.
O impacto de uma violação de dados
Violações de dados acontecem quando há uma falha na segurança que leva à exposição de dados privados. Às vezes é um trabalho interno. A equipe pode cometer um erro ou guardar rancor e divulgar dados maliciosamente, ou alguém pode ser um denunciante. Mas as violações de dados são mais comumente causadas por ataques cibernéticos. Ataques de ransomware, campanhas hacktivistas, ataques doxxing e espionagem industrial podem levar a violações de dados.
RELACIONADOComo se preparar e combater um ataque de ransomware
O impacto financeiro de uma violação de dados pode ser enorme. Por exemplo, ataques de ransomware fazem as organizações perderem receita no momento em que são atingidas. Mesmo que algumas partes de uma empresa possam funcionar, ela ainda pode perder receita. No ataque de ransomware Colonial Pipeline de maio de 2021, os depósitos de produção de combustível puderam operar, mas isso não ajudou. A Colonial Pipeline havia perdido seus sistemas de faturamento. Eles podiam produzir combustíveis, mas não podiam entregá-los nem cobrá-los.
Se as informações de identificação pessoal (PII) forem violadas, é provável que a legislação local, nacional ou mesmo internacional de proteção de dados imponha uma multa sobre você. As multas levam em consideração fatores como o número de titulares de dados afetados e as circunstâncias da violação. Mesmo que nenhum dado saia de sua rede, um ataque de ransomware é considerado uma violação porque você perdeu o controle de seus dados.
Publicidade
Receitas perdidas e resgates são fáceis de enumerar. Assim como o custo de remediação e recuperação. É muito mais difícil quantificar como uma queda na confiança de clientes e funcionários afetará sua organização. Danos à reputação e à marca podem fazer com que os estoques caiam, funcionários importantes abandonem o barco e os clientes saiam.
As violações de dados estão aumentando e ataques notáveis são relatados quase todos os dias. Para cada atração principal, existem inúmeras outras violações de pequena escala em organizações menores. Para minimizar o dano financeiro, você precisa ser capaz de reagir rapidamente se ocorrer uma violação. Isso significa que você deve se preparar proativamente para esse tipo de incidente.
Entenda sua propriedade de TI
RELATEDPower to the People? Por que o hacktivismo está de volta
Os dias do clássico estado de TI no local acabaram. Muito poucas organizações mantêm a infraestrutura totalmente local dos anos anteriores aos anos 2000. Mesmo que seja apenas um backup externo, um repositório Git remoto ou Microsoft 365, é quase impossível não ter algum tipo de componente de nuvem em suas operações de TI.
E embora a computação em nuvem possa trazer benefícios em custo, escalabilidade e disponibilidade, ela também pode trazer suas próprias complexidades. Quando você adiciona contêineres, microsserviços, dispositivos móveis, dispositivos inteligentes e APIs, sua superfície de ataque se torna muito maior. Isso torna sua TI e redes difíceis de defender e fica mais complicado de restaurar em caso de desastre.
É por isso que é imperativo que você faça um balanço e quantifique exatamente em que consiste o seu patrimônio de TI. Documente todos os sistemas operacionais, aplicativos e hardware. Crie registros de ativos de hardware e software e inclua as funções e funções dos ativos. Isso o ajudará na criação de seu plano de resposta a incidentes. Este será o manual que você seguirá quando ocorrer um incidente.
RELACIONADO: Como se preparar e combater um ataque de ransomware
O que você restaura primeiro?
Se tudo estiver inoperante, o que você restaura primeiro? Quanto mais rápido você puder restaurar a capacidade operacional, mais rápido poderá retomar seus fluxos de receita. É por isso que seus registros de ativos de TI precisam incluir as funções e funções dos aplicativos, servidores e software. Essas informações guiarão a criação de seu plano de resposta a incidentes (IRP).
O ensaio do plano de resposta a incidentes — com todas as partes interessadas apropriadas presentes e engajadas — revelará os sistemas críticos que precisam ser restaurados antes que qualquer coisa funcione. Depois de fazer isso, você pode determinar em conjunto a ordem em que funções vitais de trabalho ou departamentos precisam ser restaurados.
Publicidade
Um plano de resposta a incidentes o ajudará a minimizar seu tempo de inatividade geral. Isso não pode ser reduzido além de certas limitações práticas, ditadas pelo tamanho e complexidade de sua infraestrutura de TI e pela gravidade do ataque. O melhor que você pode fazer é estabelecer a ordem em que as equipes ou departamentos financeiramente críticos são colocados on-line novamente.
Se você está tendo uma hemorragia de dinheiro de um lugar específico, é onde você pressiona o ferro quente.
Um IRP é um documento comercial
Seu plano de resposta a incidentes não é apenas um documento de TI ou da equipe de segurança. É uma política e um procedimento de negócios críticos. É vital que, quando for revisado, aprovado e ensaiado, todas as partes interessadas da empresa estejam envolvidas. Além de fornecer informações e orientação, eles obterão uma compreensão dos problemas e desafios de um incidente genuíno.
RELACIONADOO que é Doxxing e como ele é armado?
Essa compreensão terá dois benefícios principais. A primeira é que eles entenderão que, em um incidente da vida real, a equipe de segurança deve ter permissão para trabalhar nos problemas e lidar com o incidente. Ficar de pé sobre eles não ajudará. A segunda é que a empresa reconhecerá a necessidade de conhecimento especializado. E se essa experiência não estiver disponível internamente, eles devem ver o valor de localizar um fornecedor competente e se envolver com ele, agora, e não no meio de um incidente.
Procurar especialistas externos durante uma crise é tarde demais. Se você encontrar alguém, pagará taxas de emergência. Do ponto de vista técnico, eles &’ serão menos eficazes virando frio do que se tivessem sido engajados, em contenção stand-by, com antecedência e tivessem tempo para se familiarizarem com sua operação.
Claro, pode não ser apenas a segurança ou outro conhecimento técnico que você precise recorrer. Relações públicas, recursos humanos, centrais de atendimento e funções de mídia social podem precisar de reforço com suporte externo.
Prepare a documentação regulamentar
Quando ocorre uma violação, um relógio começa a contar. Dependendo da legislação de proteção de dados em vigor — ditada pela residência dos titulares dos dados, e não a localização da sua organização — você &’ terá um curto período de tempo para realizar várias etapas obrigatórias. O não cumprimento dessas etapas ou o não cumprimento dos prazos aumentará as multas aplicadas a você.
Publicidade
Por exemplo, o período de tempo dentro do qual você deve notificar o órgão de proteção de dados apropriado — a autoridade supervisora — da violação pode ser tão curto quanto 72 horas. Obviamente, você precisa entender toda a legislação de proteção de dados que se aplica a você e o que cada uma exige de você.
Se você processar os dados pessoais de cidadãos do Reino Unido, deverá cumprir a Lei de Proteção de Dados 2018, que contém a versão do Reino Unido do GDPR. Se você processar dados pessoais de cidadãos de países da UE, deverá cumprir a versão europeia do GDPR. Se você atender aos critérios de qualificação da CCPA e se enquadrar em seu escopo, sua organização também deverá atender à CCPA. E assim por diante, para cada parte da legislação aplicável. Seu oficial de proteção de dados ou CIO deve ter fornecido informações para o plano de resposta a incidentes para que as ações e os prazos exigidos por cada parte da legislação sejam claros.
As notificações enviadas às autoridades de supervisão e titulares dos dados informando-os da violação devem incluir seções obrigatórias e detalhes suficientes para satisfazer a autoridade de supervisão. Isso torna inviável ter declarações pré-preenchidas preparadas com antecedência. Mas você pode preparar documentos com as informações obrigatórias sobre seus sistemas de TI e a organização. Com um pacote de documentos prontos para incidentes para cada parte da legislação, o desafio de cumprir as demandas regulatórias dentro dos prazos é reduzido a uma série de exercícios de coleta de dados e preenchimento de formulários.
Talvez você seja multado pela violação de dados. Garantir que os aspectos de conformidade do incidente sejam corrigidos evita o aumento das multas desnecessariamente.
RELACIONADO: A CCPA não é apenas para empresas da Califórnia. Aqui está o que você precisa para estar em conformidade
Responsabilidades upstream e downstream
Organizações que processam dados em nome de outras organizações são conhecidas como processadores de dados. As organizações que se envolvem com eles são controladores de dados. Os processadores e controladores de dados têm responsabilidade conjunta pelos dados. Se um processador de dados tiver uma violação, a legislação moderna de proteção de dados considera ambas as partes responsáveis. O controlador de dados escolheu o processador de dados, e o processador de dados teve a violação.
Publicidade
Ambas as partes podem receber multas e os titulares dos dados podem processar vocês dois. se o processador de dados disser que o motivo da violação foi devido a alguma omissão ou omissão por parte do controlador de dados, ele poderá processar o controlador de dados.
É importante ter contratos de processador de dados em vigor com todos os seus processadores de dados. E se você for um processador de dados, certifique-se de que os termos dos contratos de processamento de dados aos quais você está sujeito não sejam punitivos injustamente financeiramente.
É melhor prevenir do que remediar
Mas a preparação é melhor do que o pandemônio se o pior acontecer. Ter um plano de jogo holístico que rege as equipes técnicas internas, a ajuda de especialistas externos e as equipes jurídicas e de conformidade irá guiá-lo em uma violação de dados de uma forma que ajudará a reduzir as implicações financeiras.
Nenhum comentário