O vazamento de dados na empresa ocorreu! Quando o incidente de segurança é identificado, há uma série de procedimentos a serem seguidos. Por isso, saber e fazer o que deve ser feito é fundamental. Da mesma forma, descobrir como e por que aconteceu incidente de segurança.
Você sabia que a cada 5 segundos ocorre uma tentativa de fraude no Brasil? Sabia que 35% são de compras de celulares com documentos falsos?
Essa é uma indústria sem tamanho, com números assustadores. Está ativa 24 horas, sete dias por semana, sem descanso para coletar dados e utilizá-los em mais e novas fraudes, golpes e causar incidentes de segurança.
Mas, o que fazer, se grande parte da vida e do trabalho ocorrem no meio digital? Sem investir em prevenção (tempo, práticas, tecnologias e ferramentas) é praticamente impossível se livrar de vazamento de dados na empresa.
O que fazer!?
Em primeiro lugar: calma!
Respire fundo e lembre-se: vazamento de dados ocorrem com bastante frequência.
Evitá-los é possível, acessível e simples. Essa, a boa notícia para empresários que têm um mínimo de conhecimento sobre a necessidade de prevenção contra ciberataques e incidentes de segurança.
O fato é que, coincidência ou não, 100% das empresas que não investem em soluções de tecnologia e compliance em segurança de dados, não conseguem evitar vazamento de dados.
A primeira ação de qualquer empresário, gestor ou profissional de TI é conhecer a situação.
Averiguar o que aconteceu, quando ocorreu e se parou de acontecer!
Em seguida, verificar quais foram os dados expostos e avaliar a extensão dos danos.
Nesse momento, dependendo da cultura e da maturidade corporativa, é hora de começar a agir. De forma prática e rápida, para tentar reduzir os prejuízos do vazamento de dados na empresa.
Sua empresa está pronta para encarar um vazamento de dados?
Essa deveria ser a etapa mais fácil e simples. Afinal, em teoria, bastaria seguir os protocolos, processos e procedimentos preestabelecidos para o caso de vazamento de dados.
É aí que complica: a maioria dos empresários nunca pensou na hipótese de um incidente de segurança.
É um fato lamentável, mas são pouquíssimos os gestores, empresários e profissionais de TI que consideram o risco de ataques cibernéticos.
Um comportamento perigoso que leva a prejuízos certos. Pois, quando não existem cuidados, nem que sejam mínimos, a dor de cabeça é grande.
Ainda mais quando existe a falta da cultura de prevenção e proteção de dados. Um fato que não tem a ver com a maturidade corporativa, mas porque empresas e empresários não têm receio de serem responsabilizados.
Muitas vezes, nem sabem que têm, sim, obrigação e responsabilidade pelos dados que suas empresas coletam, armazenam e tratam.
Ou, falando mais claramente, de forma menos politicamente correta: a falta de fiscalização, responsabilização e penalização é histórica no Brasil.
Uma coisa é certa: as empresas não estavam acostumadas nem tinham medo de pagar por sua ineficiência, imprudência ou negligência com os dados de seus colaboradores, fornecedores e clientes que estão sob sua tutela.
Enfim, esse é um exemplo bastante comum de um tempo que deve deixar de existir. A LGPD, as políticas e as demandas por transparência de dados existem para modificar esse cenário.
Ainda engatinhamos. Mas a proteção de dados (pessoais, sensíveis, sigilosos, biométricos, comportamentais, confidenciais, cadastrais e de navegação) deve cobrar compliance em gestão da segurança de dados – e multar, quando for o caso.
De quem é a responsabilidade sobre vazamento de dados nas empresas?
A responsabilidade de empresas e empresários é impedir, controlar e monitorar comportamentos de risco dos colaboradores.
Porque, quando permitem comportamentos inadequados e/ou impróprios, expõem vulnerabilidades e brechas de segurança:
- deixam a empresa exposta ao vazamento de dados.
- sem prevenção e controle, qualquer colaborador pode colocar a empresa em risco.
- sem processos de compliance, tecnologias e ferramentas de segurança de dados, as empresas facilitam a vida dos cibercriminosos e, pela negligência, se tornam cúmplices em incidentes de segurança.
É obrigação de empresários, gestores e profissionais de TI preservar a integridade e a privacidade de dados. Para isso, podem e devem investir em soluções e tecnologias eficientes em segurança digital.
Vazamento de dados: o que fazer?
Não deixe de assistir a esse vídeo. Vale muito a pena ver e aprender com a discussão sobre segurança digital e vazamento de dados.
De uma forma bastante didática e leve, o programa Opinião, da TV Cultura, aprofunda a questão. Traz boas informações sobre vazamento de dados e sobre o impacto do fator humano.
Com a participação da advogada e doutora em Direito Nathalie Fragoso e do professor de Segurança e Auditoria da ESPM Osmany Arruda, a jornalista e apresentadora Andressa Boni conduz o programa.
Juntos, respondem à seguinte pergunta: qual é a explicação para essas falhas de segurança e quais as consequências e riscos?
Afinal, informação e conhecimento são fundamentais contra o vazamento de dados nas empresas.
Assim como minimizar o impacto do fator humano. Para prevenir contra os principais riscos, brechas de segurança, vulnerabilidades e situações nas quais a proteção de dados é ameaçada.
E agora, sua empresa tem cultura e maturidade para fazer o que precisa?
Com muitas variáveis envolvidas, nem sempre é um assunto fácil de tratar dentro das empresas, entre gestores e colaboradores.
Até porque, do lado dos cibercriminosos, sempre há tempo e não existem regras para inventar um jeito novo de burlar e ameaçar a segurança de dados.
Enquanto isso, no lado “do bem”, as regras, maneiras e formas de prevenir, proteger e evitar riscos cibernéticos levam mais tempo e dependem das práticas do dia a dia para garantir a segurança de dados nas empresas.
Por isso que a tecnologia é uma aliada poderosa das empresas para contra incidentes de segurança. Especialmente, contra vazamento de dados. Afinal, empresários e funcionários direcionam seu tempo para produzir e gerar lucros.
Nesse sentido, a busca por soluções de tecnologia eficientes anda ao lado da formação da cultura e da compliance em segurança de dados.
Se por um lado não existe empresa sem pessoas, por outro, são elas que fazem acontecer o empreendimento comercial. Isto porque empresários e colaboradores são responsáveis por tudo que acontece no mundo corporativo. O bom e o ruim.
Essa perspectiva faz toda a diferença na gestão e no combate institucional aos incidentes de segurança. Pois os colaboradores são a porta de entrada de ataques cibernéticos e do vazamento de dados nas empresas.
Por isso, é preciso fazer o que deve ser feito: treinar funcionários, estruturar e implementar a política de segurança de dados e de gestão do acesso à internet. Certamente, medidas tão relevantes quanto soluções, tecnologias e sistemas de segurança.
O que deveria ocorrer após um vazamento de dados na empresa?
Depois de avaliar o tamanho do problema, é hora de aprender, para evitar.
Como aconteceu e por que aconteceu também são questões importantes. No entanto, são para um segundo momento e para empresas maduras, com cultura e compliance em gestão da segurança de dados.
É isso o que empresas maduras fazem: erram e aprendem com seus erros. Assim, cuidando para nunca repetir desacertos, é que se vai mais longe e com mais sucesso.
Essas, são as respostas mais difíceis de serem apuradas e averiguadas. Sem dúvida, porque dependem de uma série de fatores, elementos e processos presentes, ou não, nas empresas.
Certamente, são muitas as variáveis. Mas, vou citar apenas as duas mais eficazes contra o acesso indevido, a coleta não autorizada e a exposição e/ou venda de dados pessoais, sensíveis ou sigilosos.
Por isso, são processos e elementos indispensáveis contra vazamento de dados na empresa:
- políticas de acesso e controle da internet;
- tecnologias e ferramentas para prevenir incidentes de segurança.
Veja o que fazer no caso de vazamento de dados
O que vazou? Por que vazou? Como os titulares dos dados devem agir para minimizar riscos, danos e prejuízos? Essas são as três questões que as empresas devem avaliar, registrar e informar, respectivamente.
Minimamente, também são essas as informações que devem constar no quarto passo básico e obrigatório após um vazamento de dados na empresa: notificar.
Pesquisamos um conjunto de procedimentos para logo após um vazamento de dados. Veja as melhores recomendações e providências:
Informe-se
Se receber notificações ou souber pela mídia de algum vazamento, informe-se e tente identificar quais dados vazaram (isso ajuda a saber quais medidas tomar).
Procure saber quais medidas foram ou serão tomadas, quais devem ser seguidas, as datas do potencial vazamento e sobre comunicados e notícias a respeito.
Evite acessar sites e abrir arquivos que supostamente confirmem ou exibam os dados do vazamento. Em caso de dúvida, contate diretamente as organizações envolvidas e busque mais informações.
O que fazer em caso de
Credenciais de acesso vazadas: troque imediatamente as senhas expostas. Ative a verificação em duas etapas nas contas que ofereçam esse recurso, caso ainda não tenha feito. Use os mecanismos disponíveis para analisar os registros de acesso e denunciar tentativas/acessos indevidos.
Cartões de crédito ou débito vazados: informe as instituições emissoras dos cartões. Revise o extrato dos seus cartões e da sua conta bancária. Conteste os eventuais lançamentos irregulares que identificar, via os canais oficiais das respectivas instituições.
A quem recorrer
Caso verifique que seus dados foram usados de maneira fraudulenta ou você foi prejudicado de alguma forma.
Fraude financeira: contate as instituições envolvidas e siga as orientações recebidas.
Furto de identidade: registre o Boletim de Ocorrência junto à autoridade policial, para viabilizar a apuração e resguardar-se. Contate as instituições envolvidas.
Vazamento de dados pessoais: quando a empresa é controladora de dados, precisa estar pronta para comunicar e prestar informações sempre que solicitado. Caso a empresa não atenda a essas solicitações, pode sofrer denúncia à Autoridade Nacional de Proteção de Dados (ANPD).
Disponibilize informações sobre quais dados foram vazados; quando teve ciência do vazamento; se acredita os dados pessoais foram indevidamente usados em alguma ação criminosa (como estelionato, fraude ou comércio ilegal de dados pessoais) e quais evidências para confirmar essa hipótese.
Essas e outras informações estão presentes na Cartilha de Segurança para Internet – Fascículo Vazamento de Dados, produzida por cert.br, nic.br e cgi.br, com a contribuição da Autoridade Nacional de Proteção de Dados (ANPD).
O que fazer no caso de vazamento de dados pessoais
É obrigação comunicar à ANPD sempre que acontecer o vazamento de dados pessoais que possa acarretar risco ou dano relevante aos titulares.
Toda empresa deve seguir esses quatro passos:
- Avaliar internamente o incidente – natureza, categoria e quantidade de titulares de dados pessoais afetados, categoria e quantidade dos dados afetados, consequências concretas e prováveis.
- Comunicar ao controlador, se você for o operador, nos termos da LGPD.
- Comunicar à ANPD e aos titulares de dados, em caso de risco ou dano relevante aos titulares.
- Elaborar documentação com a avaliação interna do incidente, medidas tomadas e análise de risco, para fins de cumprimento do princípio de responsabilização e prestação de contas.
A ANPD recomenda posição de cautela. Isto é, a comunicação de incidentes de segurança deve ser efetuada mesmo nos casos em que houver dúvida sobre a relevância dos riscos e danos envolvidos.
Ressalta que a subavaliação dos riscos e danos por parte das empresas, pode ser considerada descumprimento à legislação de proteção de dados pessoais.
Por isso, a comunicação precisa ser bastante detalhada e acompanhada de documentos, para auxiliar a avaliar o incidente, os riscos e as medidas tomadas.
A ANPD disponibiliza neste link um formulário para comunicação de incidentes e geração do relatório do incidente de segurança.
Os titulares dos dados pessoais têm uma série de direitos e podem exigir informações. É fundamental que as empresas se conscientizem disso.
Pois, o não cumprimento da legislação, será objeto de fiscalização da ANPD. E, o descumprimento em disponibilizar informações, por exemplo, pode culminar em sanções.
Esse conteúdo está disponível no site da ANPD. Acesse a matéria completa sobre incidentes de segurança com dados pessoais clicando nesse link.
O que fazer quando e-mail ou senha são expostos
Veja os caminhos mais fáceis e menos dolorosos.
- Senha: troque a combinação por outra mais segura e use um método de verificação em duas etapas.
- E-mail: evite abrir links e anexos de remetentes desconhecidos, redobre a atenção para as mensagens recebidas.
Redobrar a atenção é essencial. Uma vez que os dados ficam expostos, é quase impossível tirá-los da internet. Por isso, tentativas de golpes, que já são comuns, passam a ficar ainda mais bem elaboradas. Afinal, quando cibercriminosos têm informações pessoais precisas, passam a ter maiores chances de confundir usuários durante a abordagem.
Matéria completa: O que fazer em caso de vazamento de dados pessoais?
5 passos para enfrentar um vazamento de dados na empresa
Implementar soluções, ferramentas e processos de compliance de proteção de dados. Veja o que mais é necessário para enfrentar um vazamento de dados na empresa e outros incidentes de segurança.
- Investir e aprimorar as medidas de gestão e controle do acesso à internet e de segurança da informação e de dados.
- Estruturar uma política de acesso à internet, controle e segurança de dados em acordo com as normas existentes e a legislação (LGPD).
- Criar e manter uma equipe de gestão de crises. Pessoal qualificado que deve saber o que fazer, como fazer e quando fazer para ficar à frente da empresa e das ações durante vazamento de dados na empresa ou outros incidentes de segurança.
- Planejar e incorporar à política de controle e política de acesso à internet, controle e segurança de dados, um plano tático e operacional para momentos de crise. Será a cartilha que a equipe de gestão de crises deverá seguir.
- Notificar as vítimas (titulares dos dados vazados) e a Autoridade Nacional de Proteção de Dados (ANPD). No mínimo, a empresa deve completar o formulário de comunicação de incidentes disponibilizado pela ANPD (clique aqui para acessar).
Prevenção e informação são palavras-chave contra incidentes de segurança
Estar bem-informado, aprender sobre vazamento de dados e agir de forma preventiva contribuem para reduzir danos, evitar prejuízos e preservar a reputação de sua empresa.
Processos de gestão e controle do acesso à internet não precisam ser difíceis nem complexos. Investir em soluções para prevenir incidentes de segurança da informação é a estratégia mais acessível e inteligente.
É essencial para sua empresa agir de acordo com a legislação (LGPD). Também, para preservar direitos de privacidade e de segurança de dados pessoais de usuários/consumidores/cidadãos.
Na prática, além da prevenção, as melhores soluções do mercado têm tecnologias que contribuem para melhorar os indicadores de produtividade e de lucratividade. Basta pesquisar e comparar.
Assine nossa newsletter semanal e receba mais notícias e materiais.
