Como se preparar para o risco de um vazamento de dados

Um vazamento de dados é um incidente de segurança no qual as informações de uma organização são acessadas sem autorização.

Os dados vazados podem dizer respeito a informações como nome, data de nascimento, endereço e informações da conta bancária dos seus clientes, usuários e empregados, por exemplo.

Portanto, se a sua empresa ou organização descobrir que uma pessoa não autorizada visualizou alguma informação, houve um vazamento de dados.

Entendendo isso, não é difícil imaginar que vazamentos podem prejudicar empresas e consumidores de várias maneiras diferentes. Eles são uma despesa cara e podem danificar vidas e reputações, e isso leva tempo para consertar.

Sim, estamos falando de um problema complexo e que envolve diversos fatores. Infelizmente para as vítimas nunca existirá segurança perfeita e não há como eliminar, por completo, o risco da ocorrência de um vazamento de dados.

Sendo assim, preparar-se para um vazamento também implica em saber quais os procedimentos são necessários para documentar, avaliar e relatar um vazamento da maneira correta.

Primeiros passos

Certifique-se de que você tenha políticas, rotinas e instruções que toda pessoa em sua empresa esteja ciente.

O mínimo que todos devem saber é o que são vazamentos de dados, que isso não deve ser negligenciado e a pessoa a quem devem reportar um vazamento o mais rápido possível.

Depois de detectar um vazamento de dados na organização, é importante responder rapidamente. O relógio está correndo desde o momento em que sua empresa tomou conhecimento da violação.

Criar procedimentos internos

Conscientizar os funcionários e ter uma cadeia de encaminhamento clara e eficiente em funcionamento é necessário para responder a um vazamento de dados.

Dependendo do tamanho da sua organização, a duração da sua cadeia de encaminhamento pode variar, mas geralmente a recomendação é mantê-la o mais curta possível para evitar perder muito tempo executando-a em muitas instâncias. Além disso, pode ser apropriado usar um formulário de relatório interno para documentar as medidas tomadas para que as informações não se percam no caminho.

Simultaneamente, com a execução do relatório interno, o pessoal qualificado deve tomar as medidas iniciais para conter o vazamento e limitar os danos. Isso pode significar corrigir um erro, desligar um sistema violado ou limpar remotamente um dispositivo perdido.

A equipe de resposta a incidentes

No final da sua cadeia de escalonamento, deve haver uma equipe de resposta a incidentes composta pelas partes interessadas em sua organização. Essa equipe provavelmente incluirá seu CEO e os chefes dos departamentos jurídico, de TI, de segurança e de relações públicas.

Essa equipe será responsável por liderar a investigação do incidente, reunindo todos os fatos importantes no menor tempo possível. Terá então que determinar qual a posição da organização com relação aos dados pessoais afetados. Se esses dados foram processados ​​na posição de um operador, você deve informar ao controlador que esteja vinculado, sem atrasos indevidos.

Deve informá-los sobre a natureza do vazamento (incluindo categorias e número de titulares de dados e dos registos de dados pessoais violados em causa), as consequências prováveis do vazamento, as medidas propostas ou adotadas para resolver e atenuar o vazamento e os seus possíveis efeitos negativos.

Inclua também o nome e os detalhes de contato de onde mais informações podem ser obtidas. O controlador fará então avaliações adicionais se a violação precisar ser reportada à autoridade nacional e aos titulares dos dados.

Avaliando o risco

Sua organização figura como controlador? Se sim, será necessário avaliar e executar um plano de resposta, considerando os seguintes fatores:

  • A descrição da natureza dos dados pessoais afetados;
  • As informações sobre os titulares envolvidos;
  • A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
  • Os riscos relacionados ao incidente;
  • Os motivos da demora, no caso de a comunicação não ter sido imediata; e
  • As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo. Por fim, os membros da equipe de gerenciamento de incidentes devem documentar e assinar o documento de avaliação de risco, seu raciocínio e suas conclusões. O resultado da avaliação de risco deve incluir uma das seguintes conclusões:
  • Nenhum risco para os direitos e liberdades dos titulares dos dados
  • Um risco para os direitos e liberdades dos titulares dos dados
  • Um elevado risco para os direitos e liberdades dos titulares dos dados

Ter um procedimento eficiente para evitar um vazamento de dados não é importante apenas para a saúde reputacional e financeira sua empresa, mas também para a proteção dos dados dos seus clientes.

Se você precisar de orientações acerca dos procedimentos necessários para elaboração de um relatório sobre vazamentos de dados, nossa ferramenta de gestão de incidentes pode te ajudar a registrar e analisar qualquer incidente ou problema, bem como te auxiliar na decisão sobre se um incidente é reportável ou não. Nossa solução pode orientar você a coletar as informações certas para permitir que você avalie corretamente o risco e o impacto de um vazamento de dados.

Obrigado por ter chegado até aqui, esse é o primeiro texto da nossa série sobre vazamentos de dados. Até a próxima!

Por Paulo Tavares

CEO da EZPRIVACY

0 Comentários

Deixe o seu comentário!