Como responder a uma violação de dados

Sua primeira tarefa no caso de uma violação é fechar a brecha de segurança. Isso evitará outras violações pelo mesmo caminho. Em seguida, investigue as causas.

• Proteja todas as áreas físicas associadas à violação. Por exemplo, se houve uma invasão física, altere os códigos de acesso às portas o mais rápido possível. 
• Coloque todos os sistemas afetados off-line imediatamente, mas não os desligue até que os especialistas forenses possam investigá-los.
• Crie uma equipe de resposta a incidentes. Sua equipe pode incluir especialistas de várias disciplinas. Talvez seja necessário contratar um investigador forense independente e envolver os departamentos jurídico, de segurança da informação e até mesmo de recursos humanos. Especialistas profissionais em Resposta a Incidentes podem fornecer conhecimentos essenciais.
• Capture uma imagem forense da violação e colete evidências.
• Consulte a sua equipe jurídica. Uma violação cibernética geralmente tem consequências contratuais e de proteção de dados, portanto, é essencial conhecer sua posição.
• Substitua os computadores off-line por outros limpos, se possível, mas atualize todas as credenciais, caso elas tenham sido a causa da violação.
• Se o seu site tiver sido alterado, remova imediatamente todas as informações indesejadas e entre em contato com os mecanismos de pesquisa para remover as páginas alteradas de seus caches.
• Pesquise em outros sites caso suas informações tenham sido divulgadas publicamente em outro lugar.
• Entreviste as pessoas que descobriram a violação para ajudar a rastrear a causa.

Durante todo esse processo, certifique-se de não ter destruído nenhuma evidência - você precisará delas para identificar a causa da violação, corrigir o problema e determinar os danos a serem reparados.

Depois de rastrear a origem e o caminho da violação em seus sistemas, a próxima etapa é remover todas as vulnerabilidades que levaram a ela.

• Seus provedores de serviços estavam envolvidos na violação? Em caso afirmativo, analise a quais informações pessoais eles têm acesso e altere seus privilégios, se necessário.
• Trabalhe com seus provedores de serviços para garantir que a segurança deles esteja no nível que você precisa.
• Se a segmentação de rede existente não forneceu a proteção geral que você esperava, considere mudar a forma como a rede é segmentada para aumentar a resiliência.
• Sua análise forense deveria ter revelado se as medidas de proteção pretendidas estavam funcionando. A criptografia estava ativada e os backups estavam sendo realizados conforme programado?
• Depois de determinar quem teve acesso aos dados envolvidos na violação, verifique suas permissões e se elas são necessárias. Caso contrário, imponha medidas para limitar o acesso de forma mais rigorosa.
• Prepare-se para comunicar os fatos sobre a violação a todas as partes interessadas, de funcionários a clientes e investidores. 

Enquanto estiver corrigindo o problema, considere as perguntas que serão feitas sobre a violação e publique respostas às principais perguntas em seu site para manter a situação o mais transparente possível.

Corrigir a causa da violação é a etapa mais importante para evitar que ela se repita, mas é provável que haja repercussões que exijam outras correções.

• Pode haver requisitos legais relativos à notificação de violações cibernéticas envolvendo informações pessoais, que variam de acordo com o país e até mesmo com o estado dos EUA.
• Custos punitivos podem estar envolvidos com a perda de dados pessoais em algumas jurisdições.
• Entre em contato com as autoridades policiais, relatando a situação e todas as implicações de possível roubo de identidade. Talvez também seja necessário entrar em contato com agências de inteligência locais, como o FBI nos EUA.
• Se a violação envolver registros de saúde, talvez seja necessário notificar organizações específicas, como a Federal Trade Commission. Também pode ser necessário entrar em contato com a mídia.
• Para roubos de dados envolvendo informações financeiras, entre em contato com as empresas que mantêm as contas afetadas, como as empresas de cartão de crédito.
• Notificar outras partes afetadas, inclusive indivíduos. Forneça serviços corretivos, como números gratuitos para essas partes usarem para contato e monitoramento de crédito gratuito para rastrear se sua identidade foi usada de forma nefasta.

Depois de seguir essas etapas, você deve estar no caminho certo para evitar outra violação do mesmo tipo e remediar os resultados dessa violação. Para obter uma lista mais detalhada de regras específicas relacionadas à notificação das partes afetadas, consulte o guia da FTC sobre resposta a violações de dados.

Existem várias causas para uma violação de segurança. Cada vez mais, o WFH e o trabalho híbrido estão fazendo com que mais dispositivos e funcionários com acesso a importantes recursos corporativos operem desprotegidos pela segurança de rede tradicional baseada em perímetro. O trabalho híbrido também fez com que mais dispositivos pessoais (via BYOD) fossem usados em redes internas, já que os funcionários híbridos trazem seus equipamentos pessoais para o escritório. Essas duas tendências ampliam o domínio das ameaças, e os criminosos cibernéticos estão tirando proveito disso. 

No entanto, esses fatores apenas ampliam as causas existentes de uma violação cibernética.

Insider malicioso

Um funcionário tem intenção prejudicial e usa seu acesso para criar uma violação de segurança.

Dispositivo perdido ou roubado

Um dispositivo que tem acesso ou contém informações confidenciais é perdido ou roubado.

Forasteiros maliciosos

Os agentes de ameaças empregam vetores de ataque cibernético para obter informações de segurança de sistemas ou indivíduos.

Segurança de endpoint fraca

Pessoas de fora mal-intencionadas encontram endpoints vulneráveis, como dispositivos sem patches, software antigo ou implementação inadequada de protocolos de autenticação.