Um estudo recente sobre fugas de informação reportados perguntou às organizações se esta era a primeira vez a declarar ataques deste tipo:
83% da empresas disseram que não!
Os vetores
de ataque mais comuns incluíam credenciais exfiltradas, ataques de phishing e
vulnerabilidades presentes em software de terceiros. Mesmo com as medidas de
segurança e defesa da rede mais rigorosas, estes ataques são difíceis de
detetar e ainda mais complexos de mitigar. O tempo médio para identificar e
conter um ataque resultante de credenciais roubadas ou comprometidas foi de 11
meses! Em suma, seria sensato tratar estas fugas de dados como uma parte
inevitável da realização de negócios numa economia cada vez mais digital. Segue-se,
assim, a pergunta: como é que se planeia a resposta apropriada a estas
exposições de dados de forma correta?
Quando é que uma exposição de dados confidenciais é considerada um incidente?
O modo de realização de uma resposta a uma fuga de informação, trata-se de uma decisão crítica.
Analisaremos três tipos diferentes desta vertente de ataque:
- Ataque a dados classificados como "não sensíveis"
- Ataque a dados classificados como "sensíveis" que tenham sido contidos
- Ataques a dados classificados como "sensíveis"
A quantidade é importante quando se trata de ataques a dados não confidenciais. Os reguladores têm uma opinião fraca das empresas que não protegem em escala os dados dos clientes, porque os atacantes podem usar os dados para planear grandes campanhas de phishing ou spam. Em alguns casos, as campanhas direcionadas a empresas com grandes volumes de dados tendem a ser bem-sucedidas.
Quando os dados são partilhados acidentalmente, é possível conter o comprometimento dos dados. Se o destinatário dos dados puder confirmar que os eliminou dentro de 72 horas do recebimento, a empresa que divulgou os dados não é obrigada a reportá-lo.
Se um ataque a dados incluir informações sensíveis, classificados como dados pessoais, é obrigatório ser reportado ao abrigo do RGPD e de frameworks/normativas semelhantes se existir possibilidade de os dados serem partilhados ou utilizados de modo erróneo para comprometer a integridade das vítimas.
Conformidade
A conformidade inquestionável de acordo com os regulamentos é o critério fundamental para uma gestão perfeita da resposta a exposição de dados. As regulamentações são estabelecidas com o objetivo de proteger os clientes por uma razão. E existem passos positivos que pode tomar para se preparar antecipadamente para um incidente que resulte na exfiltração de dados.
- A formação das equipas em matéria de privacidade de dados é essencial. Se a equipa não estiver treinada, os reguladores maximizarão as penalizações financeiras no caso de uma exposição não-autorizada de dados
- A encriptação de dados, a realização de avaliações de segurança a novos parceiros e a gestão do acesso a dados num modelo de privilégio mínimo também são medidas fundamentais.
- A encriptação de dados, a realização de avaliações de segurança a novos parceiros e a gestão do acesso a dados num modelo de privilégio mínimo também são medidas fundamentais.
Se o pior acontecer, as organizações devem reportar rotineiramente todas as exposições de dados confidenciais que contenham informações de identificação pessoal (PII). Num recente seminário de conformidade, o advogado Chris Kelly explicou como os reguladores desconfiam de organizações que divulgam extensas exposições sem histórico prévio de reporte. Os reguladores poderiam efetuar uma investigação às suas práticas de proteção de dados e sujeitar a sua empresa a penalizações financeiras se descobrirem exposições de dados históricas não reportadas.
Comunicações
Uma política de comunicação bem definida permitirá que os clientes saibam o que esperar se ocorrer um ataque aos seus dados confidenciais. Os atacantes rapidamente irão focar-se em atacar dados através de campanhas de phishing e, portanto, a divulgação pública no site da empresa ajudará os clientes a entender como este ataque os afeta e quais as medidas que devem tomar para se protegerem.
O RGPD não o obriga a comunicar ataques às vítimas, a não ser que exista um elevado risco dos dados serem utilizados para as atingir. Deve-se, no entanto, ter-se em conta que a reputação da empresa ficará em jogo se houver uma cobertura por parte da imprensa sobre um ataque e esta não tiver informado os clientes.
Evitado por pouco...
É uma boa prática manter um registo de todos os casos de quase-incidentes, causados por fugas de dados, que não era obrigado a reportar. Em primeiro lugar, se um ataque se revelar ser mais grave do que se pensava, haverá uma evidência a seguir numa auditoria que mostrará que detetou e investigou o incidente, ou seja, não o ignorou nem o encobriu. Em segundo lugar, se os reguladores decidirem investigar as práticas por qualquer motivo, terá um histórico registado que demonstra a seriedade com que leva a proteção de dados.
Quer saber mais?
A solução Skurio Digital Risk Protection distribuída pela DigitalSkills visa proteger as organizações contra riscos digitais, como fugas de dados, ciberameaças e incidentes de segurança. Ela utiliza tecnologias avançadas de monitorização e análise para identificar e mitigar esses riscos, permitindo que as empresas protejam seus ativos digitais e evitem danos financeiros e reputacionais.
A solução Skurio Digital Risk Protection oferece uma série de recursos e funcionalidades que incluem:
Monitorização da Dark Web: A solução monitoriza a Dark Web em busca de informações sensíveis da organização, como credenciais de login, informações de cartão de crédito e dados pessoais. Isso permite que a empresa seja alertada caso as suas informações sejam comprometidas e tome medidas para mitigar o risco.
Monitorização de fugas de dados: A solução rastreia a internet em busca de fugas de dados que possam afetar a organização. Isso inclui monitorizar fóruns, sites de partilha de arquivos e outras fontes onde os dados podem ser divulgados. Ao identificar um incidente, a solução alerta a empresa para que ela possa tomar as medidas necessárias para proteger as suas informações.
Deteção de Ciberameaças: A solução utiliza técnicas avançadas de deteção de ameaças para identificar atividades suspeitas e potenciais ciberataques. Isso inclui a análise de padrões de tráfego, comportamento de utilizadores e outras informações relevantes para identificar atividades maliciosas. Ao detetar uma ameaça, a solução alerta a empresa e fornece informações sobre como mitigar o risco.
Análise de Risco: A solução realiza uma análise abrangente dos riscos digitais enfrentados pela organização, identificando vulnerabilidades e áreas de maior exposição. Isso permite que a empresa priorize suas ações de segurança e aloque recursos de forma eficiente para mitigar os riscos mais críticos.
Integração com Sistemas de Segurança: A solução Skurio Digital Risk Protection pode ser integrada com outros sistemas de segurança da organização, como firewalls, sistemas de deteção de intrusão e soluções de gestão de identidade. Isso permite uma abordagem holística da segurança digital, garantindo que todas as camadas de proteção estejam alinhadas e trabalhando em conjunto.
Em resumo, a solução Skurio Digital Risk Protection é projetada para ajudar as organizações a protegerem-se contra riscos digitais, fornecendo monitorização contínua, deteção de ameaças, análise de risco e integração com outros sistemas de segurança. Ao adotar esta solução, as empresas podem fortalecer sua postura de segurança digital e reduzir os riscos associados à exposição de dados e ciberameaças.
Contacte a DigitalSkills para uma demonstração gratuita.
Artigo traduzido e disponibilizado pela DigitalSkills Consulting - Distribuidora oficial de soluções de cibersegurança do fabricante SKURIO. Para mais informações: www.digitalskills.pt | [email protected] | 21 418 05 21
Artigo original publicado aqui: https://blog.skurio.com/manage-your-response-to-a-data-breach-with-confidence
