Em casos de vazamentos de dados, o que fazer para proteger as informações e não sofrer com multas? Se você não sabe a resposta, continue a leitura e entenda a melhor abordagem para identificar, notificar e evitar incidentes de exposição das informações.
Vazamento de dados: o que fazer?
Antes de mais nada, tenha calma! Infelizmente, acidentes com violação de dados ocorrem com certa frequência. Portanto, é preciso entender o cenário antes de avaliar como prosseguir.
Reconhecendo sinais e indicadores
Há vários tipos de incidentes que podem levar ao vazamento de informações. O ataque ransomware é um dos mais temidos por empresas, porém não é a única ameaça. Por isso, é importante agir proativamente na identificação de qualquer risco.
Algumas práticas de rotina que podem ajudar os controladores a manter uma maior vigilância são:
- Monitorar acessos e privilégios de usuários;
- Acompanhar contas inativas ou com pouca atividade;
- Verificar transferências de dados incomuns;
- Configurar alertas de segurança.
Primeiros passos para conter o incidente
Quando um incidente de exposição é identificado, a ação rápida e coordenada torna-se fundamental para minimizar os impactos. Mas você sabe o que fazer em caso de vazamento de dados confirmado? Os primeiros passos são:
- Isolar a fonte: isso pode envolver a desativação temporária do servidor ou sistema afetado, ou até mesmo desconectar o dispositivo comprometido da rede para evitar a propagação do vazamento de dados na Internet;
- Revogar privilégios de usuários e bloquear acessos comprometidos;
- Preservar evidências do vazamento;
- Acionar a equipe de resposta;
- Informar a alta administração.
Notificando as partes interessadas: interna e externamente
A comunicação é um fator chave para conter danos e minimizar quaisquer problemas com o incidente. Além de ser uma medida prevista na Lei Geral de Proteção de Dados Pessoais (LGPD), a notificação do incidente é essencial para proteger a reputação da empresa contra danos e sanções.
Informar prontamente a equipe interna sobre o vazamento é fundamental para coordenar esforços de resposta e evitar especulações desnecessárias. Ainda assim, em alguns casos, como o de vazamento de dados pessoais, é necessário emitir um comunicado para clientes, parceiros e, se aplicável, incluir as autoridades reguladoras.
É importante lembrar que se os titulares forem afetados, um boletim de ocorrência do vazamento de dados pode ser feito. Se o caso não tiver sido relatado para as autoridades, a empresa sofre ainda mais danos.
Vazamento de dados: como a empresa deve lidar?
Você já entendeu os primeiros passos para lidar com um incidente desse tipo, porém como denunciar vazamento de dados? Para isso, a Lei Geral de Proteção de Dados Pessoais defende que todas as instituições tenham um Plano de Resposta a Incidentes.
Em caso de vazamento de dados, a LGPD dispõe de um protocolo. Para entender melhor, basta lermos o artigo 48 da lei nº 13.709/2018 (LGPD) que determina que:
“O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.”
- § 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:
- I – a descrição da natureza dos dados pessoais afetados;
- II – as informações sobre os titulares envolvidos;
- III – a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
- IV – os riscos relacionados ao incidente;
- V – os motivos da demora, no caso de a comunicação não ter sido imediata;
- VI – as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Em casos em que o vazamento possa oferecer riscos aos titulares dos dados, é necessário abrir um formulário de notificação por meio dos canais de atendimento da Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável pela fiscalização da LGPD.
Como evitar o vazamento de dados nas empresas
Diante das crescentes ameaças cibernéticas e da valorização cada vez maior dos dados, a proteção de informações sensíveis tornou-se um desafio para as empresas. Evitar o vazamento não é apenas uma questão técnica. Por isso, a seguir, listamos três práticas que auxiliam na prevenção de incidentes dessa natureza.
1. Adote uma cultura de segurança
A cultura de segurança é a base para garantir a proteção dos dados em qualquer empresa. É fundamental que todos os colaboradores compreendam a importância de adotar práticas cotidianas para preservar as informações da instituição.
Uma ótima maneira para começar é promovendo treinamentos sobre identificação de ameaças, práticas seguras de uso da Internet e responsabilidade individual dos funcionários na proteção dos dados.
Um exemplo de vazamento de dados que pode ser evitado é o ataque a e-mails corporativos. Se o funcionário souber identificar uma mensagem fraudulenta, pode evitar ser vítima de phishing e engenharia social.
Além disso, é preciso incentivar a denúncia de comportamentos questionáveis e criar um ambiente de confiança. Dessa forma, os colaboradores têm mais liberdade para relatar episódios suspeitos sem medo de sofrer penalidades.
2. Tenha políticas de segurança robustas
A adoção de Políticas de Segurança da Informação (PSI) robustas é essencial para reduzir as vulnerabilidades que podem levar a incidentes de vazamento. Elas devem ser criadas de forma personalizada para atender às necessidades específicas da empresa e estar em conformidade com a LGPD.
A implementação de controles de acesso, criptografia de dados, gestão de senhas, entre outras medidas, também são fundamentais para proteger os dados. Ter protocolos claros para lidar com situações de risco, incluindo definição de responsabilidades e procedimentos, é indispensável!
Da mesma forma, o estudo e a revisão da PSI devem ser feitos sempre que houver mudanças significativas no trabalho, como a adoção de novas tecnologias e processos.
3. Invista em tecnologia
Ferramentas de segurança e monitoramento são essenciais para identificar, prevenir e mitigar ameaças em tempo real. A utilização de firewalls, sistemas de detecção de intrusão, antivírus, soluções de criptografia e gerenciamento de identidade e acesso são exemplos de tecnologias que devem fazer parte da estratégia de segurança da empresa.
Outras medidas preventivas podem ser implementadas, como o backup em nuvem, que cria um ambiente seguro e de alta disponibilidade. Além disso, a recuperação de dados após um possível vazamento torna-se mais rápida e eficiente.
Ao usar um serviço de backup em nuvem confiável, os dados são criptografados e armazenados de forma segura em servidores remotos. Isso reduz o risco de vazamento ou acesso não autorizado a informações pessoais, contribuindo para a conformidade com as regulamentações.
Além disso, a criptografia pode auxiliar na anonimização de dados, tornando os dados pessoais ilegíveis para qualquer pessoa que não tenha a chave de descriptografia. A anonimização é um processo pelo qual os dados são manipulados para remover ou obscurecer informações que possam identificar um indivíduo específico.
Como vimos, em casos de vazamentos de dados, o que fazer antes de qualquer coisa é manter a calma e seguir os protocolos estipulados pela instituição, em conformidade com a LGPD. Por isso, estar preparado e agir proativamente é a melhor maneira para lidar com essa situação adversa.
Quer saber mais sobre proteção de dados e como a nuvem pode auxiliar na segurança da informação? Clique no banner abaixo e baixe nosso e-book!