Descubra quais são os primeiros passos a tomar após uma violação de dados

Segurança cibernética

A taxa de alfabetização nos Estados Unidos é de 86% (o que não pode ser considerado algo bom), mas a alfabetização sobre violação de dados é ainda pior. A maioria dos norte-americanos não sabe o que fazer se for afetado por uma violação. Pior ainda, a maioria nunca verificou se seus dados foram comprometidos durante uma das grandes violações de dados nos últimos anos – a realidade não deve ser muito diferente para o brasileiro.

Isso pode levar a enormes problemas financeiros. Se dados roubados forem usados para comprometer sua identidade, seu score de crédito, suas finanças podem sofrer prejuízos, e você pode ter dificuldade de obtenção de empréstimos, comprar uma casa ou alcançar outras metas e necessidades financeiras.

Depois de entrevistarmos mil adultos norte-americanos, descobrimos que 64% deles nunca verificaram se foram afetados por alguma violação de dados. Isso é alarmante, visto que bilhões de pessoas são afetadas anualmente por ataques cibernéticos. Bilhões de contas foram comprometidas apenas em 2018 e, claro, nem todo consumidor é afetado, mas é uma boa prática acompanhar se seus dados pessoais não foram divulgados indevidamente, mas como fazer isso?

  1. Verificar
    O primeiro passo é verificar sua exposição, mas não insira informações pessoais em qualquer site que alegue ser um site de verificação de violação. O site Have I Been Pwnd é um dos mais seguros e eficazes  para verificar se seus dados pessoais já foram roubados ou se estão envolvidos em uma violação recente. Basta digitar seu endereço de e-mail e o site informará quando e como seus dados foram roubados. Depois da confirmação, você pode pesquisar quais os recursos oferecidos pela empresa violada para ver quais proteções e compensações elas oferecem.

    Cuidado, hackers tirarão proveito do pânico causado por uma violação de dados. Preste atenção em e-mails que solicitam que você clique em qualquer link. Hackers podem se passar por empresas usando endereços de email falsos, logotipos e qualquer outro detalhe para induzi-lo a clicar em um ransonware ou malware.

  2. Proteger
    Depois de verificar se suas informações foram afetadas, siga as instruções de segurança fornecidas pela equipe de segurança da sua empresa. Isso inclui alterar sua senha no site violado imediatamente e em qualquer outro site que você tenha usado a mesma senha. Se qualquer informação financeira ou sigilosa foi roubada, notifique a instituição financeira. Depois bloqueie seus cartões ou os cancele caso tenha certeza que foram afetados.

  3. Monitorar
    Acompanhe de perto sua atividade financeira e de crédito para garantir que consiga pegar qualquer movimentação incomum. Muitas instituições aplicam medidas extras de segurança que exigem que você seja contatado para confirmar qualquer movimentação estranha nas contas ou até mesmo no caso de abertura de contas em seu nome. Se sua instituição oferecer camadas extras de segurança, adicione à sua conta.

A falta de conhecimento  é, provavelmente, o motivo pelo qual as pessoas não entendem as violações. As empresas invadidas divulgam muitas informações sobre os incidentes em seus sites, se não for possível encontrar essas informações facilmente, entre em contato com eles.  Mas lembre-se: nunca coloque informações confidenciais em um e-mail ou formulário para verificar o status de uma violação de dados.

Responsabilidade da empresa

Embora lidar com uma violação de dados possa ser aterrorizante para os proprietários de uma empresa, agir rapidamente e com cuidado pode minimizar os danos à reputação da empresa. Um simples ataque de phishing pode permitir acesso a arquivos confidenciais, então, é imperativo que a empresa detecte ameaças dentro do seu perímetro.

Prevenção é o primeiro passo, mas nem sempre é suficiente. Então é imprescindível ter e executar um plano de resposta a incidentes. Há, agora, diversas leis de privacidade que definem parâmetros  para responder a violações de dados, como a GDPR e a LGPD (que entra em vigor no Brasil em 2020). Também é importante buscar aconselhamento jurídico para garantir que seus protocolos de negócios, políticas e plano de resposta sejam compatíveis. Abaixo estão algumas dicas de segurança cibernética.

  • É crucial que as empresas saibam quais dados elas possuem, quais são confidenciais, onde estão localizados e quem tem acesso a eles
  • Elimine dados obsoletos ou desnecessários, especialmente arquivos com informações confidenciais
  • Conceda ao funcionário apenas acesso a informações necessárias para seu cargo e para realizar seu trabalho
  • Defina senhas e contas expiradas
  • Revogue privilégios de funcionários que deixarem a empresa
  • Verifique se os softwares estão atualizados
  • Monitore ameaças internas e externas
  • Mantenha-se atualizado sobre os mais recentes golpes, táticas e malwares
  • Comunique-se com sua equipe e relate imediatamente qualquer violação ou infração de conformidade
  • Se ocorrer uma violação ou vazamento, recupere e proteja todos os dados comprometidos

A realidade é que as violações de dados só têm a crescer. Se as empresas e consumidores agirem rapidamente, isso pode impactar positivamente na redução de danos sofridos pelos ataques. Obviamente, a responsabilidade maior recai sobre a empresa que controla e armazena os dados, mas os consumidores também devem se proteger proativamente.

Experimente nossa avaliação gratuita e descubra o que a Varonis pode fazer por sua empresa.