Espero que no momento em que você esteja lendo isso, não encontrar-se diante de uma verdadeira brecha de segurança, mas sim em plena auto-edificação, durante um momento de relativa paz e tranquilidade. Se as pessoas lá fora estão pesquisando na Internet sobre "o que fazer após uma brecha" para saber como reagir a uma emergência, eu acredito que os problemas relacionados à segurança de computadores são apenas um sintoma de seus conflitos profissionais. Se você foi vítima de pirataria ou não, o melhor momento para começar a projetar e praticar sua resposta para uma brecha é antes do ataque ser descoberto. Não existe melhor momento como o presente para começar a se preparar para uma emergência.
Depois de examinar o recente Global Information Security Survey da Ernst & Young, me pareceu claro que a falta de preparação contra situações como a de uma brecha de dados é um problema muito comum para todos os tipos de empresas. De acordo com os entrevistados, 56% dizem que já fizeram mudanças em suas estratégias de negócios para contemplar os riscos representados pelas ameaças cibernéticas ou estarem prontos para realizar as revisões necessárias. No entanto, apenas 4% das empresas garantem terem tido em conta todas as informações sobre as implicações de segurança de suas estratégias atuais e que o seu panorama de risco incorpora todas as ameaças relevantes. Embora isso possa, em parte, referir-se à complexidade do panorama de ameaças, também mostra que existem muitas empresas que se sentem sobrecarregadas com o tamanho da tarefa.
De fato, 35% dos entrevistados descrevem suas políticas de proteção de dados como muito limitadas ou inexistentes. Embora a maioria das empresas realizem alguns processos para determinar se foram atacadas (apenas 12% não tinham um programa de detecção de brechas), muitas delas podem estar confusas sobre suas responsabilidades legais: 17% dos entrevistados dizem que não notificariam seus clientes, mesmo que uma brecha tenha afetado informações desse grupo de indivíduos e, além disso, 10% não os notificariam mesmo se tivessem sido diretamente impactados. Hoje em dia, existem poucos países onde isso não resultaria em multas regulamentares ou legais potencialmente catastróficas, sem mencionar a perda de confiança dos clientes.
A forma mais lógica, ética e moral de lidar com o risco é evitar manter o silêncio sobre isso, esperando que ninguém perceba. Para adaptar o velho ditado popular à nossa realidade: “não deixe para amanhã o que você pode fazer hoje”.
Aproveitar o tempo para pensar de forma lógica e deliberada sobre seus ativos da informação pode ajudá-lo a determinar o que precisa de segurança. Preparar-se para o pior pode ser útil para saber qual é a melhor maneira de agir e prevenir essas emergências no presente.
Certamente, todos nós já vimos algo sobre o assunto nos Anúncios de Serviço Público, onde somos encorajados a preparar um kit de coisas úteis em uma emergência, seja um incêndio, um terremoto ou no meio de uma tempestade de neve se o carro deixa de funcionar. Embora a perda de dados possa não ser "de vida ou morte" como essas outras situações, isso não significa que devamos adiar o assunto até nos encontrarmos no meio de uma emergência.
Assim como acontece com todos os tipos de crises, quanto mais informações e cuidados forem tidos, menos oneroso e doloroso será sobreviver a situação.
Considerando que nos despedimos recentemente de 2017, devemos admitir que este último ano nos trouxe bastante exemplos de empresas que não responderam da melhor forma os casos de brechas de segurança, o que resultou em consequências muito mais severas para sua reputação. Assim como acontece com todos os tipos de crises, quanto mais informações e cuidados forem tidos, menos oneroso e doloroso será sobreviver a situação. Isso deve ser levado em conta independentemente se você ou seu cliente foram alvos de um ataque.
Aqui estão algumas coisas que devemos ter em conta ao organizar um kit de prevenção contra uma crise:
Faça uma lista de passos e mantenha-a atualizada
Esta lista é semelhante à informação que você daria para uma babá. Quem deve entrar em contato em caso de emergência? Em que ordem? Que ações devem ser realizadas? Em que situações? Este post (em inglês), escrito pela minha querida colega Denise Giusto Bilić, pode ajudá-lo a entender os tipos de ações que precisam tomadas e que podem ser adaptadas às necessidades de sua própria empresa.
Essa lista precisa ser atualizada regularmente para evitar instruções para processos que já não existem ou pedir aos profissionais de emergência que entre em contato com alguém que tenha ido para outra posição, deixou a empresa ou está de férias. Além disso, deve ser mantida (criptografada, para protegê-la dos olhos dos criminosos, por favor!) em algum lugar fácil de encontrar e revisar, para que as pessoas não tenham que gastar seu tempo lutando para desenterrá-la.
Mensagens informativas
Para a surpresa de alguns, as mensagens que anunciam más notícias são uma tarefa delicada. Provavelmente, não é algo que você deseja delegar para outro no meio de uma situação caótica, e, além disso, é algo que você definitivamente deve formular em conjunto com seu departamento jurídico ou com um advogado que tenha experiência nas leis de Notificação de Brechas de Segurança. Criar uma resposta modelo antecipada permitirá que o pessoal de emergência se concentre em fornecer informações precisas e atualizadas.
Muitas empresas acabam se equivocando ao notificar as pessoas apenas quando as investigações são concluídas, o que tende a deixar os clientes com uma sensação de ressentimento. Mesmo antes de ter informações completas sobre o que aconteceu, você pode informar seus clientes de que houve um problema, dando-lhes a possibilidade de seguir as etapas de proteção. Não sobrestime o poder que as atitudes positivas podem ter ao atualizar regularmente os seus clientes afetados, mesmo que esses documentos não forneçam novas informações.
Lembre-se de que os clientes muitas vezes vêem falhas de segurança como brechas na confiança. Você deve mantê-los atualizados regularmente com informações diárias para reconstruir essa confiança.
Sites de respostas para brechas
Assim como acontece com um modelo de mensagem, é uma boa ideia ter um site estabelecido e guardado, (quase) pronto para ser lançado, dependendo da situação. Isso economizará tempo e reduzirá erros, já que você pode fazer uma análise minuciosa e executar testes de código, bem como lidar com o texto de forma mais clara em um momento antes da brecha, quando se supõe que todos ainda estão calmos. Independentemente de você escolher usar um domínio isolado ou apenas uma página dentro do site existente, tome essa decisão com antecedência e comunique-a claramente ao surgir uma emergência. É uma boa ideia manter o URL suficientemente curto para que seja fácil enviar através de uma variedade de plataformas de mensagens, ou para ler em breves clipes de rádio ou televisão. Provavelmente é uma boa ideia registrar qualquer domínio que pareça semelhante ou que possa incluir um erro de digitação para reduzir o phishing e as fraudes de criminosos.
Criar uma resposta modelo antecipada permitirá que o pessoal de emergência se concentre em fornecer informações precisas e atualizadas.
Medidas de proteção ao cliente
Após as brechas de segurança, as empresas geralmente oferecem medidas de segurança aprimoradas para os seus clientes, com o intuito de ajudar a mitigar qualquer prejuízo que possa ter sido causado. No caso de verificação de crédito, faz sentido oferecer isso apenas apenas após o ataque. No entanto, se estiver preparado para oferecer algo como melhores opções de autenticação após uma brecha, você pode economizar o custo significativo da perda de reputação, adicionando essas opções antes que o problema ocorra. Implementar e divulgar o uso da segurança, e as medidas tomadas para melhorar a privacidade, podem fazer a diferença no mercado para aumentar a confiança na marca. A maioria das pessoas pode não entender o Salting & Hashing ou o Network Segmentation, mas gostariam de saber que ninguém mais pode acessar suas senhas ou outras informações confidenciais.
Teste suas políticas e procedimentos
Uma ou duas vezes por ano, teste seu programa de resposta para as brechas de segurança através da simulação de um incidente, passando pelas etapas de responder a um incidente de teste, exceto, obviamente, o envio da notificação para os clientes e outros empresas externas. Algumas empresas já fazem isso em conjunto com consultores de gerenciamento de crises. A incorporação de alguns cenários de estudo de caso das brechas de segurança de outras empresas pode torná-lo mais realista e ser útil para preparar melhor o seu negócio. Tenha em conta que esses testes provavelmente levarão você a considerar algumas mudanças em suas políticas e procedimentos. Na verdade, é interessante realizar (e testar novamente de forma rigorosa) modificações bem pensadas que se adequem ao seu ambiente. Uma vez que você coloca essas ideias em prática, poderá encontrar maneiras de tornar sua resposta de emergência mais efetiva e eficiente.
Não há empresas muito grandes nem muito pequenos para ser um alvo de ataques. Se você tem algum tipo de informação que seja de valor para alguém - independentemente de entender como essa informação pode ser monetizada ou servir como uma arma - existe um criminoso lá fora que ficaria feliz em roubá-la. Já faz tempo que passamos do ponto em que as empresas deveriam se perguntar se poderiam ser vulneradas. Agora é uma questão de quando... Tirando o tempo necessário para se preparar contra incidentes, sua empresa será capaz de superar a tempestade.