Por mais segura que seja sua empresa, ela nunca está completamente isenta de passar por incidentes graves, como um vazamento de dados. Existem diversas soluções que podem evitar e prevenir a ocorrência de um acontecimento como esse, que traz inúmeras repercussões negativas para o negócio, mas igualmente importante é pensar em estratégias posteriores a ele.
Pensando nisso, listamos os principais passos que sua empresa deve seguir caso um vazamento de dados venha a acontecer e afete as informações privadas do negócio, dos colaboradores e/ou da empresa.
O que você vai conferir:
1. Oriente os funcionários
Alguns vazamentos de dados não são relatados até que seja tarde demais para tomar alguma atitude eficaz. As pessoas envolvidas podem temer que suas posições sejam prejudicadas caso denunciem o ocorrido, acreditando até mesmo que o evento nunca será descoberto.
Além disso, os colaboradores precisam estar cientes da importância de informarem quando perceberem que há uma vulnerabilidade no sistema. A cultura da organização desempenha um papel de incentivo para que as delações aconteçam, mesmo que os procedimentos de segurança não tenham sido seguidos.
2. Paralise os sistemas
Coloque os dispositivos afetados offline, mas não os desligue e nem faça alterações. O objetivo é interromper qualquer atividade em andamento e limitar a comunicação dos sistemas afetados, mas sem cometer nenhuma ação que possa apagar pistas ou contaminar evidências.
3. Altere de senhas
A alteração de senhas ou credenciais de bloqueio é uma tática comum na preparação para investigar uma violação de dados, pois ajuda a garantir a cessação do referido vazamento. Certifique-se de aplicar esse passo em todas as contas envolvidas, confirmadas ou suspeitas.
4. Determine o impacto
Agora, a investigação começa. É preciso descobrir quais dados foram acessados, quais sistemas foram comprometidos e quais contas podem ter sido utilizadas. Será necessário registrar as alterações de senhas, bem como as informações conseguidas após a paralisação dos sistemas.
5. Reúna todas as informações
Para determinar se houve um incidente de segurança ou vazamento de dados, é fundamental entender exatamente o que aconteceu e quando, pois há casos de invasão cibernética e falhas de segurança oriundas dos próprios funcionários.
Um dos colaboradores pode, por exemplo, ter enviado acidentalmente um e-mail contendo dados financeiros de um cliente para uma jornalista com o qual ele trabalha ocasionalmente. A jornalista imediatamente percebe o erro e apaga o e-mail sem tomar qualquer outra providência. Nesse caso, temos um incidente de segurança.
Em casos mais graves, um colaborador pode inadvertidamente abrir um e-mail contendo phishing e, por falta de atenção e/ou conscientização, clicar em um link malicioso que resulte em roubo e vazamento de dados.
6. Faça a detecção e avaliação dos dados
Mediante um vazamento, é imprescindível entender que tipos de dados foram comprometidos. Isso permite a realização de uma avaliação precisa do acontecimento e suas consequências.
Após a detecção dos dados, faz-se necessária sua avaliação. É nesse momento que sua empresa terá a real dimensão do problema e sua gravidade.
7. Determine o que precisa ser feito
Igualmente relevante é pensar em meios de proteção. Planeje o que será feito em seguida: mudanças de senhas, atualizar softwares, alterar as regras de firewall da rede, separar sub-redes, executar verificações antimalware, aumentar registros e alertas e algumas outras etapas técnicas. Após a determinação do que será feito, esse planejamento deve ser imediatamente implementado.
8. Comunique os detalhes aos colaboradores
Não são apenas com as etapas técnicas que sua organização deve se preocupar. Há também o processo de comunicação e notificação, em que todos ficam cientes do que ocorreu, como aconteceu a violação, quais dados foram vazados e o que deve e vai ser feito.
Os departamentos jurídico, de relações públicas e de recursos humanos também precisam ser notificados.
9. Relate às pessoas externas envolvidas
É necessário notificar as pessoas envolvidas que houve uma vazamento de dados imediatamente. Além da gravidade do problema, a reputação da sua empresa está em jogo. Ser o mais transparente possível, manter as informações atualizadas e estar de prontidão para quaisquer dúvidas é essencial.
10. Divulgue o ocorrido e prepara-se para fornecer respostas
É importante que um representante da empresa faça um anúncio público na forma de uma coletiva de imprensa, série de e-mails ou anúncios de mídia social, por exemplo. Isso reduz os danos à imagem e à reputação da empresa, pois demonstra que o negócio assumiu o problema e está comprometido com a sua resolução.
Certifique-se de descrever o que a organização fez para remediar a violação, o que ela pretende fazer no futuro e quais etapas (se houver) devem ser tomadas pelos clientes para se proteger, como alterar senhas, entrar em contato com empresas de cartão de crédito ou emitir alertas.
Se possível, crie uma linha direita para tratar das preocupações dos clientes em relação a essa violação, para que sua equipe possa responder às perguntas e fornecer orientações.
11. Fortaleça a prevenção
Após a violação, há algumas coisas que sua empresa pode fazer para que o problema não venha a acontecer novamente.
Para começar, entenda que um vazamento de dados ocorre através de algum tipo de lacuna. Dessa maneira, cabe identificar pontos de melhoria em que devem ser fortalecidas a segurança e a conformidade.
Em seguida, concentre-se nos esforços para ajudar a reduzir o riscos. Melhore os mecanismos de correção se as vulnerabilidades exploradas forem a origem da violação. Considere outros elementos que possam aprimorar a segurança da sua empresa no futuro e aplique-as conforme necessário.
Agora que você já sabe como agir caso sua empresa passe por um vazamento de dados, aproveite para ler também sobre como implementar o Privacy by Design em seus processos de tecnologia e, assim, fortalecer a privacidade dos dados pessoais armazenados pelo seu negócio.
Na missão de trazer mais segurança e inovação para a sua empresa, conte com as soluções da idwall. Para saber mais, entre em contato com um de nossos especialistas pelo formulário abaixo:
