Relatar incidentes de segurança de privacidade de dados
Objetivos de aprendizagem
Após concluir esta unidade, você estará apto a:
- Explicar o que constitui um incidente de segurança de privacidade de dados.
- Identificar possíveis incidentes de segurança de privacidade de dados.
- Saber o que fazer quando você suspeita ou sabe que um incidente de segurança de privacidade de dados ocorreu.
O que é um incidente de segurança?
Muitas autoridades em todo o mundo adotaram leis de notificação de incidentes de segurança, da União Europeia (UE) até países da América Latina (LATAM) e das regiões do Japão e Ásia-Pacífico (JAPAC) a todos os estados e territórios dos Estados Unidos (EUA). Recentemente, nos EUA, o presidente assinou a Lei de fortalecimento da cibersegurança americana de 2022, que exige que as empresas de infraestrutura crítica reportem incidentes significativos de segurança cibernética e todos os pagamentos de resgate à Agência de Segurança Cibernética e Segurança de Infraestrutura (CISA) do Departamento de Segurança Interna.
Dependendo do país onde sua organização opera, existem inúmeras leis e regulamentos sobre reporte de incidentes para indústrias específicas, como governo, saúde, energia, telecomunicações e prestadores de serviços financeiros, cada um adotando sua própria definição do que constitui um incidente de segurança (ou violação de dados). Dependendo das leis de notificação de incidentes de segurança que afetem sua organização, seus contratos de nível de serviço (SLAs) de clientes devem conter requisitos de notificação de incidentes de segurança que se apliquem aos dados do cliente.
Um incidente de segurança de privacidade de dados é qualquer uso não autorizado de dados pessoais ou dados do cliente, seja acidental ou intencional. Considere estes exemplos de incidentes de segurança comuns.
- Um representante de vendas envia um email com dados do cliente para o cliente errado.
- Um gerente imprime um currículo de um candidato, mas no caminho para casa ele deixa o documento no trem.
- Um ex-funcionário que deixou a empresa ainda tem acesso aos sistemas da sua organização e aos registros dos clientes.
- Um estagiário abre um anexo de email contendo malware, o que resulta em informações de contato de clientes excluídas ou criptografadas.
- Uma unidade compartilhada tem permissão excessiva, concedendo a muitas pessoas acesso a dados pessoais.
- As credenciais ou chaves secretas de um cliente estão expostas em um repositório público do GitHub.
- O dispositivo de trabalho de um funcionário (por exemplo, um laptop ou smartphone) é perdido ou roubado.
- Um funcionário acidentalmente divulga dados pessoais em resposta a um email que na verdade faz parte de um ataque de phishing.
Todos esses incidentes se qualificam como possíveis incidentes de segurança e devem ser reportados à equipe de segurança da sua organização.
Como reportar um incidente de segurança
Se você suspeitar de um possível incidente de privacidade de dados, reporte imediatamente, mesmo que não tenha 100% de certeza de que o incidente se qualifica como uma violação de dados ou incidente de segurança. Se sua organização tiver um programa anual de treinamento de conscientização de segurança em vigor, examine-o para obter informações atualizadas sobre como reportar atividades ou incidentes de segurança suspeitos em sua organização.
Ao reportar um incidente, você deve fornecer o máximo de informações possível, incluindo:
- O que aconteceu
- Quem eram as pessoas ou grupos envolvidos
- A hora, a data e o fuso horário em que o incidente ocorreu
- Quais serviços foram envolvidos ou potencialmente afetados
- Ponto de contato para perguntas de acompanhamento
Cronogramas de reporte de incidentes de segurança
Sua organização pode ter a obrigação jurídica de reportar incidentes de privacidade de dados em um curto espaço de tempo a reguladores, clientes e pessoas afetadas. Você tem a obrigação de reportar incidentes de segurança imediatamente à sua equipe de segurança interna, para permitir que eles tenham tempo de investigar o incidente e atender aos requisitos de reporte externos. Em alguns casos, a não notificação das partes aplicáveis de um incidente de privacidade de dados dentro dos prazos exigidos pode levar a multas substanciais, uma possível violação de suas obrigações contratuais, danos à confiança do cliente e à reputação de sua organização.
Como você pode ver, é fundamental reportar todos os possíveis incidentes de segurança imediatamente, mesmo que você tenha cometido o erro que levou à exposição de dados pessoais ou do cliente.
Resumo
Neste módulo, você foi apresentado às leis e aos princípios de privacidade de dados. Você também aprendeu a identificar dados do cliente e quem está autorizado a lidar com esses dados. Por fim, você ficou a conhecer os requisitos de reporte de incidentes de privacidade de dados.
Interessado em aprender mais sobre carreiras e tecnologias em segurança cibernética? Acesse o Hub de aprendizagem sobre segurança cibernética para explorar outros tópicos de segurança e ouvir profissionais de segurança reais.
Recursos
-
Site externo: governança de TI dos EUA: Leis de notificação sobre violação de dados por Estado
-
Site externo: Siteimprove: o que é uma violação de dados e como denunciá-la de acordo com o RGPD?
-
Site externo: JDSUPRA: nova lei de segurança cibernética exigirá relatórios de incidentes cibernéticos na infraestrutura crítica