Este pode ser o título dos principais jornais quando acordar, num dia qualquer
Anos de investimento e construção da sua marca destruídos de um momento para o outro. Exposição das marcas dos seus parceiros que, serão certamente afectados. Chamadas telefónicas constantes dos seus clientes para perceber detalhes da violação de dados (data breach) e de que forma foram expostos. Os media a tentarem contactar porque pretendem fazer uma investigação mais a fundo.
Começa a contagem decrescente para fazer a comunicação ao regulador. Investigadores de segurança começam a detectar as falhas e vulnerabilidades que existem no perímetro da organização: portas abertas, vulnerabilidades nos websites, certificados expirados, eventos, infecções com malware. O escândalo começa a tornar proporções incontroláveis.
E agora? O que fazer? Por onde começar? Vamos dar prioridade a fortalecer os sistemas no meio de uma catástrofe? Será que destruímos evidências se o fizermos? Como havemos de comunicar para minimizar os danos? A quem havemos de comunicar? Clientes, parceiros, colaboradores, autoridades? O impacto de uma comunicação não planeada pode agravar substancialmente a crise.
Podia ser ficção científica, mas não é. Está a acontecer todos os dias. Em organizações internacionais, mas também portuguesas. Como terão ido parar estes documentos confidenciais a domínios públicos? Terá sido um colaborador saído em litígio da organização e, mal-intencionado, a levar estes documentos e publicá-los? Terá sido malware (software malicioso) a roubar informação confidencial? Será que uma falha de segurança pode ter levado a uma intrusão de hackers fornecendo-lhes acesso aos sistemas da organização? Quanto tempo terão por lá andado? Que mais informação terão levado? Que operações terão feito?
Documentos repletos de informação confidencial encontrados em domínios públicos ou obscuros, listas de endereços de correio electrónico (emails) profissionais ou os seus conteúdos prontos a ser abusados, credenciais expostas por quebras de segurança em sites de terceiros dando indícios de passwords corporativas, abusos e roubos de marca configurando verdadeiros ataques à organização para roubo de informação, perfis falsos de executivos criados em redes sociais para perpretação de fraudes, entre tantos outros.
Existe, de facto, uma panóplia de ciberameaças, encontradas fora do perímetro das organizações, com o potencial de poder afectar seriamente a reputação da marca, o negócio, os sistemas e a informação de qualquer organização.
É neste ambiente altamente dinâmico, que opera a uma velocidade ímpar na história, que as organizações precisam de se preparar para os novos ciber-riscos.
Num mundo crescentemente digital, qualquer evento relevante dentro ou fora do perímetro de uma organização, é passível de - cada vez mais - provocar disrupção no seu negócio e marcas. Uma estratégia de ciber-defesa para fazer face a estes novos desafios deve incluir todo o ecossistema de parceiros, assentando num equilíbrio entre tecnologias, pessoas e processos.
É vital proteger os activos - onde quer que estes estejam - com tecnologias de prevenção, mas cada vez mais de detecção de eventos passíveis de representar um risco, seja internamente como externamente (web, redes sociais e deep & dark Web).
E é necessário fazê-lo de forma contínua. Há que educar os colaboradores para identificar os constantes ciberataques a que estão sujeitos diariamente, de modo a que sejam mais vigilantes e resilientes. São obrigatórios processos muito ágeis, que suportem todas as actividades de prevenção, detecção e mitigação.
Em caso de um data breach, porque é altamente provável que venha a acontecer, as organizações devem ter um plano de comunicação com os seus stakeholders: regulador, clientes, parceiros, colaboradores, entre outros. O que comunicar, quando comunicar, como comunicar e como priorizar?
Em linha com a actual regulamentação europeia, mais concretamente o Regulamento Geral de Protecção de dados (RGPD), a entrar em vigor já em Maio, torna-se vital conhecer qualquer violação de dados que venha a existir, com a maior celeridade. Desta forma é possível não só a sua contenção, mas também a articulação com a autoridade de controlo, tal como previsto na legislação.
Olhar para dentro, olhar para fora. Detectar, mitigar e aprender. Estar preparado para um data breach. Sempre em direcção a uma organização mais resiliente e preparada para os novos desafios.
In IT Insight
About Pedro Barbosa