Tempo de resposta a violações de dados: Tendências e dicas

As empresas estão sob pressão para manter seus dados seguros, além de atuar de forma rápida e transparente no caso de uma violação de dados. Respostas lentas e violações resultam em multas, perda de confiança do cliente, perda de tempo com a violação em vez de se dedicar aos negócios. Mas podemos aprender com isso e preparar as empresas para lidarem com o assunto.

O que é um plano de resposta a violação de dados?

É uma estratégia implementada para combater violações depois que elas têm seu impacto reduzido. Um plano bem elaborado garante que todos em uma empresa saibam seus papeis durante uma violação para descobrir, responder e conter em tempo hábil.

O custo de uma violação vai além da quantidade de dados perdidos e divulgados, mas também depende do tempo necessário para resolver o problema. De acordo com a IBM, em média, as empresas levam 197 dias para identificar e 69 dias para conter uma violação. As que conseguem conter uma violação em menos de 30 dias economizam mais de US$ 1 milhão em comparação com as outras. Além disso, se demorarem a notificar podem receber multas pesadas e se colocam em risco de ações judiciais. Apenas o custo para notificar os clientes é de cerca de US$ 740 mil nos Estados Unidos.

O custo médio de uma violação chega a US$ 3,86 milhões, além da perda de confiança por parte de clientes e funcionários.

Fatores que afetam o tempo de resposta

A preparação, a tecnologia e o cumprimento das leis de privacidade causam impacto no tempo de resposta.

• Preparação
  A preparação é um fator-chave para a rapidez na resposta. Para a Centrify, uma alta “postura de segurança” é identificada em empresas que possuíam:
  
  – CISO totalmente dedicado
  – Orçamento adequado para pessoal e investimento
  – Investimento em tecnologias adequadas
  – Programas de treinamento
  – Programa abrangente com políticas e avaliações para gerenciar riscos
  – Participação em programas de compartilhamento de ameaças
  
  Empresas com baixa segurança viram uma queda no valor das ações após a violação.
  O custo médio por registro perdido é de US$ 148. Quando a empresa mantém uma equipe dedicada para gerenciar violações, esse custo cai cerca de US$ 14 por registro, demonstrando que manter essa equipe é uma ótima tática de segurança.
• Tecnologia
  A tecnologia é outro elemento importante. A IBM descobriu que empresas que implantam totalmente a automação de segurança têm um custo médio de violação de US$ 2,88 milhões, enquanto as que não implementaram a automação apresentam um custo de US$ 4,43 milhões.  A automação elimina o erro humano e aumenta as chances de detectar uma ameaça.

Dispositivos da Internet das Coisas(IoT), no entanto, são uma influência negativa para os tempos de resposta. O uso extensivo desses dispositivos aumentou o custo por violação em US$ 5 por registro, afirma a IBM.  Esses dispositivos são suscetíveis a invasões por estarem constantemente conectados à internet, também contam com proteção inferior e alguns funcionários não fazem as atualizações necessárias para aumentar a segurança do gadget. Então é necessário monitorá-los mais de perto e mantê-los atualizados.

• Leis de privacidade
  São leis que regulamentam e afetam muitos aspectos de um negócio. O GDPR, por exemplo, exige a notificação de incidentes de segurança em até 72 horas. No Brasil, a LGPD também exige a notificação imediata.
  
  

Tempo médio para detectar e conter por setor

A indústria de entretenimento é a que leva mais tempo para responder a uma violação, enquanto a indústria de energia é a mais rápida. Apesar disso, o setor de energia também demora mais de 30 dias em média para detectar uma violação.

O tempo médio para conter uma violação, por outro lado, é significativamente maior do que o tempo para identificar a violação. O setor de saúde leva, em média, 103 dias para conter uma violação, enquanto o setor de pesquisa leva 53 dias.

Identificação e contenção comparada ao custo por indústria

A área de saúde se destaca como uma das mais caras para ter uma violação, provavelmente por ter um dos maiores tempos médios de resposta. No outro extremo, os serviços financeiros levam menos tempo, apesar do alto custo per capita, talvez por ser uma indústria altamente regulada e com multas pesadas (como a saúde).

Tendências de tempo de resposta a violação de dados

Os tempos médios e os custos nos ensinam sobre os erros a serem evitados e as táticas a serem implementadas para fortalecer a segurança em uma empresa. Vejam algumas tendências:

• Manter equipes treinadas e planos de resposta testados respondem mais rapidamente
  Uma equipe dedicada é crucial para um sólido plano de resposta a incidentes. Ele define os responsáveis por cada processo e facilitam a tarefa de testar diferentes planos e cenários

• Dispositivos IoT aumentam o custo médio de uma violação de dados
  Hackers podem atacar facilmente os dispositivos se os protocolos de segurança não forem seguidos corretamente
  
  
• A automação de segurança diminui o tempo médio de resposta
  A automação contribui para alocar de forma mais eficiente a equipe de TI e também ajuda na detecção de vulnerabilidades
  
  
• É mais rápido conter uma violação causada por erro humano que uma violação causada por ataques maliciosos
  Normalmente, um erro humano é fácil de detectar exatamente pelo funcionário não tentar escondê-lo
  
  
• Quanto mais rápido a violação de dados for contida, menores são os custos

Quanto mais barreiras e precauções estiverem no caminho do hacker, mais tempo a equipe de segurança tem para encontrar brechas e ameaças

Principais violações de dados e seus tempos de resposta

Violações de alto perfil são ótimos lugares para começar a formular um plano de resposta, especialmente se uma empresa semelhante à sua for violada. Uma tendência comum entre muitas violações recentes é o longo período de tempo necessário para detectar, conter e notificar os clientes sobre a violação.

Uber
O maior erro da Uber foi a diferença entre o tempo de detecção e o tempo de notificação. Além disso, no lugar de notificar imediatamente clientes e autoridades, a empresa optou por pagar US$ 100 mil aos hackers para que excluíssem os dados roubados e ficassem em silêncio sobre o incidente, resultando em multas, requisitos pesados de segurança, monitoramento da FTC e perda da confiança entre clientes e funcionários.

A Uber deveria ter consultado os principais funcionários da empresa, incluindo membros de suas equipes de relações públicas, TI, jurídico e segurança para formular uma maneira ética de gerenciar a violação e notificar o público.

Finalmente, a Uber deveria ter feito a devida diligência para avaliar o risco de segurança de todos os serviços que seus funcionários usam. Caso o Uber estivesse verificando atividades suspeitas e vulnerabilidades, o incidente poderia ter sido evitado.

Marriott
A violação afetou milhões de pessoas e comprometeu informações confidenciais que incluíam endereços de e-mails, número de passaportes e informações sobre reservas. Tudo poderia ter sido evitado se as equipes de TI e CIOs tivessem analisado a aquisição da Starwood Hotels and Resorts sob uma perspectiva de segurança cibernética.

A Starwood havia relatado uma violação envolvendo seus sistemas de PDV em 2015. Apesar da Marriott afirmar que essa violação não estava relacionada com a que afetou seu sistema de reservas, especialistas afirmam que uma investigação mais profunda poderia ter revelado uma relação entre elas.

Uma solução de segurança interna havia notificado uma ameaça em setembro de 2018 – quatro anos após o início da violação. Uma ferramenta mais robusta, juntamente com auditorias de segurança rotineiras, poderia ter ajudado a encontrar a violação mais cedo. A priorização também poderia ter ajudado a minimizar o problema. Alguns dados são mais sensíveis e importantes que outros, então uma parcela do orçamento de segurança deveria ter sido aplicada à proteção desses dados.

Target
A violação da Target em 2013 é uma lição no tempo de detecção. Em apenas 16 dias, a empresa detectou a violação após seu início. Embora tenha respondido rapidamente, não foi o suficiente para mitigar os danos. A empresa gastou US$ 202 milhões com essa violação e viu uma queda no valor das ações e lucro nos trimestres seguintes.

A invasão poderia ter sido evitada se a empresa tivesse verificações rotineiras de atividades suspeitas, isso poderia ter economizado muito tempo e dinheiro da empresa. Tarefas de segurança automatizadas poderiam ter contribuído com a eficiência da equipe de segurança para encontrar e corrigir vulnerabilidades antes que a invasão acontecesse. Da mesma forma, limitar ao cesso a arquivos apenas para aqueles que precisam, ajuda a reduzir o risco. Assim como criptografar e separar os dados dos cartões utilizados pelos clientes.

Como diminuir o tempo de resposta a violação de dados

Agora sabemos que quanto mais rápida a resposta, menor o impacto. Aqui estão algumas maneiras de diminuir o tempo de resposta a violação e economizar tempo e dinheiro da sua empresa.

• Forme e treine uma equipe de resposta a incidentes dedicada a gerenciar a violação
• Invista em ferramentas de automação de segurança e soluções abrangentes de segurança cibernética
• Crie e teste diversos planos de resposta a violações de dados para combater possíveis situações de invasão
• Diminua as permissões de arquivo para reduzir o risco e vulnerabilidade de violação
• Implemente programas de treinamento para todos os funcionários para combater golpes de phishing e outras táticas comuns de hackers
• Envolva os profissionais de segurança em todas as decisões da empresa desde o início
• Priorize e aloque seu orçamento de segurança para as informações mais confidenciais

É importante adotar uma abordagem proativa às violações de dados para acelerar os tempos de resposta e atenuar o máximo possível de danos potenciais. A implementação de soluções como o Varonis Data Classifiation Framework permite que se descubra rapidamente todo o conteúdo sensível da empresa. A solução mostra onde está exposto e ajuda a bloqueá-lo sem interromper seu negócio.