Para se cadastrar em um site, receber um cupom de desconto ou para baixar um arquivo, é comum serem solicitados dados pessoais para concluir essa ação.
Isso acontece tantas vezes que esse é um comportamento muitas vezes automático, tão automático que os dados que serão inseridos já estão salvos no navegador.
Mas não prestar atenção no momento ao compartilhar essas informações pode ter consequências negativas para os usuários, como o vazamento de dados e a violação de privacidade.
Neste conteúdo, vamos explicar como agir em situações de vazamentos de dados e quais formas existem para se proteger disso.
Continue a leitura!
O que é considerado vazamento de dados?
Antes de saber como agir em um vazamento de dados e violações de privacidade, é importante entender que situações caracterizam esse vazamento e alguns números sobre o assunto.
De acordo com um estudo da IBM, 80% dos vazamentos de dados em empresas acontecem por conta do roubo ou a perda de dados pessoais de clientes.
Isso demonstra que as empresas precisam priorizar cada vez mais a segurança desses conteúdos sensíveis e, mais do que isso, seguir as orientações da Lei Geral de Proteção de Dados Pessoais (LGPD).
Esse mesmo relatório demonstra que existe o comprometimento de dados de propriedade intelectual de usuários, dados empresariais, em geral, e dados pessoais de funcionários sendo acessados indevidamente.
Segundo a LGPD, os vazamentos são chamados de incidentes de segurança com dados pessoais.
A definição do governo, conforme estabelecida pela ANPD (Autoridade Nacional de Proteção de Dados) diz que:
Um incidente de segurança com dados pessoais é qualquer evento adverso confirmado, relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais.
Isso quer dizer que toda vez que alguém acessa os dados pessoais de usuários sem autorização ou de forma ilegal isso é considerado um incidente de segurança.
Nos incidentes de insegurança entram desde situações em que colaboradores de uma determinada organização utilizam dados de forma indevida ou grandes vazamentos por hackers.
Diante disso, saber reconhecer esses incidentes é crucial, pois eles trazem consequências graves para os titulares dos dados e para as organizações responsáveis pelo tratamento dessas informações.
Quem tem seus dados vazados, pode sofrer danos materiais, morais, psicológicos ou até mesmo riscos à sua vida, como fraudes, extorsões, chantagens, discriminações, violências ou perseguições.
Já empresas podem enfrentar sanções administrativas, judiciais ou reputacionais, como multas, indenizações, perda de clientes, parceiros ou investidores e exposição negativa na mídia dependendo da proporção do vazamento.
Nesse sentido, para proteger os dados de seus clientes e funcionários, as organizações precisam adotar medidas de prevenção, detecção e resposta aos incidentes de segurança com dados pessoais, de acordo com as boas práticas e normas do mercado.
Mas o que causa o vazamento de dados?
Alguns comportamentos podem desencadear o vazamento de informações confidenciais, vamos explicar abaixo alguns dos principais:
- Ataques cibernéticos: esse é um dos tipos mais comuns e acontece quando hackers conseguem invadir sistemas de segurança para acessar informações confidenciais;
- Fornecimento de informações sem a devida atenção: por descuido, algumas informações podem ser enviadas para um e-mail suspeito o qual não foi checado o remetente ou em algum site que divulga descontos mentirosos;
- Dispositivos perdidos ou roubados: ao perder ou ter um aparelho roubado como laptops, tablets ou smartphones, aumenta o risco de uma exposição indevida de dados armazenados nesses aparelhos;
- Problemas de segurança de softwares: programas e sistemas de software podem apresentar falhas ou lacunas de segurança que facilitam a invasão por hackers;
- Golpes de phishing: os golpes de phishing são tentativas de obter informações pessoais sigilosas, como as senhas. Isso é feito com o envio de mensagens para usuários, por e-mail ou outras formas de comunicação;
- Uso de senhas fracas: senhas fracas e fáceis de adivinhar são uma vulnerabilidade comum que pode permitir que hackers acessem informações sigilosas. Sequências de números simples e uso de nomes são exemplos de senhas fracas.
De que forma agir em um vazamento de dados e violações de privacidade?
Agora que já explicamos o que é considerado um vazamento de dados e quais são as situações que podem levar a isso, entenda como agir nesses casos.
1. Informe internamente os envolvidos e avalie o problema
A primeira etapa em uma situação de vazamento de dados é simples, mas crucial para lidar com os problemas que virão depois.
Logo que forem detectados, os responsáveis por aquelas informações precisam ser comunicados com urgência.
No caso de empresas que disponibilizam serviços ao público, o contratante precisa ser informado. Os gestores e os responsáveis pelo banco de dados precisam ser comunicados também.
Nessas ocasiões, além de avisar os envolvidos, é preciso avaliar a dimensão do incidente, com o número de pessoas afetadas e os tipos de dados que vazaram. Essa identificação ajuda a prever se esse vazamento de informações será danoso.
2. Comunique os afetados
Nessas situações, a ANPD orienta que é necessário avisar os usuários quando o vazamento pode causar algum tipo de dano.
A pergunta a ser feita internamente é: existe um risco ou dano relevante aos direitos e liberdades individuais dos titulares afetados em razão do incidente de segurança?
Diante disso, caso a resposta seja “sim”, a empresa deverá comunicar os afetados pelo vazamento e também a ANPD.
3. Avise a ANPD o que aconteceu
Como já adiantamos, é necessário avisar a ANPD aquelas situações em que houve o vazamento de dados e quando isso gera riscos aos funcionários de uma empresa, em até dois dias úteis.
Nessa etapa de comunicação para a ANPD existe uma série de informações que precisam ser repassadas e por isso a empresa precisa se organizar para reunir tudo.
A página para preencher o formulário está disponível para download neste link.
Algumas das informações que deverão ser enviadas são:
1 – Identificação e dados de contato de:
• Entidade ou pessoa responsável pelo tratamento;
• Encarregado de dados ou outra pessoa de contato;
• Indicação se a notificação é completa ou parcial. Em caso de comunicação parcial, indicar que se trata de uma comunicação preliminar ou de uma comunicação complementar.
2 – Informações sobre o incidente de segurança com dados pessoais:
• Data e hora da detecção;
• Data e hora do incidente e sua duração;
• Circunstâncias em que ocorreu a violação de segurança de dados pessoais, por exemplo, perda, roubo, cópia, vazamento, dentre outros;
• Descrição dos dados pessoais e informações afetadas, como natureza e conteúdo dos dados pessoais, categoria e quantidade de dados e de titulares afetados;
• Resumo do incidente de segurança com dados pessoais, com indicação da localização física e meio de armazenamento;
• Possíveis consequências e efeitos negativos sobre os titulares dos dados afetados;
• Medidas de segurança, técnicas administrativas e preventivas tomadas pelo controlador de acordo com a LGPD;
• Resumo das medidas implementadas até o momento para controlar os possíveis danos;
• Possíveis problemas de natureza transfronteiriça;
• Outras informações úteis às pessoas afetadas para proteger seus dados ou prevenir possíveis danos.
3. Procure saber o que causou o evento e corrija a vulnerabilidade
Se, no processo de identificação da causa do vazamento, a empresa perceber que a falha foi um software inseguro, por exemplo, buscar alternativas é a melhor solução para não enfrentar outros vazamentos.
Busque empresas que disponibilizam serviços de identificação de falhas, que recomendam ações completas e que sejam reconhecidas nesse mercado.
Como são assuntos que costumam gerar muitas dúvidas, opte por empresas que sejam atenciosas em todas as etapas e que assegurem um trabalho em conjunto com as equipes internas.
Conte com a equipe de especialistas da Diazero
Ao acessar as redes sociais ou acompanhar as notícias, é fácil perceber que ataques e golpes online estão se atualizando muito rapidamente.
Essa inovação demanda que as empresas estejam atentas e priorizem a segurança em suas rotinas.
E para isso, a equipe de especialistas da Diazero Security pode auxiliar com orientações personalizadas adequadas à realidade e às necessidades específicas de cada empresa, garantindo mais segurança.
Acesse nosso site e conheça todas as soluções e serviços. Não perca as nossas atualizações nas redes sociais: Instagram, Facebook e LinkedIn.
Segurança