Como, em breve, a notificação de violação de dados se tornará obrigatória, muitas empresas australianas aumentaram o monitoramento e as defesas da segurança cibernética. No entanto, a notificação e o conhecimento da violação de dados não são apenas responsabilidade da TI; trata-se de um problema da empresa e deve ser tratado como tal. Em qualquer nível, as empresas são tão boas quanto o seu elo mais fraco.
Tudo está se tornando digitalizado e conectado, e agora os clientes esperam transparência das organizações às quais eles confiam seus dados. Junte esses fatos às novas leis de notificação de dados e fica fácil perceber o porquê de se tratar de uma responsabilidade que abrange toda a empresa.
Vamos considerar os motivos pelos quais o Parlamento australiano acabou aprovando essa legislação. Antes de tudo, os custos dos ataques cibernéticos cresceram demais para serem ignorados: estamos falando de até 16 bilhões de dólares em prejuízo no decorrer dos próximos 10 anos, o suficiente para ocasionar uma redução significativa no crescimento econômico da Austrália. Entretanto, o mais importante, é que todo ataque cibernético bem-sucedido faz com que os australianos percam a fé na integridades de seus serviços digitais. Isso é algo que nem as empresas nem os governos podem permitir depois de terem feito grandes apostas na inovação digital.
Fidelidades questionáveis
Em outras palavras, a notificação de violação de dados diz respeito tanto à confiança quanto à tecnologia. E isso passa a ser responsabilidade de todas as empresas em sua totalidade, não apenas dos departamentos de TI, para as empresas com 3 milhões de dólares ou mais em volume de negócios, que são obrigadas, por lei, a reportarem quaisquer violações.
Na verdade, uma sólida política de violação de dados pode funcionar como uma excelente tática de retenção de clientes. As empresas que comunicam claramente seu compromisso em relação à notificação de violação, e provam que vão cumpri-lo, são muito mais propensas a conquistar a fidelidade e a confiança dos clientes do que as empresas que evitam fazer isso ou que apenas atendem ao mínimo do que a lei exige. Isso é especialmente aplicável para as empresas pequenas e médias, que não são obrigadas por lei a serem transparentes em relação às violações de dados. Fazer isso, é parecido com o sinal do Batman sobre Gotham: você está enviando uma mensagem clara de que vai adotar o procedimento certo, mesmo que ele tenha um custo.
Apesar do que muitos tomadores de decisões corporativos pensam, eu sempre disse que a segurança cibernética é mais um problema da empresa do que da TI, e a legislação de notificação de violação de dados reforça isso. As consequências de uma violação tem tanto a ver com a reputação e a marca como qualquer outra coisa, que são os elementos da empresa que não se pode e não se deve esperar que a TI lidere. Dependendo de como você abordá-la, a notificação de violação de dados pode representar riscos financeiros ou a oportunidade de criar confiança. Exatamente como o Batman, a TI tem a responsabilidade de fazer o trabalho e salvar o dia, mas depende da empresa indicar onde isso é mais necessário e fazer com que seus esforços sejam conhecidos pelos clientes.
Mais uma vez trata-se da violação
Isso leva à pergunta: se a notificação da violação de dados for responsabilidade de todos (e ela é), qual é a maneira mais prática de torná-la uma realidade? Já se passaram meses desde a aprovação da legislação de violação de dados, e muitas organizações ainda estão se esforçando para identificar quando ocorre um ataque cibernético e o volume dos dados comprometidos, mesmo com um período de notificação de 30 dias. Geralmente, elas estão complicando excessivamente a situação.
Antes de comprar, planeje primeiro. Tenho visto inúmeras empresas correr e comprar as "melhores" defesas ou "defesas de vanguarda absoluta" sem saber no que usá-las. Faça isso, e a única coisa que vai acontecer é um absoluto desperdício de seu orçamento. Concentre-se na compreensão de como as exigências da nova legislação se aplicam à sua empresa, identifique os dados mais sigilosos ou vulneráveis e decida quem será o responsável por sua proteção antes mesmo de visitar um site de fornecedor. Você constatará que fazer isso levará a uma implementação muito mais rápida e mais estável do que a adoção de uma abordagem "atire primeiro, pergunte depois".
Invista em monitoramento antes de construir suas defesas. A notificação de violação de dados exige que você saiba quando uma violação ocorre, mas sem monitoramento não há como saber isso. O software SIEM (Informações de segurança e gerenciamento de eventos) informa a empresa quando um ataque ocorreu, o que pode ter sido comprometido e se outros sistemas ainda podem estar em risco. Fora as suspeitas habituais, logs de eventos, Active Directory, USBs e outros dispositivos externos, mapeie sua estratégia de monitoramento e relatórios para as prioridades da empresa. Isso mudará com o tempo; portanto, garanta que suas ferramentas SIEM sejam ágeis o suficiente para acompanhar as mudanças.
Por fim, não pare de fazer testes. Provavelmente, à medida que você implementar o monitoramento, os relatórios automatizados e os sistemas de resposta, perceberá que suas prioridades e estratégia iniciais não são 100% precisas. Quando isso acontecer, abandone as defesas desnecessárias, o equivalente digital a repelente de tubarões, o mais rápido possível e reoriente os esforços para as áreas que se revelem mais fracas ou mais importantes. E não se esqueça de atualizar o restante da empresa quando você ajustar suas defesas. Se você não fizer isso, o resultado poderá ser uma falsa sensação de segurança para a empresa e para os clientes.
A maioria das equipes de TI já tem as habilidades e a experiência necessárias para realizar a notificação de violação de dados. No entanto, para que isso funcione efetivamente ou se torne uma fonte de vantagem competitiva, as empresas precisam intervir e dizer o que precisa ser defendido e por quê. Quando isso acontece, a notificação de violação de dados pode reconquistar a confiança dos clientes numa época em que a fidelidade do cliente está mais rara do que nunca. Isso torna a TI o herói de que todo líder de empresa precisa; mas, não necessariamente, o que ela merece.
Destiny Bertucci, head geek da SolarWinds.
