O que são incidentes de segurança e como evitá-los

O que são incidentes de segurança e como evitá-los

Notícias LGPD

A segurança da informação baseia-se em três pilares conhecidos como “CID”: Confidencialidade, Integridade e Disponibilidade.

Não é possível falar sobre incidentes de segurança da informação ou sobre como as cooperativas podem evitá-los, sem compreender o que cada um destes pilares representa. Então:

  • Confidencialidade: é a propriedade da informação de ser divulgada apenas para pessoas autorizadas; 
  • Integridade: é a propriedade da informação de ser completa e exata;
  • Disponibilidade: é a propriedade da informação de ser acessível e utilizável por quem precise dela e tenha autorização para acessá-la.

Assim, o incidente de segurança fica caracterizado quando o evento resultar na perda de pelo menos uma destas três propriedades. Vamos ver alguns exemplos?

a) Perda da Confidencialidade

A quebra da confidencialidade ocorre quando informações da cooperativa forem acessadas por indivíduos não autorizados, independentemente do motivo (acesso acidental ou ilícito). Também são considerados incidentes envolvendo a confidencialidade da informação:

  • Ex-colaborador da cooperativa permanece com acesso aos arquivos após o seu desligamento;
  • Vazamento de dados pessoais de clientes, associados e/ou colaboradores, após um ataque cibernético por ransomware;
  • Concorrente obtém acesso ao planejamento estratégico da cooperativa;
  • Ocorre o furto ou a perda de um dispositivo móvel (notebook, pendrive etc.) que contêm informações de associados da cooperativa;
  • E-mail contendo informações e dados pessoais é remetido para e-mail que não o do verdadeiro destinatário, por equívoco.  

b) Perda da Integridade

A perda da integridade da informação é caracterizada quando há alteração ou exclusão indevida. São situações que caracterizam incidentes relacionados com a integridade da informação:

  • Exclusão de arquivos por engano;
  • Alteração de cadastro de associado de forma equivocada;
  • Infecção por vírus que altera ou corrompe um arquivo de forma que impossibilite a restauração da informação. 

c) Perda da Disponibilidade

A perda da disponibilidade acontece quando as informações não estiverem mais disponíveis para utilização da cooperativa. São exemplos de incidentes envolvendo a disponibilidade da informação:

  • Servidor de ERP indisponível após uma falha na fonte de alimentação, quando a fonte redundante não funcionou;
  • Site da cooperativa indisponível após um ataque de negação de serviços (DoS);
  • Sistema de atendimento aos associados indisponível, impedindo a realização dos atendimentos;
  • Bases de dados indisponíveis em razão de um ataque por ransomware, afetando diversas atividades.

 

Importante!

Qualquer evento que caracterize o descumprimento de políticas ou normas de segurança da informação também deverá ser considerado um incidente de segurança. Deste modo, caso um colaborador compartilhe suas credenciais de acesso com terceiros, violando os termos das normas internas da cooperativa, estará caracterizado um incidente de segurança. 

 

foto criado por DCStudio - br.freepik.com

Como prevenir a ocorrência de incidentes de segurança?

Primeiro, é importante ressaltar que não é possível estabelecer uma única medida para proteger as informações das cooperativas. Sempre será necessária a adoção de um conjunto de controles para permitir que o ambiente fique mais seguro, tanto em relação a incidentes que tenham como origem aspectos internos (ações de colaboradores/associados) quanto externos (ações de terceiros).

Assim, as medidas de segurança (controles) que devem ser adotadas pelas cooperativas para diminuir os riscos de ocorrência de incidentes, podem ser divididas em três categorias:

  • Medidas físicas: têm como objetivo prevenir o acesso físico não autorizado, danos e interferências em instalações e informações da cooperativa (Ex.: a) Controle por de biometria para acesso ao ambiente do servidor; b) Controle de visitantes mediante registro de identificação, data e hora da entrada e saída);
  • Medidas técnicas: tem como objetivo tratar riscos a confidencialidade, integridade ou disponibilidade de informações em formato eletrônico (Ex.: a) Uso de firewalls para bloquear acessos externos não autorizados; b) Utilização de soluções de antivírus nos equipamentos; c) Uso de soluções para prevenir o vazamento de informações, como DLP - Data Loss Prevention);
  • Medidas organizacionais: tem como objetivo criar controles administrativos que complementam e suportam os controles técnicos (Ex.: a) Implementar Política de Segurança da Informação; b) Implementar Programas de Treinamentos e Campanhas de Conscientização).

Com a vigência da LGPD, a segurança da informação e o gerenciamento de incidentes ganharam maior relevância, tendo em vista as consequências jurídicas decorrentes da legislação. Atualmente, incidentes de segurança que envolvam dados pessoais podem ser objeto de multas administrativas, aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD).

Além disso, a LGPD estabelece que as cooperativas devem, em prazo razoável, comunicar à ANPD e os titulares de dados pessoais sobre a ocorrência de incidentes de segurança que possam acarretar risco ou dano relevante para as pessoas. Destaca-se que o “prazo razoável” referido na LGPD ainda está pendente de regulamentação. No entanto, a ANPD recomenda que os comunicados sejam realizados em até 2 (dois) dias úteis, após a cooperativa identificar o incidente.

Vale lembrar que, além da fiscalização e aplicação de multas, o titular de dados pessoais prejudicado pelo incidente de segurança também poderá ingressar com ação judicial para buscar reparação dos dados sofridos e/ou denunciar a cooperativa junto à ANPD. 

Desde modo, a gestão de incidentes e o fortalecimento da segurança da informação passam a ocupar lugar de destaque nas cooperativas, uma vez que a proteção de dados pessoais está diretamente ligada com a estruturação integrada de um Programa de Proteção de Dados Pessoais e de Segurança da Informação (Confira o material Documentos essenciais para conformidade com a LGPD).

Por isso, as cooperativas devem realizar avaliações para medir a sua maturidade sob aspectos de Segurança da Informação e, consequentemente, identificar as práticas já implementadas e estabelecer um plano de ação em relação àquelas ainda pendentes para tornar o ambiente mais seguro.

Nenhuma cooperativa espera enfrentar um incidente de segurança que resulte na exposição de informações estratégicas para o negócio ou dados pessoais de seus colaboradores, clientes ou associados, não é mesmo?!

Assim, é imprescindível dar a atenção devida ao tema a fim de evitar incidentes. 

Lembre-se: um incidente traz impactos e consequências de reputação, financeiras e operacionais.

Conteúdos Relacionados

Aviso de Privacidade e Política de Privacidade: conheça as diferenças

Aviso de Privacidade e Política de Privacidade: conheça as diferenças

ANPD publica a sua política interna de proteção de dados pessoais

ANPD publica a sua política interna de proteção de dados pessoais

INSS é condenado a divulgar incidente de vazamento de dados

INSS é condenado a divulgar incidente de vazamento de dados

Image
SISTEMA OCB © TODOS OS DIREITOS RESERVADOS.