O crescente número de violações de segurança para extrair credenciais de contas de clientes e as exigências mais abrangentes de notificação de violações colocam as empresas em uma situação delicada. Elas estão sujeitas à cruel lógica de que uma violação de segurança em um provedor pode resultar no comprometimento de contas de clientes em outro devido à reutilização de senhas — e as regulamentações estão se tornando cada vez mais rigorosas para reduzir a janela de oportunidade para que essa cruel lógica se concretize.
Mas, como demonstraram as recentes violações de segurança, as empresas geralmente descobrem quais contas foram expostas quando os invasores colocam à venda os dados confidenciais dos usuários. Esses cenários não apenas desencadeiam um estado de pânico, como também obrigam as empresas a emitir uma notificação geral de violação de segurança para todos os clientes — prejudicando ainda mais a confiança e a credibilidade junto aos clientes. Em alguns casos, os destinatários das notificações podem nem mesmo ser clientes atuais. E, como mostram as recentes ações do Twitter, as empresas podem ter que passar por um processo equivalente a uma notificação de violação de segurança mesmo na ausência de uma violação real.
Antecipando uma violação de segurança e a possibilidade de credenciais de usuários serem vendidas em mercados de hackers, as empresas precisam adotar uma postura proativa e ter um plano de resposta em vigor, em vez de serem pegas de surpresa por fatores externos. Mapeamento de identidades de clientes Ter acesso aos seus dados pessoais, onde quer que estejam, e manter uma visão centralizada de a quem pertencem os dados é a base de um plano sensato de notificação de violação de dados — e pode ajudar a evitar a necessidade de emitir notificações genéricas.
Minimizar o impacto de violações de segurança por meio de notificações oportunas.
A maioria das empresas responsáveis já está no caminho da centralização dos dados do usuário e da criptografia e do uso de salt nas senhas. Mas as contas de usuário podem ser comprometidas sem que os invasores acessem os repositórios de dados do usuário. Os invasores podem deduzir nomes de usuário e senhas correlacionando dados de outras violações e, em seguida, lançar ataques automatizados para descobrir quais combinações funcionam. É exatamente por isso que o Twitter aconselhou recentemente os usuários a redefinirem suas senhas — mesmo que seus próprios sistemas não tivessem sido invadidos, mas que cibercriminosos tivessem disponibilizado para venda nomes de usuário e credenciais do Twitter.
Para muitas empresas, o cenário é ainda mais complicado pelo fato de não conseguirem mapear de forma consistente quais contas de usuário foram expostas ou, mais grave ainda, quais contas provavelmente foram comprometidas. Em vez disso, para cumprir as normas de notificação de violação de dados, elas precisam alertar todos os clientes que possam ter sido afetados.
Ao mesmo tempo, as leis de notificação de violações de dados, que já estão em vigor há algum tempo, especialmente no setor de saúde, por exemplo, estão se tornando mais explícitas e rigorosas, porque os órgãos reguladores veem essa tendência como prejudicial à integridade sistêmica dos negócios digitais — e não apenas às empresas afetadas.
De fato, há projetos de lei em tramitação em estados como Califórnia e Nova York que exigiriam medidas de segurança específicas para proteger informações de senhas — além de estabelecer multas caso as empresas não divulguem a violação com rapidez suficiente. Além disso, a legislação proposta sobre violação de dados está adotando uma visão mais abrangente do que constitui informação pessoal, incluindo dados médicos, de seguros ou biométricos. Illinois Recentemente, juntou-se à Califórnia, Flórida e Nebraska na aprovação de leis que exigem que os indivíduos sejam notificados caso seu nome de usuário, em combinação com uma senha ou uma pergunta e resposta de segurança que permitam o acesso a uma conta online, sejam obtidos sem autorização.
Do outro lado do Atlântico, o Regulamento Geral de Proteção de Dados da UE exige agora que uma autoridade supervisora de proteção de dados seja notificada de uma violação de dados pessoais “sem demora indevida e, sempre que possível, o mais tardar 72 horas após ter tomado conhecimento da mesma”.
Centralize o conhecimento sobre os dados dos seus clientes, não os dados deles.
Os procedimentos de notificação de violação de dados não são apenas demorados e dispendiosos, como também minam a confiança do cliente e criam riscos para a reputação, especialmente para empresas que desejam ser vistas como guardiãs vigilantes dos dados de seus clientes.
Em vez de simplesmente desistir e aceitar que uma violação de segurança faz parte do custo de se fazer negócios, ou transferir o ônus para os usuários gerenciarem suas senhas, as empresas precisam de ferramentas para limitar ativamente o escopo dos requisitos de notificação de violação e garantir que haja um plano de resposta em caso de comprometimento das contas de usuário.
A centralização dos dados do usuário apresenta seus próprios desafios — e, em muitos casos, pode não ser tecnicamente viável ou compatível com as estruturas regulatórias. Em vez disso, o que se faz necessário é uma visão centralizada das identidades dos clientes e seus dados.
Fragmentos de dados pessoais estão espalhados por aplicativos, bancos de dados, diretórios e repositórios de big data, sem uma visão centralizada de a quem pertencem os dados. Compreender quem são seus usuários e construir uma visão de onde seus dados residem fornece a base para uma visão mais granular. risco de exposição à violaçãoCom uma visão clara das identidades que as empresas desejam proteger, elas podem trabalhar para limitar o escopo dos dados pessoais abrangidos pelos requisitos de notificação de violação de dados e identificar quais usuários correm maior risco quando ocorrem violações por terceiros.
Autor
