A violação de dados, também chamado de falha de segurança, é a frase usada para descrever um problema de segurança em que ocorre a liberação intencional ou não intencional de informações. Normalmente, as informações são privadas, confidenciais ou informações pessoais que foram fornecidas em confiança à organização.
Por que ocorre uma violação de dados
Uma violação de dados pode ocorrer por vários motivos. Por exemplo, uma violação de dados pode ser o resultado da aquisição não autorizada de informações pessoais por negligência do funcionário (ou seja, fotocópia) em discos rígidos de computador não descartados de forma adequada, para hackers obterem acesso aos dados por meio de uma exploração ou outro ataque malicioso.
Leis de notificação de violação de dados
Muitos países ou estados / províncias individuais promulgaram algum tipo de lei de notificação de violação de dados e segurança. Essas leis exigem que agências governamentais e outras organizações que coletam informações pessoais (incluindo um nome combinado com SSN, carteira de habilitação ou identidade, números de contas, etc.) notifiquem os indivíduos sobre violações de segurança.
O requisito exato para as leis de notificação muda entre os locais, bem como a definição legal do que constitui uma violação, requisitos e prazos para notificação e isenções. Em geral, se houver um risco percebido como resultado de uma violação de dados, os indivíduos afetados e os órgãos reguladores do governo devem ser notificados.
Lista de Verificação de Segurança
Embora não haja um conjunto específico de regras a serem seguidas, a maioria das organizações criará uma lista de verificação para garantir uma resposta rápida para gerenciar e mitigar uma violação.
A primeira etapa é criar uma política que defina a definição de violação da organização e identifique o que constitui uma violação, certificando-se de que está em conformidade com todas as definições legais estabelecidas em sua localização geográfica.
Em seguida, um plano identificará as responsabilidades da equipe e descreverá como manter registros de relatórios e rastreamento de violações. O plano deve identificar os processos de apoio e aprovação da gestão e delinear as responsabilidades dos funcionários para padronizar o comportamento.
Por último, as organizações precisarão ter um procedimento de violação em vigor, derivado do plano e da política. Isso padroniza as responsabilidades e ações que fazem parte do esforço de resposta e deve identificar a alta administração responsável pela execução dos procedimentos.
O procedimento de violação de dados normalmente é revisado, testado e executado como parte da continuidade geral dos negócios e do procedimento de recuperação de desastres da organização. A seção de links relacionados abaixo oferece recursos adicionais para ajudar as empresas a criar listas de verificação e políticas de violação de dados.