O controlo de processos ajudam as empresas a minimizar o impacto de uma violação ou perda de dados. Um estudo recente do Ponemon Institute revelou mesmo que as empresas podem reduzir o custo médio por registo de uma violação de dados, em média de 141 dólares para, aproximadamente, 122 dólares, se um processo eficaz de resposta a incidentes for implementado, no sentido de ajudar a reduzir o tempo necessário para identificar e conter uma violação de dados.
A sua equipa de resposta a incidentes pode ser interna, contratada através de outsourcing ou uma combrinação de ambas. Por uma quebra de apenas 10.000 registos, pode representar uma economia média de aproximadamente 190 mil dólares – vale a pena o investimento.
Para criar controlos de processos, as empresas precisam:
Envolver pessoas
Esta não deve ser uma iniciativa de gestão que venha de cima para baixo. Envolver as pessoas que realmente trabalham nos vários processos e tecnologias é fundamental. Desta forma, garante que os controlos façam sentido e possam ser, efetivamente, implementados.
Definir responsabilidades
As responsabilidades individuais precisam ser claramente definidas e compreendidas: todos precisam conhecer seu papel.
Explique a necessidade do controlo de processos
As medidas de segurança são frequentemente vistas pelas pessoas como um fardo ou um obstáculo. Podem mesmo até ser ignoradas ou contornadas caso os funcionários não entendam a necessidade de tais controlos e porque são importantes para o negócio. As empresas que criam processos para transferência segura de dados também podem reduzir o custo de uma violação de dados ou perda de dados. Por exemplo, a encriptação reduz o custo médio por registo em 16 dólares, de acordo com o Ponemon Institute. Em muitos casos, a encriptação de dados (e a capacidade de provar que está encriptado corretamente) podem desencadear disposições de porto seguro para muitos regulamentos de privacidade de dados. Isto permite que as empresas renunciem a notificações de violação, o que reduz significativamente o custo – tanto em termos de custos diretos (tais como notificações, serviços de monitorização de crédito e litígios) como de custos indiretos (como sejam danos à marca e rotatividade de clientes). Novamente, e no caso de uma violação de 10.000 registos, a encriptação pode reduzir o custo total da violação em aproximadamente 160.000 mil dólares.
De acordo com o Ponemom Institute, o tempo médio necessário para identificar uma violação de dados é de 191 dias, e o tempo médio para conter uma violação de dados é de 66 dias. A quantidade de tempo necessária para identificar e conter uma violação de dados afeta diretamente o tamanho da violação de dados e o seu custo total.
Os controlos de processos importantes incluem:
Políticas de controlo de acessos
Definem quem tem acesso a que sistemas, aplicações e dados, e com que finalidade.
Gestão de recursos/ativos
É importante saber o que está a proteger e porquê (o seu valor ou risco para a organização). Para além da necessidade de manter um inventário preciso de ativos/recursos de computação e dados, as organizações precisam garantir a manutenção da segurança. A segurança fica assegurada através da manutenção de aplicações atualizadas com os patches de segurança mais recentes e excluindo, ou destruindo de forma eficaz, dados confidenciais que já não são necessários, de acordo com as políticas estabelecidas de retenção, arquivamento e destruição de dados.
Mudar a gestão
Garanta que as alterações nos sistemas e aplicativos são documentadas, testadas e aprovadas, para que o impacto de uma mudança seja entendido no que se refere à postura geral de segurança da organização.
Resposta a incidentes
Quando ocorre um incidente de segurança (como violação ou roubo de dados), as empresas precisam ter um plano de resposta a incidentes claramente definido e bem compreendido. Acima de tudo, isto ajuda a garantir uma resposta rápida e eficaz, incluindo contenção de danos, recuperação, preservação de evidências, comunicações internas e externas e análise de causa de raiz.
Continuidade do negócio
Um plano de continuidade do negócio minimiza o impacto comercial de uma interrupção ou desastre, ajudando as empresas a manter o funcionamento até que as operações normais possam ser totalmente retomadas.
Finalmente, as empresas podem aproveitar os serviços de segurança profissional para complementar os seus recursos internos. Nomeadamente com uma monitorização diária e uma gestão inteligente de ameaças, com deteção, escalonamento e resposta adequada a incidentes. Isto é particularmente importante em atividades forenses e de investigação, serviços de avaliação e auditoria, gestão de equipas de crise e comunicações.
Os controlos organizacionais e de processos que são implementados devem ser apropriados ao nível de risco inerente.
in Proteção de Dados para Pequenas e Médias Empresas (ESET)