Violação de Dados

Uma violação de dados é um incidente de segurança durante o qual dados sensíveis, protegidos ou confidenciais foram acessados ou expostos a entidades não autorizadas. Violações de dados ocorrem em organizações de todos os tamanhos, desde escolas a pequenas empresas até organizações empresariais. Esses incidentes podem expor informações protegidas ou informações de saúde pessoais (PHI), informações de identificação pessoal (PII), propriedade intelectual, informações classificadas ou outros dados confidenciais.

Alguns tipos de informações pessoais protegidas incluem:

• Números de CNH
• Prontuários médicos
• Biometria
• Registros financeiros
• Números de segurança social
• Antecedentes criminais

Para empresas, dados confidenciais também podem incluir listas de clientes, código-fonte, informações de cartões de crédito e débito, dados de usuários e outras informações confidenciais.

Violações de dados podem ser causadas por diferentes tipos de ataques cibernéticos, como malware, vírus, ataques de phishing, ransomware ou roubo de dispositivos físicos. Violações de dados também podem ocorrer devido a configurações incorretas, vulnerabilidades de segurança não corrigidas, pessoas internas mal-intencionadas ou outros tipos de erros internos. Permitir a entrada de indivíduos não autorizados em um prédio ou andar, anexar ou compartilhar o documento errado, ou até mesmo copiar a pessoa errada em um e-mail, tudo isso tem o potencial de expor dados e resultar em uma violação de dados significativa.

Muitos setores, particularmente os setores financeiro e de saúde, exigem controles de dados confidenciais. As diretrizes do setor e os regulamentos governamentais exigem cada vez mais controles rigorosos, regras de divulgação se ocorrer uma violação, e penalidades ou multas para organizações que não protegem os dados sob seus cuidados.

O Payment Card Industry Data Security Standard (PCI DSS) se aplica a instituições financeiras e empresas que lidam com informações financeiras. O Health Insurance Portability and Accountability Act (HIPAA) regulamenta quem tem acesso para visualizar e usar PHI no setor de saúde.

O Regulamento Geral de Proteção de Dados (GDPR) na União Europeia aumenta o controle e os direitos dos indivíduos sobre seus dados pessoais e inclui o potencial de multas significativas para organizações que não estejam em conformidade com o regulamento. Outros países também possuem regulamentações significativas em relação à proteção de dados. Os Estados Unidos têm várias leis nos níveis federal e estadual destinadas a proteger os dados pessoais dos residentes dos EUA.

Os impactos negativos para uma empresa devido a uma violação de dados incluem multas; custos relacionados à investigação, mitigação e recuperação do incidente; perda de reputação; litígios; e possivelmente até a incapacidade de operar o negócio.