sexta-feira, junho 02, 2017

Empresas obrigadas a comunicar ataques informáticos - 1ª parte

Sabendo que a não comunicação de ataques informáticos dificulta uma defesa comum e a adopção de medidas adequadas, inclusivé na determinação da detecção da origem, foi determinado a obrigatoriedade de informar as autoridades deste tipo de ocorrência quando se dirijam contra empresas.

A divulgação de um ataque, mesmo que sem sucesso, pode ter como principal resultado um dano reputacional, com custos imprevisíveis e incalculáveis quando o valor de uma empresa ou entidade depende, em grande parte, da confiança dos clientes e do próprio público, como sucede, por exemplo, no caso de bancos ou seguradoras, mas também em empresas que alogem grandes quantidades de dados, incluindo-se entre estes informação confidencial.

Assim, compreende-se que a primeira reacção seja a de tentar evitar a divulgação de ataques, sobretudo se bem sucedidos, implementando um conjunto de medidas que controlem os danos e assumindo os encargos de prejuízos resultantes do ataque, sem efectivamente revelar o sucedido, mesmo a clientes cujos dados tenham sido, de alguma forma, expostos, mas tal opção pode ter efeitos secundários devastadores.

Se no caso de perda, por exemplo, de dados financeiros, existem formas de compensação, caso existam perdas, a exposição de dados pessoais é irreversível, podendo ter consequências irreparáveis para a vida de todos quantos viram a sua privacidade comprometida, não apenas em termos pessoais, mas profissionais, sendo exemplo a divulgação de informação médica.

Sem comentários: