O vazamento de dados teve um aumento de 493% no Brasil, segundo o MIT ― Massachusetts Institute of Technology.
Não sem motivo, empresas têm se preocupado mais em buscar soluções como um plano de resposta a incidentes na LGPD, a Lei Geral de Proteção de Dados.
Incidentes de segurança são qualquer ameaça ou episódio concreto de violação dos dados de uma empresa, resultando na perda de um ou mais pilares da segurança: confidencialidade, integridade e disponibilidade.
Tudo isso importa ainda mais atualmente, uma vez que as organizações têm mais responsabilidade sobre os dados pessoais de seus clientes, fornecedores, parceiros e outros.
Neste post, mostraremos por que um plano de resposta a incidentes é essencial para aumentar a capacidade da empresa de combater ameaças à segurança cibernética. Confira!
O que é um plano de resposta a incidentes?
Um plano de resposta a incidentes de segurança em dados sociais é um documento que indica como a empresa deverá agir frente a incidentes de segurança de TI.
Falamos, portanto, de um plano capaz de orientar uma resposta rápida e certeira a diferentes tipos de problemas como a presença de um malware, um ataque cibernético ou uma situação de violação de dados, por exemplo.
Esse plano é um complemento às medidas preventivas e deve ser consultado e colocado em ação quando a prevenção falhar ― algo que, frente aos ataques cada vez mais agressivos, pode mesmo acontecer.
O plano de respostas a incidentes é essencial para adequação à LGPD e deve existir também para minimizar o tempo de resposta aos problemas. Algo que pode poupar a empresa de maiores perdas, prejuízos e impactos negativos à sua imagem.
Para que isso funcione, o plano deve ser entendido como um instrumento interno da organização a ser conhecido por todos os colaboradores, contendo informações sobre:
- O que é um incidente de segurança na concepção da empresa;
- Quais procedimentos devem ser seguidos frente a cada incidente, com orientações de como fazer;
- Quais ferramentas e recursos devem ser utilizados em cada caso;
- Quais profissionais fazem parte do time de mitigação de incidentes e suas respectivas responsabilidades.
Plano de resposta a incidentes: antes do incidente
Ao indicar o que um plano de respostas a incidentes na LGPD deve conter, já demos a você uma ideia de como transformar esse documento em realidade.
Entretanto, há mais a ser feito para que esse plano realmente se transforme em um instrumento capaz de ajudar a organização a lidar com um incidente de segurança.
Designação prévia de um comitê de crise
O comitê de crise, ou seja, os profissionais que vão atuar na mitigação dos incidentes devem ser designados antes que algo aconteça de fato.
Essas pessoas estão capacitadas inclusive para orientar o desenho do plano de respostas, de modo a torná-lo efetivo e adequado à realidade da empresa.
Com tudo isso em mente, entenda que o comitê deve ser composto por:
- Encarregado ou DPO (Data Protection Officer) ― posição que existe como exigência da LGPD, podendo ser terceirizada;
- Membros da equipe de TI e Segurança da Informação da empresa;
- Um representante do Departamento Jurídico;
- Além de representantes das áreas de Compliance e Comunicação.
Membros de outras equipes que se façam relevantes para a mitigação de incidentes em segurança de dados pessoais também podem ser definidos com base na realidade de cada empresa.
Estruturação prévia das respostas necessárias
Saber quem deve formar o comitê de crise ajuda a entender quais tipos de respostas uma organização pode precisar dar diante de um incidente.
Além do que fazer para solucionar o problema da violação de dados, a empresa precisa estar pronta para adotar outras medidas como o envio de informações à Autoridade Nacional de Proteção de Dados (ANPD) e até à imprensa.
Essas comunicações demandam documentos que podem ser previamente estruturados de forma a facilitar a atuação da empresa diante da crise.
Plano de resposta a incidentes: durante o incidente
A ideia de ter um plano de resposta a incidentes na LGPD é otimizar todo processo de resposta durante o incidente. Quanto a isso, ressaltamos a importância de preservar evidências que possam ser úteis depois.
Identificação, coleta e preservação das evidências
Incidentes envolvendo a violação de dados pessoais podem ser danosos para uma organização. Entretanto, é mais grave o descaso ou o pouco preparo para resolvê-los.
Mostrar que a empresa tentou ou foi capaz de identificar o responsável pelo vazamento de dados, por exemplo, é argumento válido para evitar ou minimizar sanções.
Algumas soluções tecnológicas mantêm as evidências em local seguro, fora do ambiente de TI da empresa, como é o caso do Prosec.
Plano de resposta a incidentes: após o incidente
Ainda, a preservação de evidências pode servir de norte para que a empresa analise o que foi feito diante do incidente e aprimore suas medidas preventivas e de mitigação.
Algo que só se torna realmente possível se um relatório completo for elaborado.
Elaboração de relatório final do incidente e revisão dos procedimentos
O relatório deve apresentar as medidas que foram todas pela organização e seu comitê de risco, informando sobre:
- O incidente em questão, quando de sua identificação e qual sua natureza;
- As medidas tomadas para preservação de evidências;
- Os procedimentos adotados para a mitigação do incidente;
- Uma apresentação do comitê de crise e suas ações diante do incidente, assim como as funções passadas a outros colaboradores envolvidos;
- Os requerimentos de titulares de dados, autoridades e imprensa, bem como as respostas fornecidas pela empresa;
- As medidas de correção técnicas e de Governança de TI;
- Análise e report de quais medidas poderiam ser tomadas para evitar o incidente e que devem ser adotadas para que não tenham novas ocorrências;
- O balanço dos prejuízos causados pelo incidente.
Comunicação de Incidente de Segurança
A LGPD tem uma série de determinações que indicam como fazer a comunicação de um incidente de segurança. No site do governo, há um link para o formulário de avaliação da ANPD e as seguintes orientações:
- Comunicar ao Controlador dos dados nos termos da LGPD, no caso de a empresa ser o Operador;
- Comunicar à ANPD e ao titular de dados, em caso de risco ou dano relevante aos titulares (Art. 48 da LGPD); e
- Elaborar documentação com a avaliação interna do incidente, medidas tomadas e análise de risco, para fins de cumprimento do princípio de responsabilização e prestação de contas (Art. 6º, X da LGPD).
Caso Uber
Em 2016, a Uber sofreu uma violação de dados. Além de seguir as orientações listadas acima, a empresa enviou o seguinte comunicado de interesse dos titulares dos dados afetados:
Informações sobre o incidente de segurança de dados ocorrido em 2016
Em outubro de 2016, a UBER passou por um incidente de segurança de dados que causou a violação de informações relacionadas a contas de usuários e motoristas parceiros.
As informações de usuários incluem nome, endereço de e-mail e número de telefone celular de contas em nível global. Nossos peritos forenses externos não observaram nenhum indício de download de históricos de locais de viagens, números de cartões de crédito, números de contas bancárias ou data de nascimento.
No seguinte local, essa violação afetou cerca de 196.000 usuários e motoristas parceiros: Brasil. Esse número é aproximado (e não exato nem definitivo), porque as informações que recebemos por meio de nossos apps ou nosso site para identificar o código do país podem ser diferentes do país onde a pessoa realmente mora.
Quando o incidente aconteceu, nós tomamos medidas imediatas para proteger os dados, bloquear acessos não autorizados e reforçar a nossa segurança de dados.
PRECISO FAZER ALGUMA COISA?
Acreditamos que nenhum usuário específico precise tomar qualquer medida. Não notamos nenhuma evidência de fraude ou de uso indevido associada ao incidente.
Estamos monitorando as contas afetadas, que foram marcadas para proteção adicional contra fraudes. Recomendamos que todos os usuários verifiquem com frequência se há algum problema em suas contas. Entre em contato conosco por meio da Central de ajuda se perceber algo estranho na sua conta Uber. Para isso, entre no app e toque em “Ajuda” > “Opções de pagamento e conta” > “Não reconheço uma cobrança que recebi” > “Acho que a minha conta foi hackeada”.
Benefícios de um plano de resposta a incidentes
Os benefícios da criação e uso de um plano de respostas a incidentes na LGPD são variados e formariam uma lista extensa. Para facilitar, destacamos os principais a seguir:
- Resposta rápida a incidentes: diante de um incidente de segurança, uma empresa começa a correr contra o tempo para evitar perdas drásticas.
O plano possibilita que medidas adequadas sejam tomadas o quanto antes e de forma correta, favorecendo o tempo de resposta e seus resultados.
Algo que tende a resultar na mitigação de dados operacionais e perdas financeiras, além de danos à reputação da organização;
- Evita a necessidade de um DR: o DR ou plano de recuperação de desastres é outro documento importante para empresas, mas que é acionado em situações mais críticas.
Assim, o melhor dos cenários é não precisar acionar o DR e retomar a normalidade de forma menos drástica. Algo que o plano de respostas a incidentes de segurança em dados pessoais pode fazer.
- Facilidade de comunicação: é praticamente inevitável que uma empresa precise comunicar um incidente de segurança.
Quanto antes isso é feito, melhor para conter a comoção dos titulares e a especulação que pode afetar a reputação da empresa.
Essa comunicação faz parte do plano de respostas.
- Rápida retomada dos negócios: por fim, o plano permite que a empresa responda a incidentes de forma rápida e certeira, podendo retomar suas operações com maior celeridade.
Por tudo isso, fica clara a importância de ter um plano de respostas a incidentes na LGPD. Seguindo as orientações do post, sua empresa pode criar esse plano ou contar com uma consultoria externa, como a da Prolinx.
Precisa de ajuda? Saiba como a Prolinx pode ajudar sua empresa na adequação à LGPD!