As sanções da LGPD (Lei Geral de Proteção de Dados) começarão no dia 1º de agosto de 2021, sendo que os demais artigos da lei já estão em vigor desde 18 de setembro de 2020. Para evitar possíveis vazamentos de dados e, consequentemente, penalizações com base na legislação, as empresas precisam repensar suas ações internas como medidas de segurança focadas em tecnologia da informação e outras medidas como armazenamento físico e manuseio de informações por pessoas autorizadas.
Neste conteúdo, os especialistas da Grant Thornton Brasil Rebeca Arima, gerente de Compliance e Proteção de Dados, e Everson Probst, diretor na área de Cyber Crime, explicam a importância de as organizações estruturarem um plano de gestão de incidentes.
“Em poucas palavras, este plano é o caminho para gerenciar um incidente de vazamento ou exfiltração de dados protegidos pela LGPD. Isso porque as pessoas tendem a não saber por onde começar, principalmente diante de um cenário legislativo tão novo. Então, cabe às empresas se organizarem e direcionarem suas ações diante de um incidente de segurança”, afirma Rebeca.
Ter um programa de privacidade adequado à nova legislação, com atividades e medidas focadas em segurança da informação, é essencial para mitigar riscos e evitar que as informações sejam alvo de incidentes. Entretanto, é comum identificar a falta de organização por parte da maioria das instituições. Na visão dos nossos especialistas, a proteção de dados é um novo paradigma que as empresas tendem a enfrentar e, a partir do momento em que um negócio ou indústria tenha adotado medidas de segurança adequadas, ou atenda as melhores práticas de segurança da informação, o risco de dados vazarem ou serem exfiltrados é menor.
“É importante ressaltar que, caso a empresa não tenha processos de monitoramento e controle devidamente estabelecidos, é possível que já tenha sofrido algum incidente de exposição de dados por meio de exploração de vulnerabilidade de tecnologia sem ao menos ter conhecimento disso. E neste cenário em que as sanções da LGPD ainda não estão em vigor, é o momento ideal para as empresas se prepararem no sentido da prevenção e controle para evitar que isso aconteça”, ressalta Rebeca.
O que fazer quando ocorrer um vazamento de dados?
A partir do momento que a empresa identifica um incidente, seja por meio de seus monitoramentos ou pela repercussão ou impacto do ocorrido, os times de Segurança da Informação e Resposta a Incidentes devem ser imediatamente acionados e iniciar o plano de contenção, recuperação e investigação sobre o ocorrido. Da mesma forma, tão logo seja identificado qualquer risco ou suspeita de vazamento ou exfiltração de dados pessoais ou informação pessoalmente identificável, o Encarregado de Dados (DPO) e a equipe de privacidade devem ser comunicados e integrar o time de Resposta a Incidentes.
![Everson_round.png]()
“Cabe notar que todo vazamento ou exfiltração de dados é um incidente de segurança. Entretanto, nem todo incidente é um vazamento. Esse esclarecimento é importante, pois todos os incidentes de segurança deverão ser tratados pelo time de resposta a incidentes da empresa seguindo um fluxo e governança baseado na sua complexidade e risco. Entretanto, o envolvimento do DPO e da equipe de privacidade será necessário quando da previsão de risco ou constatação do vazamento ou exfiltração de dados, seja acidental – resultante de descuido ou acaso, ou intencional – resultante de um ato ilícito”, esclarece Probst.
Principais aspectos a serem considerados
Uma vez iniciado o Plano de Resposta a Incidentes, alguns aspectos devem ser considerados especialmente para situações de vazamento ou exfiltração de dados:
Criação do comitê de crise
Para que a plano seja efetivo, é importante que a companhia estabeleça meios para a criação tempestiva de um comitê de crise com áreas de negócio que possam realizar reuniões periódicas de acompanhamento. Esse comitê poderá ser acionado extraordinariamente quando um incidente for identificado. Isso é fundamental para a tomada de decisões estratégicas inerentes aos procedimentos de contensão e recuperação do ambiente, bem como avaliação e investigação da extensão do incidente, bem como a divisão de tarefas e atribuição de responsabilidade na tratativa do vazamento de dados. Sem o comitê, os papéis e responsabilidades podem ficar dispersos e desorganizados.
Sugere-se que o comitê seja formado por gestores de áreas como segurança da informação, tecnologia (infraestrutura, sistemas etc.), encarregado de dados e jurídica. Em empresas de maior porte, pode haver o envolvimento da equipe de riscos, compliance, relações com investidores, comunicação externa, consultores independentes etc.
Somente com a criação do comitê e gestão coordenada do plano de resposta, os procedimentos de contensão e recuperação – essenciais para continuidade do negócio, poderão ser realizados sem prejuízo para os procedimentos de avaliação e investigação – essenciais para correto mapeamento e mensuração do dado e reporte para autoridades competentes.
Framework NIST
Instaurado o comitê, é importante estabelecer os passos a serem seguidos quando um incidente for identificado. Sugere-se o estudo do framework da NIST (National Institute of Standards and Technology) que sugere que tenha um (i) planejamento – quais ferramentas estão ativas para evitar que o incidente ocorra; (ii) a parte de detecção e análise – se ocorrido o incidente, como foi identificado e análise inicial; (iii) contenção, erradicação e recuperação – depois de identificado, conter o vazamento, para que seja erradicado e os dados que foi possível ser recuperado; e, (iv) ações pós-incidentes – lições aprendidas, aplicar melhorias na companhia para evitar novos incidentes.
Todas essas etapas são igualmente importantes e urgentes para a empresa que sofreu um incidente. É por isso que o planejamento prévio dessas atividades, seus responsáveis e áreas envolvidas, protocolo de comunicação e procedimentos formais definem também a capacidade da empresa em responder adequadamente a um incidente de segurança.
Comunicação à área de gestão em tecnologia
A criação de um comitê e processos de resposta a incidentes, por si só, não inibe completamente as chances de um acontecimento. Caso ocorra um incidente, a partir do conhecimento dele, é necessário comunicar a área de gestão em tecnologia da informação no primeiro momento, caso o incidente não tenha sido observado pelos sistemas de monitoramento geridos por esse time.
Isso é essencial para identificação de eventuais sistemas da companhia comprometidos, e cabe a estes profissionais em conjunto com o Comitê avaliarem suspensões nas operações que podem ter sido afetadas como forma de controlar o dano do incidente. Adicionalmente, em outro caso, pode ocorrer de informações vazarem em meios físicos, como arquivos físicos destrancados e a contenção de áreas físicas também contribui para controle do dano.
Gestão e mensuração dos riscos com o setor afetado
Identificado o vazamento ou exfiltração de dados, o passo seguinte é convocar o setor da companhia que foi diretamente afetado, para iniciar a gestão e mensuração dos riscos. Esse processo pode envolver também a área jurídica, compliance, de Recursos Humanos e demais pessoas estratégicas, dependendo do tipo de informação divulgada indevidamente.
Posicionamento à ANPD
Em até dois dias úteis após um incidente de segurança com vazamento ou exfiltração de dados, ou a partir da detecção do vazamento, é obrigatório que a empresa posicione a ANPD (Autoridade Nacional de Proteção de Dados) com o preenchimento do formulário. Este formulário está disponível no site da entidade, contendo uma série de campos a serem preenchidos com informações sobre o vazamento.
Mesmo sem todas as informações de preenchimento iniciais, é fundamental que a empresa se posicione sobre como vai conseguir mensurar as informações que foram vazadas. É possível encaminhar um novo formulário para complementar o formulário inicial quando o incidente tiver sido resolvido.
Em casos de vazamentos é essencial que a empresa aja com transparência, tanto para as pessoas que foram afetadas diretamente com esse ocorrido, quanto para todos os stakeholders. “Caso a empresa esteja listada em bolsas e possui uma área de relações com investidores, a depender do tamanho do incidente, o impacto deste vazamento pode acarretar riscos muito altos para a companhia. Com isso, é importante que o plano de gestão de incidentes tenha uma etapa de comunicação com as partes interessadas e afetadas. A gestão de privacidade vai ter esse mesmo peso, é um risco muito grande para uma companhia, podendo se caracterizar como risco reputacional e gerando impacto negativo no mercado”, afirma Rebeca.
Gestão de privacidade é conhecer os processos
A criação de um Plano de Gestão de Incidentes e, consequentemente, de políticas de privacidade adequadas à LGPD e uma cultura de segurança começa com a empresa identificando sua estrutura organizacional. “A companhia precisa saber o que possui de sistemas, de diretórios na rede e quais informações são capturadas, armazenadas e processadas e por qual razão. Também é necessário saber qual é a sua equipe de tecnologia, tanto na parte de infraestrutura quanto na parte sistêmica, entre suas subdivisões, e seus especialistas de segurança da informação. Para que o suporte às ações mencionadas e até para evitar que ocorram, profissionais de segurança da informação passam a ser fundamentais para empresas”, reforça a especialista.
Existem diversas alternativas na implementação de uma estrutura para a gestão de dados. "Se a companhia não possui condições de ter um setor focado em segurança da informação, ela pode buscar uma empresa especializada nesta área. Caso uma empresa não tenha uma estrutura adequada, é possível que ela esteja vulnerável e exposta sem saber, inclusive vazando dados, e consequentemente os prejuízos serão ainda maiores”, conclui Rebeca.
Como a Grant Thornton pode auxiliar sua empresa nesse momento?
Conte com as nossas equipes especializadas em privacidade e proteção de dados para adequar seus processos de maneira customizada para atender às necessidades do seu negócio. Entre em contato conosco.
“Cabe notar que todo vazamento ou exfiltração de dados é um incidente de segurança. Entretanto, nem todo incidente é um vazamento. Esse esclarecimento é importante, pois todos os incidentes de segurança deverão ser tratados pelo time de resposta a incidentes da empresa seguindo um fluxo e governança baseado na sua complexidade e risco. Entretanto, o envolvimento do DPO e da equipe de privacidade será necessário quando da previsão de risco ou constatação do vazamento ou exfiltração de dados, seja acidental – resultante de descuido ou acaso, ou intencional – resultante de um ato ilícito”, esclarece Probst.
