Imagen de artigos e publicações

Vazamentos de dados e a LGPD: como se preparar para lidar com incidentes de segurança cibernética

Incidentes de vazamento de dados são cada vez mais frequentes, como temos visto pelos inúmeros casos noticiados recentemente. Segundo o levantamento “Panorama de Ciberameaças na América Latina”, realizado pela Kaspersky, o Brasil é o país que mais sofre tentativas de ataque cibernético na região. Se consideramos o cenário global, o país aparece como o sétimo com mais tentativas de ataque.

A ocorrência de incidentes de vazamento de dados é uma preocupação para qualquer instituição, pública ou privada. Por isso, a gestão de riscos cibernéticos está sendo cada vez mais incorporada pelas empresas em seus processos de tomada de decisão, especialmente no que se refere a redes, sistemas e dados críticos ao negócio.

A adesão a padrões mais elevados e a implementação de medidas mais avançadas, em termos de segurança da informação, são hoje indispensáveis e devem ser perseguidas não somente para atender às expectativas dos principais stakeholders, mas também para garantir a competitividade e a perenidade da organização em meio a momentos de turbulência.

Reputação em risco

Em geral, incidentes de vazamento de dados repercutem de forma negativa sobre a reputação da empresa e abalam a confiança de seus clientes. Além disso, podem resultar na aplicação de multas com valores maiores, sobretudo quando decorrem de falhas na adoção de medidas preventivas. No Brasil, tais sanções começarão a ser aplicadas pela Autoridade Nacional de Proteção de Dados Pessoais (ANPD) a partir do mês de agosto.

Para evitar o envolvimento em vazamentos acidentais de dados, ou mesmo vazamentos decorrentes de ações criminosas, é essencial que as empresas desenvolvam e mantenham um sistema de gestão de riscos que contemple a segurança de suas redes e sistemas, bem como a governança dos dados.

Quais ações de prevenção realmente funcionam?

Nenhuma medida será efetiva sem a conscientização dos sócios e da alta direção acerca da importância da governança de dados e da segurança da informação. O tema precisa ser reconhecido e levado a sério no planejamento estratégico e no orçamento. É importante, ainda, que todos os colaboradores compreendam seu papel na manutenção e no cumprimento da política de segurança da informação.

O mapeamento dos fluxos de informação também tem um importante papel para identificar vulnerabilidades, por exemplo, em controles, processos, acessos e sistemas, além de permitir a identificação de operações envolvendo dados pessoais e viabilizar o atendimento à LGPD.

Como detectar e quando comunicar?

É essencial contar com profissionais de Tecnologia e Segurança da Informação de alto nível, dotados de recursos e autonomia para desempenharem suas funções. É necessário, ainda, promover atualizações periódicas dos sistemas e controles dedicados à detecção de quaisquer intrusos, tentativas de ataques cibernéticos ou falhas de segurança. Por fim, deve-se estabelecer um fluxo de comunicação entre a alta direção, os profissionais da segurança da informação e colaboradores-chave incumbidos da governança de dados.

Confirmada a ocorrência de um incidente de segurança relacionado a dados pessoais, a empresa deve estar preparada para realizar a comunicação do ocorrido à ANPD e aos titulares, caso exista risco ou dano relevante. Dependendo do setor de atuação da organização, poderá haver a necessidade de comunicar o incidente a outros stakeholders, a exemplo de parceiros comerciais e órgãos de proteção ao consumidor.

Reação rápida e efetiva

A remediação tempestiva pode ser a diferença entre o sucesso e o fracasso dos esforços de uma organização. Para isso, é preciso saber como agir caso ocorra um incidente de vazamento de dados, planejando e instituindo um protocolo de resposta e garantindo que as regras a serem seguidas sejam difundidas.

Esse protocolo de resposta deve ter comandos objetivos, priorizando a identificação tanto da origem do incidente quanto dos dispositivos e das informações afetadas, para que a interrupção das falhas seja feita e as partes interessadas sejam notificadas.

São exemplos de iniciativas recomendadas para a gestão de crise:

– Definição de um comitê de crise com caráter interdisciplinar;

– Definição de um protocolo de comunicação independente da infraestrutura da empresa;

– Acionamento de consultores independentes para auxiliar a companhia no momento de crise;

– Identificação e guarda de evidências que possam ajudar nas investigações sobre as causas do incidente;

– Definição de estratégias que não sejam excessivamente dependentes de recursos tecnológicos, que podem estar indisponíveis em razão do incidente; e

– Registro das atividades desempenhadas ao longo da gestão da crise como resposta ao incidente de segurança, para que lições sejam aprendidas com o ocorrido.

A equipe especializada em Proteção de Dados e Compliance de Chediak Advogados está à disposição para esclarecer eventuais dúvidas de gestores e auxiliar no que for necessário.

Cecilia Choeri é doutoranda e mestre em Direito, sócia de Chediak Advogados e professora do Centro de Pesquisa em Crimes Empresariais e Compliance (CPJM) da UERJ.

Rafael Paulino é advogado de Chediak Advogados, pós-graduando em Direito Digital na UERJ e em Compliance Digital na Mackenzie.