Incidentes de Segurança da Informação: o que é, como evitar e quais medidas adotar?
A perda de um pen drive, o furto de um computador, um ataque cibernético, todas essas situações podem ser consideradas incidentes de segurança; são definidos como uma violação de segurança que leva a destruição, perda, alteração, divulgação ou acesso não autorizados, de forma acidental ou ilícita, a dados pessoais transmitidos, armazenados ou processados.
A LGPD estabeleceu em seu artigo 48 o dever do controlador de comunicar a ocorrência de incidente de segurança para a ANPD e para o titular dos dados pessoais, porém limitou àqueles que possam acarretar risco de dano ou dano relevante aos titulares.
Como evitar incidentes de segurança da informação?
Evitar incidentes, sob a ótica da LGPD, envolve aplicar toda a lei. A partir de medidas organizacionais, como o mapeamento, registros de operações de tratamento de dados pessoais, é possível saber quais os dados que existem e qual o dano decorrente de um possível vazamento. Medidas técnicas garantem maior robustez, como um cadeado mais forte em uma janela que pode ser arrombada; as medidas mais efetivas em termos de redução de riscos são muitas vezes as administrativas, como o treinamento de colaboradores. Adotar um conjunto de medidas e boas práticas torna possível reduzir o risco de incidentes de segurança da informação.
Ocorreu o incidente, e agora?
O primeiro passo é tomar toda medida técnica que possa ser tomada, reforçando firewalls, alterando senhas, atualizando IDS, aquilo que for necessário. Caso se comprove que dados pessoais foram acessados, alterados, deletados ou vazados, inicia-se uma segunda fase.
Nesta hora deve ser realizada uma avaliação do incidente para analisar suas consequências, se houve um dano relevante aos titulares. Caso existe dano relevante, será necessário informar os titulares que o incidente ocorreu e a própria Autoridade Nacional de Proteção de Dados (ANPD); caso o incidente ocorra nas estruturas do operador, o controlador deverá ser imediatamente informado para que tome tais medidas.
A lei define as informações mínimas a serem informadas no caso de incidentes, que são (i) a descrição da natureza dos dados pessoais afetados; (ii) as informações sobre os titulares envolvidos; (iii) a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial; (iv) os riscos relacionados ao incidente; (v) os motivos da demora, no caso de a comunicação não ter sido imediata; e (vi) as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
É necessário portanto elaborar um Plano de Resposta a Incidentes, um documento que descreve como a organização deverá lidar em casos de incidentes de segurança, orientando acerca dos procedimentos mais adequados a serem executados, voltado a lidar com qualquer situação que exponha os dados pessoais, reduzindo o tempo de ação e os custos de recuperação, de forma a garantir uma maior qualidade e velocidade da resposta ao incidente de segurança, elementos que inclusive são critérios considerados na aplicação da sanção pela autoridade competente.
Sua empresa ainda não está preparada para lidar com incidentes de segurança da informação? Fale conosco e conheça as soluções oferecidas pela DataVisor!