Diante do número crescente de vazamentos de dados sendo divulgados na mídia e afetando a reputação das empresas, devido a sequestros e exposições de dados pessoais (ou não pessoais) após um ataque hacker, a Alta Administração e DPOs (gestores dos Programas de Proteção de Dados) das empresas têm questionado: o que se deve fazer caso ocorra um incidente de vazamento de dados em minha empresa?
Com esse questionamento, incluímos na conversa um importante aliado dos gestores em um momento de crise como este, o Plano de Gestão de Incidentes. Este documento contém essa e muitas outras respostas para a organização.
Mas antes de entrar na importância deste documento e o que deve conter em um Plano de Gestão de Incidentes, é importante esclarecer que Incidentes de Segurança da Informação não se referem, necessariamente, a um vazamento de dados. Significam a ausência de qualquer um desses três elementos: confidencialidade, integridade ou disponibilidade de um dado e/ou informação.
Assim, exposições acidentais de dados em sites ou mídias sociais feitas pelos próprios colaboradores ou fornecedores de uma empresa, ou a perda de informações devido à ausência de backup ou ocorrência de queda de energia, por exemplo, são situações que podem ser muito danosas para a organização e aos Titulares de Dados.
Imagine uma clínica médica que teve resultados de exames de pacientes ou os registros dos atendimentos realizados excluídos devido à uma atualização não programada de um sistema. A perda dessa informação terá um impacto operacional altíssimo para a clínica e médicos, mas prejudicará principalmente os pacientes, os Titulares de Dados, que não terão mais acesso ao seu histórico de saúde.
E aqui introduzimos mais um aspecto importante, a Lei Geral de proteção de Dados ("LGPD"), que garante aos Titulares de Dados maior controle e acesso aos seus Dados Pessoais. Assim, quando um incidente envolver Dados Pessoais, além de implicações operacionais, reputacionais, administrativas e judiciais de forma geral, as empresas estarão descumprindo com a LGPD e estarão sujeitas às penalidades e multas estabelecidas nesta lei.
A LGPD explicita que os Agentes de Tratamento (as empresas, para os fins deste texto) devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de qualquer incidente de segurança. Além disso, a lei garante aos Titulares direitos, como o de acesso aos seus Dados Pessoais mencionados no exemplo acima.
Então, como um Plano de Gestão de Incidentes ajuda as empresas?
Um Plano de Gestão de Incidentes é um importante elemento de Governança ao estabelecer atividades a serem executadas antes (para prevenir e para se preparar), durante (para conter e minimizar danos) e após um incidente (para reparar danos e aprender com a situação). Define rotinas de segurança técnicas e organizacionais preventivas a um incidente, papéis e responsabilidades para colaboradores e Terceiros da organização, o que permite a identificação rápida de um incidente e reduz custos e tempo de contenção deste.
Um Plano de Gestão de Incidentes, minimamente, formaliza (I) quem deve compor o Time de Resposta a Incidentes, (II) quais as tarefas de cada membro do time de Respostas e das diversas áreas da empresa, (III) outras empresas (consultorias, empresas de TI, escritórios de advocacia, etc) ou pessoas que devem ser acionadas em cada caso específico, (IV) a relações de fornecedores e clientes que devem ser envolvidos em situações definidas, (v) quais são os critérios para avaliação do incidente e sua criticidade (considerando, inclusive, questões relacionadas à presença de Dados Pessoais e possíveis danos aos Titulares de Dados), e (VI) necessidade e forma para reporte aos Titulares de Dados, à imprensa e às autoridades competentes, incluindo a ANPD (Agência Nacional de Proteção de Dados).
Apesar de não existir uma receita de bolo definida, é comum que os Planos apresentem as seguintes fases: (i) Preparação, (ii) Detecção, (iii) Análise, (iv) Contenção, (v) Erradicação e Recuperação e (VI) Pós Incidente.