Como criar um Plano de Resposta a Incidentes

Toda empresa está suscetível a incidentes de segurança envolvendo dados pessoais, seja por conta de ataques hacker, vazamentos ou perda de dados na hora de atualizar sistemas, erros operacionais, falhas humanas dentre inúmeros outros possíveis fatores.

Para garantir a conformidade com a LGPD (Lei Geral de Proteção de Dados), é fundamental estabelecer um Plano de Resposta a Incidentes, que permita lidar com a situação e minimizar os prejuízos aos titulares de dados.

Para facilitar esse processo, nós vamos explicar o que é um incidente de segurança e como criar um Plano de Resposta a Incidentes.

Confira neste artigo!

Contrate uma consultoria de adequação à LGPD

A Get Privacy é especializada em projetos de adequação à LGPD e proteção de dados para empresas de todos os portes.

O que é um incidente de segurança

Incidente de segurança da informação é qualquer situação em que ocorra a violação de algum dos pilares da Segurança da Informação: a confidencialidade, a integridade e a disponibilidade.

Dentro deste gênero de incidentes, estão os incidentes que interessam à LGPD, isto é, aqueles que envolvam especificamente dados pessoais (informações relacionadas à pessoas físicas).

Portanto, nem todo incidente de segurança envolverá dados pessoais, mas todo incidente de dados pessoais será um incidente de segurança.

Assim, um incidente de segurança de dados pessoais é todo acontecimento indesejado ou inesperado, hábil a comprometer a segurança dos dados pessoais, de modo a expô-los a acessos não autorizados e a situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Exemplos de incidentes de segurança

  • Vazamento ou sequestro de dados pessoais após um ataque hacker;
  • Acesso a dados pessoais por qualquer pessoa não autorizada;
  • Exposição acidental de dados pessoais em sites, comunicados ou redes sociais;
  • Perda de dados devido a catástrofes naturais, queda de energia e atualizações de sistemas;
  • Eliminação indesejada de dados pessoais;
  • Alteração indevida de dados pessoais por parte de um colaborador, etc.

Reforça-se que um incidente não resume-se ao famigerado “vazamento de dados”.

A depender das circunstâncias, uma eliminação de dados indevida pode ser ainda mais danosa aos titulares. Por exemplo a indisponibilidade de dados pessoais relacionados à saúde, sensíveis, portanto, em um hospital, impossibilitando o tratamento adequado pelos profissionais de saúde.

Incidentes de segurança: consequências e medidas

Além das consequências legais, um incidente de segurança também pode levar a perdas financeiras, danos à reputação, sanções administrativas e ações judiciais individuais e coletivas.

Deste modo, é fundamental que as organizações estabeleçam medidas de Segurança da Informação para o tratamento de riscos e, também, medidas para caso um incidente ocorra. Por mais robusto que seja um sistema, nenhum está livre do risco da ocorrência de incidentes.

Um protocolo de resposta a incidentes prepara a organização para agir rapidamente diante de uma situação adversa, convocando os responsáveis previamente estabelecidos para agir.

O que a LGPD estabelece para casos de incidentes de segurança

A LGPD é clara ao determinar que garantir a segurança dos dados pessoais é uma obrigação dos envolvidos no tratamento de dados.

De acordo com a lei, os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de qualquer incidente de segurança.

Isso passa por reforçar que a LGPD é uma lei baseada no risco, sendo imprescindível a adoção de medidas mitigadoras. Por exemplo, a segurança de sistemas, a escolha cuidadosa de parceiros comerciais que tenham acesso a dados pessoais, o treinamento de equipes e a restrição ao máximo quanto a quem pode ter acesso aos dados.

Caso algum incidente ocorra, a LGPD estabelece que o controlador deve primeiro avaliar se o incidente pode acarretar risco ou dano relevante aos titulares. Por exemplo, se os dados foram expostos publicamente; se foram perdidos e podem prejudicar o fornecimento de um serviço etc.

Se houver risco ou dano relevante ao titular, o controlador deve comunicar a ocorrência do incidente à ANPD (Autoridade Nacional de Proteção de Dados) e ao titular dos dados.

Quanto às especificidades da avaliação do risco, do dano e da comunicação do incidente, é esperado da ANPD esta regulamentação, conforme agenda regulatória já divulgada e noticiada pela Get Privacy.

Comunicação de incidentes de segurança à ANPD

A comunicação à ANPD deve ser feita em um prazo razoável, que ainda será regulamentado pela autoridade, e conter, no mínimo:

  • A descrição da natureza dos dados pessoais afetados;
  • As informações sobre os titulares envolvidos;
  • A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
  • Os riscos relacionados ao incidente;
  • Os motivos da demora, no caso de a comunicação não ter sido imediata; e
  • As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

Em seguida, a ANPD vai avaliar a gravidade do incidente e poderá determinar a adoção de algumas providências, tais como:

  • Ampla divulgação do fato em meios de comunicação;
  • Medidas para reverter ou mitigar os efeitos do incidente.

Primeiros passos para criar um Plano de Resposta a Incidentes

Agora que você já sabe o que é um incidente de segurança e como a LGPD regulamenta o assunto, está na hora de começar a pensar no Plano de Resposta a Incidentes para a sua empresa ou organização.

Afinal, ter um processo estabelecido para lidar com incidentes de segurança ajuda a reduzir custos e a identificar e conter o incidente mais rapidamente.

Além disso, caso haja risco aos titulares, será preciso demonstrar à ANPD as medidas adotadas para mitigar o incidente – e um Plano de Resposta ajuda a comprovar esse comprometimento.

Os primeiros passos para criar um Plano de Resposta a Incidentes são:

  • Definir quem fará parte do time de resposta e estabelecer as tarefas de cada um. O plano pode incluir o DPO e integrantes de diferentes áreas, como TI, jurídico, marketing, relações públicas etc.
  • Estabelecer critérios para uma triagem inicial de todos os incidentes, definindo o que é considerado um incidente de segurança e quais gatilhos acionam o time de resposta;
  • Definir os critérios para avaliar se o incidente envolve dados pessoais e se há risco aos titulares de dados;
  • Criar modelos de comunicação de incidentes, com o formato de comunicados à empresa, aos titulares, à ANPD e à imprensa.

Baixe a cartilha gratuita sobre LGPD

Nossos especialistas prepararam um material completo e gratuito com os fundamentos da lei. Clique e confira!

Etapas essenciais de um Plano de Resposta a Incidentes

Depois das definições prévias, é hora de passar ao desenvolvimento e teste do plano em si, que costuma envolver ao menos seis etapas essenciais.

1. Notificação do incidente e acionamento do time de resposta

Esta primeira etapa se trata basicamente da notificação de um incidente que, após passar por uma triagem inicial, cumpriu os critérios para levar ao acionamento do time de resposta.

A notícia inicial do incidente, aliás, pode vir de várias fontes: colaborador; parceiros; cliente; autoridades (como o Ministério Público e entidades de defesa do consumidor); mídia; redes sociais; ferramentas de monitoramento etc.

2. Avaliação do incidente e da necessidade de comunicação à ANPD e aos titulares

Nesta segunda etapa, é feita uma avaliação mais detalhada do incidente. Isso inclui identificar se há riscos aos titulares de dados. Se houver, é preciso notificar a ANPD e os titulares.

Além disso, é importante levantar o máximo de informação possível a respeito do incidente, identificando, por exemplo:

  • Qual foi a causa do incidente;
  • Quais foram as vulnerabilidades exploradas ou que levaram ao incidente;
  • Se houve o uso de credenciais comprometidas e quais são essas credenciais;
  • Quais sistemas, equipamentos e redes foram comprometidos;
  • Quais setores da empresa foram afetados;
  • Se houve exposição, transferência ou sequestro de dados;
  • Quais dados e quais titulares, exatamente, foram afetados; etc.

Inclusive, deve-se documentar o incidente ainda que seja feita a opção pela não comunicação, como forma de demonstrar a conformidade com a lei, exibindo-se as razões pelas quais foi feita esta opção.

3. Contenção e erradicação

Essa é a fase de conter e erradicar o incidente, limitando os danos. A ação depende do incidente específico, mas o objetivo é evitar que ele cause mais prejuízos do que já causou.

Isso implica atuar na raiz do incidente e estabelecer formas de contenção (podendo até mesmo ser necessário desabilitar sistemas inteiros). É importante, nesta etapa, procurar preservar as evidências que possam ajudar a identificar melhor o que ocorreu e os eventuais responsáveis.

4. Recuperação

Depois que o incidente estiver contido e erradicado, é hora de tentar restaurar dados e serviços. Se a organização conta com Planos de Continuidade dos Negócios e Recuperação de Desastres, eles também devem ser acionados.

Essa etapa pode incluir a restauração de backups, clonagem de máquinas virtuais e reinstalação de sistemas, dentre outras medidas.

5. Levantamento das lições aprendidas

Com o incidente contido e os dados e serviços restaurados, é preciso fazer uma análise crítica da situação e documentar as lições aprendidas.

Isso possibilitará a identificação de eventuais erros, vulnerabilidades, dificuldades e melhorias necessárias a subsidiar a tomada de decisão para alteração e melhoria interna. Disto, sugestões de aprimoramento de processo e do próprio Plano de Resposta a Incidentes devem ser levadas aos responsáveis.

6. Documentação do incidente

Por fim, deve-se documentar o incidente de forma detalhada, incluindo todas as ações tomadas nas etapas anteriores e as lições aprendidas com o caso.

Quer ajuda para elaborar um Plano de Resposta a Incidentes?

Elaborar um Plano de Resposta a Incidentes é uma tarefa fundamental, mas também complexa, pois transversal na organização e multisetorial. A questão deve ser abordada de forma customizada a cada ambiente organizacional.

Por isso, sua empresa pode contar com uma assessoria especializada em proteção de dados, como a Get Privacy.

Fale conosco e veja como podemos te ajudar!

acompanhe
nossas redes
receba
mais notícias

CONFIRA
OUTROS POSTS