Um pequeno resumo: A prática das respostas aos incidentes de segurança e às violações de dados pessoais

Falar que não existe segurança 100% e que precisamos nos prevenir com relação à incidentes é usual, no entanto, alguns pontos precisam ser detalhados. Pode parecer simples, mas mesmo com diversos treinamentos e orientações, no momento da ocorrência do incidente, é normal que as pessoas se apavorem ou não saibam como agir.

E aqui, não estamos falando de ataques hackers nem de sequestro de dados, estamos tratando, simplesmente, de um compartilhamento errôneo de dados pessoais ou de um clique em um e-mail de phishing. A partir do momento que a pessoa percebe que algo está errado, a tendência é esconder ou atrasar o fato, o que dificulta a eficiência na hora de resolver o problema.

Para melhor compreensão, entendamos:

O incidente é uma situação na qual a confidencialidade, a integridade ou a disponibilidade das informações pessoais podem ser potencialmente comprometidas. A violação de dados consiste numa falha de segurança que pode levar à destruição, perda, alteração, divulgação não autorizada, ou acesso a dados pessoais.

Ainda, conforme a IAPP (International Association of Privacy Professionals), normalmente, um incidente de privacidade pode ser descrito como qualquer comprometimento potencial ou real de informações pessoais em uma forma que facilite o acesso intencional ou não intencional por terceiros não autorizados.

Logo, podemos concluir que, todas as violações são incidentes, mas nem todos os incidentes são violações.

Diante do explanado, pensemos na prática. Além de exercitar boas práticas, conforme recomendado pela lei Geral de Proteção de Dados Pessoais (LGPD) - lei 13.709/18, como realizar conscientizações de todas as formas, é importante que as pessoas compreendam a importância da assertividade na vida prática, tanto nos momentos pré, durante e pós-incidente ou violação.

Na fase anterior a um possível incidente de segurança ou violação de dados pessoais é importante entender que, o que está em risco, além da continuidade dos negócios, é a reputação da empresa. Ter a marca associada a incidentes e/ou violações não é saudável para nenhuma organização, pois estremece a relação de confiança com clientes e parceiros de negócio.

Por isso é indeclinável investir em conscientização (treinamentos, elaboração de documentos, revisão de contratos etc.) e testes de infraestrutura, porque no final dia, os erros de colaboradores são considerados uma das maiores causas das violações.

Treinar os colaboradores e evidenciar esse fato demonstra o comprometimento da empresa com a privacidade, além de cooperar para a integridade de sua reputação. Questão prática que sempre surge: ok, mas quem paga pelo treinamento? Normalmente, esse tópico gera discussões, pois nenhuma área quer usar seu precioso budget para treinamentos de segurança. Aqui, é de suma importância analisar o contexto: quem teria mais prejuízo em caso de incidente? Em qual local os dados ficam armazenados? É valido sugerir uma divisão de custos entre os departamentos, considerando também, o retorno do investimento. O detalhe é: todos precisam entender que investimento em segurança é lucro e não prejuízo para as áreas.

Outro ponto essencial: ter planos de resposta a incidentes e de continuidade de negócios. Além da elaboração, esses planos precisam ser aplicados e testados, e os resultados, avaliados de forma crítica. Não basta ter documentos longos e bonitos, eles precisam, de fato, funcionar na prática. O objetivo do plano de respostas a incidentes, por exemplo, é apontar o que cada pessoa deve fazer quando da situação emergencial, bem como, após o corrido, entender o que houve e utilizar as lições aprendidas, a fim de evitar novos incidentes ou violações de dados pessoais. Já o plano de continuidade de negócios é um conjunto de estratégias e planos de ação de maneira a garantir que os serviços essenciais sejam devidamente identificados e preservados após a ocorrência de um desastre.

Importante: os planos precisam ser ajustados de acordo com a organização e serem atualizados com regularidade.

Sabe quando toca aquele alarme, de repente, e todos tem que levantar e deixar o setor, reclamando horrores? O bom e velho teste da brigada de incêndio? Pois é, ele pode salvar muitas vidas. Aqui o raciocínio é o mesmo: o que não é praticado não é eficaz!

Ainda, é imperioso ter um seguro, para a cobertura em casos de incidentes ou violações de dados pessoais, incluindo, por exemplo, gestão de crises, investigações forenses, resoluções de fraudes, notificações etc.

Certo, a empresa tomou medidas preventivas e, ainda assim, ocorreu um incidente ou uma violação. Como agir a partir daí? É nessa hora que os treinamentos e testes farão sentido. É necessário entender o contexto, avaliar onde, como e porque ocorreu o incidente ou a violação de dados pessoais e agir. Informar aos responsáveis, para que eles possam exercer seus papéis e minimizar ou eliminar, com brevidade, a situação de risco. Aqui, a agilidade e a comunicação são fundamentais. É imprescindível que todos compreendam a importância do reporte imediato do incidente, pois essa ação influenciará no tempo de resposta e na eliminação dos riscos e danos.

Todos os colaboradores precisam ter a tranquilidade de saber que, mesmo que tenham cometido um erro ou um deslize, eles precisam fazer o reporte sem receio de reprimendas. Na prática, vemos muitas situações escalarem de tamanho justamente por medo dos colaboradores de reportar a situação. Não cansem de repetir: não ignorem ou escondam incidentes de segurança ou violação de dados pessoais!

Ainda, é indispensável que o profissional responsável (na maioria das vezes, o encarregado pelo tratamento de dados pessoais assume esse papel) pela notificação ao titular ou a ANPD, quando for necessário, conheça todos os procedimentos.

No que se refere à comunicação, dispõe a ANPD:

O art. 48 da LGPD determina que é obrigação do controlador comunicar à Autoridade Nacional de Proteção de Dados (ANPD) e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

Recomenda-se que os controladores adotem posição de cautela, de modo que a comunicação seja efetuada mesmo nos casos em que houver dúvida sobre a relevância dos riscos e danos envolvidos. Ressalte-se, ainda, que eventual e comprovada subavaliação dos riscos e danos por parte dos controladores pode ser considerada descumprimento à legislação de proteção de dados pessoais.

E sobre o prazo para a comunicação:

A LGPD determina que a comunicação do incidente de segurança seja feita em prazo razoável (art. 48, § 1º), conforme será definido pela ANPD. Embora não tenha havido regulamentação nesse sentido, a realização da comunicação demonstrará transparência e boa-fé e será considerada em eventual fiscalização.

Enquanto pendente a regulamentação, recomenda-se que após a ciência do evento adverso e havendo risco relevante, a ANPD seja comunicada com a maior brevidade possível, sendo tal considerado a título indicativo o prazo de 2 dias úteis, contados da data do conhecimento do incidente.

Com relação à comunicação externa, os textos devem ser avaliados por profissionais de relações públicas, com o intuito de encontrar o tom correto, protegendo a marca da empresa e não alarmando os envolvidos.

Outro ponto fundamental é compreender que investir em segurança é lucro e não gasto. É importante ter um fundo voltado à incidentes de segurança e violações de dados pessoais, a fim de evitar comprometer os orçamentos de outros projetos.

Com relação aos custos, a IBM disponibilizou informações em seu relatório de 2022, trazendo o seguinte:

Esta pesquisa anual que o Ponemon Institute conduz independentemente e que é patrocinada, analisada e publicada pela IBM Security®, já está em sua 17ª edição. Ela estudou 550 organizações atingidas por violações de dados ocorridas no período entre março de 2021 e março de 2022. As violações ocorreram em 17 países e regiões e em 17 setores diferentes.

Atingindo um recorde histórico, o custo de uma violação de dados foi em média de US$ 4,35 milhões em 2022. Este valor representa um aumento de 2,6% em relação ao ano anterior, quando o custo médio de uma violação foi de US$ 4,24 milhões. O custo médio subiu 12,7% em relação aos US$ 3,86 milhões no relatório de 2020.

Sobre o plano de resposta a incidentes, demonstra o referido relatório:

Quase três quartos das organizações que fizeram parte do estudo disseram ter um plano de RI, sendo que 63% dessas organizações disseram testar o plano regularmente. Ter equipe de RI e o plano de RI testado regularmente levou a uma significativa economia de custos. As empresas com uma equipe de RI que testaram seu plano de RI tiveram uma média de US$ 2,66 milhões a menos em custos de violação do que as organizações sem equipe de RI e que não testam plano de RI. A diferença de US$ 3,26 milhões contra US$ 5,92 milhões representa uma economia de custos de 58%.

Como dissemos, não há segurança 100%, no entanto, conforme demonstrado acima, há a possibilidade de reduzir o prejuízo quando do investimento em ferramentas, conscientização e controles de segurança. E vejam, esse relatório foi elaborado considerando dados até março de 2022! Notem que, sai muito mais caro remediar do que prevenir. Pode parecer clichê, mas é a realidade. Além de gastar tentando reparar a violação, a organização pode ter perda de receita, gastos com publicidade, ações judiciais etc.

Com relação ao pós-incidente, é necessário documentar e evidenciar todas as ações e utilizar as lições aprendidas. Elaborar um relatório de progresso coopera para a compreensão da evolução e a eficácia do atendimento. É interessante saber: como o incidente ou a violação poderia ter sido evitado? A equipe teve atuação eficaz? O número de envolvidos foi suficiente? O plano elaborado atendeu às expectativas? Qual foi o tamanho do custo? Dentre diversas outras perguntas. Inclusive, uma palestra ou treinamento demonstrando os pontos mais críticos e as resoluções ajudam bastante para que todos os colaboradores absorvam as informações compartilhadas.

Claro que o atendimento à incidentes de segurança e violações de dados pessoais é um mundo imenso, a ser explorado. Aqui, resumimos os principais pontos, aprendidos na nossa vida prática e que ajudaram bastante quando das ocorrências.

Em suma, não é possível prever, exatamente, a ocorrência de incidentes de segurança e violações de dados pessoais, no entanto, é de suma importância que todos estejam engajados na prevenção, objetivando a preservação da privacidade de todos bem como a continuidade dos negócios da organização, evitando prejuízos financeiros e reputacionais.