Slides Gestão de Incidentes e Plano de Resposta

Prévia do material em texto

<p>LGPD NAS RELAÇÕES DO TRABALHO</p><p> Quando falamos de incidentes envolvendo dados estamos diante de situações de exposição,</p><p>acesso indevido ou furto de informações da empresa ou de alguém diretamente ou</p><p>indiretamente ligado a esta, que ocasionará danos a empresa ou a alguém com que esta</p><p>mantém algum tipo de vínculo jurídico.</p><p> Buscando evitar estes incidentes ou, ao menos, minorar suas consequências e</p><p>desdobramentos, é elaborado um plano de resposta que prevê ações preventivas, repressivas</p><p>e corretivas.</p><p> Os planos de resposta ganharam uma nova dimensão com a chegada da LGPD, contudo,</p><p>também precisam estar contextualizados com o Marco Civil da Internet, uma vez que esta é a</p><p>legislação que disciplina o uso da internet no Brasil. No ambiente corporativo, as proposições</p><p>destes planos são estruturadas nos planos estratégicos, tático e operacional.</p><p> O autor Washington Umpierres de Almeida Junior, aponta em seu texto contido na obra Lei</p><p>Geral de Proteção de Dados Pessoais – Manual de Implementação, coordenada pela</p><p>professora Viviane Nóbrega Maldonado e publicada pela Editora Revista dos Tribunais, que:</p><p>“Uma das obrigações que a Lei 13.853/2019 estabelece em relação aos agentes de</p><p>tratamento de dados é que toda a atividade de tratamento de dados pessoais deverá</p><p>ser registrada, indicando que tipos de dados serão coletados, suas finalidades, tempo</p><p>de retenção e as práticas de segurança da informação. No quesito das práticas de</p><p>segurança da informação, as empresas devem se basear nas diretivas das melhores...</p><p>GESTÃO DE INCIDENTES E PLANO DE RESPOSTA</p><p>instituições de reputação global, como a ISSO e o NIST, que são entidades de referência</p><p>mundial com constantes publicações técnicas, funcionando como verdadeiros guias</p><p>para as melhores práticas consolidadas no âmbito do entendimento global de</p><p>maturidade em segurança da informação.”</p><p> Inclusive o NIST possui um dos conceitos mais adotados de incidente de segurança: “um</p><p>incidente de segurança constitui uma violação ou ameaça de violação da política de</p><p>segurança computacional, política de uso aceitável ou padrões de prática de segurança.”</p><p> Podemos traçar uma linha do tempo na questões de incidentes de segurança da informação</p><p>que contempla o antes, o durante e o depois do incidente. O momento anterior é quando a</p><p>empresa tem condições de se preparar para as ameaças que buscam explorar as</p><p>vulnerabilidades de segurança encontradas na empresa. Neste estágio a empresa possui a</p><p>capacidade de treinar seu pessoal e preparar seu plano de resposta.</p><p> No durante as empresas acabam dependendo de ações administrativas e técnicas muito</p><p>bem estruturadas e documentadas, onde a comunicação entre as equipes e a qualificação</p><p>do corpo técnico para lidar com o problema poderá minimizar as consequências ou até</p><p>mesmo aumenta-las. Por isso o foco em pessoal e treinamento é o pilar principal de uma boa</p><p>Política de Segurança da Informação e de um Plano de Resposta consistente.</p><p> A ausência de treinamento e planejamento as empresas vão se deparar com consequências</p><p>que, invariavelmente as levará para crises.</p><p> No cenário pós-incidente a empresa precisa conduzir uma análise criteriosa e o máximo</p><p>detalhada para determinar a causa raiz do incidente, corrigir falhas e vulnerabilidades, ajustar</p><p>seus procedimentos, treinar sua equipe já com esse novo aprendizado em mente e, quando</p><p>for o caso, iniciar um plano de recuperação reputacional.</p><p> O Art. 46 da LGPD prevê que:</p><p>Os agentes de tratamento devem adotar medidas de segurança, técnicas e</p><p>administrativas aptas a proteger os dados pessoais de acessos não autorizados e</p><p>de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação</p><p>ou qualquer forma de tratamento inadequado ou ilícito.</p><p> É importante cominar o artigo acima com o exposto no Art. 37 da mesma lei:</p><p>O controlador e o operador devem manter registro das operações de tratamento</p><p>de dados pessoais que realizarem, especialmente quando baseado no legítimo</p><p>interesse.</p><p> Esses registros serão um fator determinante no processo de defesa das empresas</p><p>controladoras/operadoras para determinar se um tratamento foi realizado por estas</p><p>ou por um terceiro não autorizado, que o Art. 46 denomina como forma de</p><p>tratamento inadequado ou ilícito.</p><p> Daí advêm a crucial importância de um Plano de Respostas a Incidentes implementado nas</p><p>empresas, pois este, em conjunto com os registros acima citados, poderão ser considerados</p><p>pela ANPD e outras autoridades como medidas de boas práticas e prevenção.</p><p> Para cumprir seu papel o Plano deve conter, no mínimo, os seguintes itens:</p><p>I. Declaração da equipe de resposta à incidentes;</p><p>II. Monitoramento de eventos;</p><p>III. Alerta de incidente;</p><p>IV. Análise do incidente;</p><p>V. Registro do incidente; Avaliação da equipe;</p><p>VI. Confirmação;</p><p>VII. Relatório de Impacto para ANPD;</p><p>VIII.Resposta ao incidente;</p><p>IX. Respostas adicionais.</p><p> Este Plano, via de regra, pode estar conectado a algumas políticas e processos, como:</p><p>Política de Monitoramento de Ativos, Política de Gestão de Ativos, Processo de Fluxo de</p><p>Análise, dentre outros.</p><p>Líder de equipe Profissional que direciona e coordena todas as atividades da equipe de resposta a</p><p>incidentes e mantém a equipe focada em minimizar os danos e restaurar o</p><p>ambiente o mais rápido possível.</p><p>Líder de investigação Profissional responsável pela coleta e análise de todas as evidências do incidente.</p><p>Ele determina a causa raiz, direciona os outros analistas de segurança e coordena a</p><p>recuperação rápida dos sistemas e/ou serviços.</p><p>Líder de comunicação Profissional responsável por liderar o esforço de envio de mensagens e</p><p>comunicações para todos os públicos, dentro e fora da empresa.</p><p>DPO Profissional responsável por aconselhar e verificar se os departamentos da empresa</p><p>estão aderentes quanto aos requisitos de conformidade à Lei de Proteção de Dados</p><p>Pessoais. Em um cenário de resposta a incidente de segurança, ele documenta</p><p>todas as atividades da equipe, especialmente as tarefas de investigação, descoberta</p><p>e recuperação, e desenvolve um cronograma para cada estágio do incidente,</p><p>incluindo o relatório de impacto à proteção de dados pessoais que deverá ser</p><p>enviado à ANPD.</p><p>Líder Jurídico Profissional responsável por avaliar as possíveis implicações jurídicas de ordem</p><p>cível e criminal do incidente. Ele deve fornecer orientação jurídica à equipe, em</p><p>cada etapa do processo de resolução do incidente.</p>