Incidentes de segurança com dados pessoais: Azar ou falta de preparação?

Por Laurier Soares - Diretor de Comercial

Autoridade Nacional de Proteção de Dados (ANPD) iniciou no dia 22 de fevereiro a tomada de subsídios sobre a notificação de incidentes de segurança com dados pessoais nos termos do art. 48 da LGPD. Dentro desta diretiva, a ANPD disponibilizou o formulário de comunicação de incidente, bem como o documento com orientações de como a empresa deve proceder em caso de um incidente de vazamento. Além disso a ANPD atualizou em seu website no dia 31/03 a recomendação sobre prazo de comunicação de incidentes de segurança com a maior brevidade possível, sendo considerado a título indicativo o prazo de 2 dias úteis.

A agilidade da ANPD em apresentar tais diretrizes, demonstra a urgência com o que órgão está tratando a questão, principalmente devido ao crescimento de incidentes de vazamento de dados pessoais ocorridos no Brasil.

Em recente pesquisa feita pelo fabricante IBM sobre segurança da informação em empresas de diversos tamanhos e segmentos, o Brasil é o país que apresentou os indicadores de maior tempo médio para identificar e conter um incidente de vazamento de dados. Esse indicador reflete diretamente no nível de maturidade das empresas em relação a gestão de políticas de proteção de dados e seus itens de controle, gestão de tratamentos de dados pessoais e seus riscos, e sobre ter um plano efetivo de gestão de incidentes implantado.

Ao analisarmos o formulário de comunicação de incidentes proposto pela ANPD, são solicitadas informações que evidencia a clara necessidade de estruturação das empresas em mapear e formalizar os tratamentos de dados pessoais que são executados em suas áreas de negócio, detalhando os tipos de dados pessoais tratados, agentes de tratamento envolvidos, apontamento de riscos e controles de mitigação, para a partir deste mapeamento, proceder com a abertura e execução de planos de ação para gerenciamento destes riscos. Somente desta forma a empresa terá condições de conhecer suas deficiências e tratá-las de forma planejada. Como atividade não menos importante, as empresas devem implantar um processo formal de gestão de incidentes, estabelecendo fluxos de trabalho, prazos, papéis e responsabilidades, ação fundamental para que a empresa possa estar preparada para atender o prazo recomendado pela ANPD, em caso de ocorrência de um incidente de vazamento com dados pessoais.

Sempre importante reforçar que, quanto mais evidências de controles e gestão a empresa apresentar em um caso de incidente de vazamento, menor será o impacto em caso de sanções e punições.

A solução MD2 Quality Manager oferece de forma efetiva todos os mecanismos necessários para apoiar as empresas na mitigação de riscos com incidentes de dados pessoais, através de interfaces que guiam os usuários do programa de conformidade a formalizarem itens críticos sobre os tratamentos de dados e seus riscos, como possibilita a criação de planos de ação com tarefas, prazos e responsáveis para que o DPO e equipe possam gerir as ações de forma coordenada e integrada, evidenciando diligência. Além disso, a solução oferece mecanismos de formalização de políticas e seus itens de checklist de conformidade, para que a empresa possa listar e priorizar seus planos de ações para correção de deficiências e investimentos com segurança da informação. Como um grande diferencial, a solução embarca processos aceleradores para gestão de incidentes e não conformidades com tratamentos de dados pessoais, que oferecem verdadeiros guias com fluxos de trabalho, papéis e responsabilidades, para que a empresa acelere seus processos de preparação e adequação em caso de eventos de incidentes.

Monitoramento Contínuo

Em parceria com o fabricante IBM, a MD2 ampliou as capacidades de sua solução incorporando ferramentas IBM de segurança da informação líderes de mercado, para monitoramento e detecção de ameaças cibernéticas e gestão de risco de comportamento de usuários. Estas ferramentas trabalhando de forma integrada com o MD2 Quality Manager oferecem capacidades amplas de prevenção de incidentes de segurança, incluindo aceleradores de processos e regras de monitoramento orientados a políticas e itens de controle de proteção de dados, detecção e notificações preventivas de ameaças e comportamento não conforme de usuários, para que o time de conformidade possa ser notificado e agir na gestão de riscos e melhoria contínua.