Notícia
É preciso aprender a lidar com incidentes de dados
Especialistas em segurança dão dicas para organizações sobre como reagir a vazamentos e demais incidentes ligados a informações pessoais
3/7/2020
Se você buscar por “vazamento de dados” na internet, uma série de notícias vai aparecer no resultado. Casos de vazamento crescem em todo o mundo e mesmo gigantes como Facebook e Google, com robustos recursos de segurança da informação, não escaparam de vazamentos e foram alvo de ações judiciais e multas. Claro, cada vez mais as organizações buscam mapear riscos e, por consequência, evitar incidentes de segurança. Porém, mesmo com medidas preventivas, incidentes ainda podem acontecer. É aí então que entra em ação o chamado plano de resposta a incidentes. No Brasil, por exemplo, a Netshoes foi vítima de um ataque que resultou no vazamento de dados de quase 2 milhões de clientes. Após o incidente, ocorrido entre 2017 e 2018, a varejista online precisou implementar mais ações para impedir novos vazamentos.
“A análise forense é essencial. Para otimizar nossos programas é preciso, de fato, entender a origem, as causas de qualquer incidente que seja, e em especial dos que envolvam dados pessoais. Por experiência, no que aconteceu na Netshoes, tivemos que ter bastante diligência, com diversos tipos de documentos e envolvendo consultorias, assessores externos que nos ajudassem a construir e a comprovar essa diligência perante os órgãos que nos questionavam”, comenta Mihran Kahvedjian Junior, DPO do grupo Netshoes. “O mais importante é a organização amadurecer o conceito de que ter um plano de resposta a incidentes, e conseguir executá-lo, prevê um preparo bastante abrangente. Ou seja, um preparo não só com aspectos de tecnologia, como controles de acesso e segmentação de ambientes, como com pessoas preparadas e bem alinhadas ao papel de cada uma delas dentro do plano, pois quando o incidente ocorrer o tempo de resposta será muito curto”, lembra Mihran.
Alexandre Patarra, líder de Data Security da IBM América Latina, acrescenta: “Como que se inicia um plano de gestão de incidentes dentro de sua companhia?”. E ele mesmo responde: “Um ponto é a questão do processo, e não existe processo certo ou errado, mas tem que existir um processo, e pessoas atreladas a ele. Na outra extremidade, são necessários ensino e profissionais com conhecimento. Sabemos que há empresas que não têm uma grande quantidade de profissionais de segurança da informação e, por isso, podem então partir para um ‘SOC cognitivo’. Ou seja, trabalhar com a inteligência de maneira proativa, correlacionando todos os logs de dados, entendendo o que é ou não um desvio do padrão e, de maneira automática, tomar as devidas precauções. Não existe bala de prata no nosso mercado, então sempre falamos de minimizar riscos. Minha mensagem é que o importante é iniciar de uma maneira correta, por meio de processos, pessoais e, se possível, a partir de um SOC cognitivo”, completa Alexandre, ao se referir à sigla de Security Operations Center, ou Centro de Operações de Segurança, em português.
No rol de pessoas qualificadas para ajudar a organização a lidar com dados pessoais, a partner da Trench Rossi Watanabe Gabriela Paiva ressalta o papel do encarregado. “O DPO será uma figura essencial. Durante a ocorrência de um incidente, por mais diferentes funções que os departamentos e áreas diversas terão, o ponto de referência provavelmente será o DPO. Então essa pessoa tem que estar muito integrada nas atividades da empresa, tem que ser publicizado quem é essa pessoa, ela tem que ser treinada”, frisa Gabriela. “A LGPD permite a terceirização do DPO, e isso pode ser regularizado por meio de um contrato de serviço, com algumas condições específicas, como com regras de conduta em caso de incidentes. Se uma organização tiver programas, políticas de segurança, isso será levado em consideração na hora de avaliar a responsabilidade dessa organização pelo incidente. Portanto, é primordial que o conjunto de pessoas envolvidas na condução da resposta ao incidente esteja muito bem azeitado para se chegar ao melhor resultado”, finaliza Gabriela.
Os três profissionais acima foram painelistas do debate “Como estruturar um plano de resposta a vazamento de dados”, no webinar sobre privacidade e proteção de dados realizado no último dia 30. “Quando converso sobre computação em nuvem, tem um pessoal que fala ‘Nossa, em nuvem tudo é diferente, tudo muda’. Não penso assim, costumo dizer que se você já aprendeu, estudou, implementou, então agora só precisa adaptar para o novo cenário. É possível replicar o que você já faz, se já faz isso bem feito. Acredito que este cenário, com a LGPD, vai muito nesse sentido também”, enfatiza o moderador do painel Tiago Iahn, head de Segurança Cibernética do Serpro, instituição organizadora do webinar. Clique aqui para assistir ao painel completo (a partir do minuto 57).