Scroll Top

LGPD: Plano de Resposta a Incidentes

Incidentes

Para garantir a conformidade com a LGPD (Lei Geral de Proteção de Dados), é necessário criar um Plano de Resposta a Incidentes, que possibilite lidar com a situação e reduzir os possíveis prejuízos aos titulares de dados.

Não apenas as grandes empresas internacionais são alvos de ataques hacker. Pequenas e médias empresas têm sofrido com incidentes cibernéticos, e sendo um alvo recorrente dos ciber-criminosos.

O que é um Plano de Resposta a Incidente

Um Plano de Resposta a Incidente, também conhecido como R.I, é um documento que indica a todos em empresa como agir em caso de um incidente de segurança da informação.

Incidente de segurança da informação é qualquer situação em que ocorra a violação de algum dos pilares da Segurança da Informação: a confidencialidade, a integridade e a disponibilidade.

Exemplos de incidentes de segurança da informação:

  • Vazamento de dados pessoais após um ataque hacker;
  • Sequestro de dados pessoais, seguido de extorsão, após um ataque hacker;
  • Queda de acesso ao sistema, descontinuando a operação;
  • Acesso a dados pessoais por qualquer pessoa não autorizada;
  • Perda de dados devido a catástrofes naturais, queda de energia e atualizações de sistemas;
  • Alteração indevida de dados pessoais por parte de um colaborador, e outros.

Muitos dos incidentes de segurança da informação envolvem diretamente dados pessoais (aqueles relacionados à pessoas físicas), portanto, o Plano de Resposta a Incidente é fundamental para a adequação à LGPD.

Mas entenda: nem todo incidente de segurança necessariamente envolve dados pessoais, mas todo incidente com dados pessoais é considerado um incidente de segurança.

O que diz a LGPD em relação a incidentes de segurança

A lei é clara neste ponto, e determina que aquele que trata dados pessoais é também responsável por sua segurança.

Desta forma, agentes de tratamento, conhecidos como Encarregado de Dados ou DPO, devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de qualquer incidente de segurança.

Lembramos também que a função de Encarregado de Dados (DPO) é exigida pela ANPD (Autoridade Nacional de Proteção de Dados) para manter a sustentação do projeto de adequação à LGPD.

Por que empresas pequenas são grandes alvos?

Geralmente, empresas menores não mantém uma estratégia de resposta a incidentes, e teriam maior probabilidade de pagar dezenas de milhares de dólares em resgates, em comparação com uma organização internacional que mantém uma equipe dedicada ao tema.

Entretanto, é totalmente possível manter um Plano de R.I robusto e eficaz, mesmo sem precisar dedicar toda uma equipe para tal. Preparação, desenvolvimento e teste são o foco!

O NIST* apresenta conceitos chaves para se manter uma documentação coesa e viável dentro da empresa acerca do tema específico.

O guia destaca quatro fases principais que envolvem o ciclo de vida do tratamento de um incidente, sendo elas:

  • Preparação;
  • Detecção e análise;
  • Contenção e recuperação;
  • Atividades pós-incidente.

Cada fase é composta por atividades operacionais que devem ser definidas, treinadas e, quando necessário, praticadas a fim de manter a Plano de Resposta a Incidentes eficaz.

Dessa forma, o framework pode ser um excelente guia para estruturar um PLANO DE RESPOSTA A INIDENTES CIBERNÉTICOS internamente, independentemente do tamanho da empresa.

Quer ajuda para elaborar um Plano de Resposta a Incidentes?

Elaborar um Plano de Resposta a Incidentes é fundamental, mas não é tarefa fácil. Cada plano deve ser desenvolvido de forma customizada para cada empresa, de acordo com suas demandas, realidade e organização.

Para esta tarefa, a sua empresa pode contar com uma consultoria que é especialista em Proteção de Dados, assim como a SVX Corporate.

Fale conosco e veja como podemos te ajudar!

*O NIST – National Institute of Standards and Technology, é uma agência governamental não regulatória da administração de tecnologia do Departamento de Comércio dos Estados Unidos.

+ conteúdo