O que não pode faltar em treinamentos e simulações de incidentes de segurança com dados pessoais?
De acordo com o relatório “Global DDoS Threat Intelligence”, da Netscout, empresa líder global em soluções de cibersegurança, o Brasil é o principal alvo de ciberataques na América Latina. O aumento de 19% no número de tentativas de ataques cibernéticos no segundo semestre de 2022 em comparação com o primeiro é ainda superior ao observado na média mundial, que foi de 13% no mesmo período.
Com o advento da Lei Geral de Proteção de Dados (“LGPD”), tornou-se cada vez mais evidente a responsabilidade dos agentes de tratamento em identificar e responder adequadamente potenciais incidentes de segurança envolvendo dados pessoais, medidas nem sempre simples na prática (Veja nosso artigo que traz 5 ações essenciais para estes casos).
Há uma unanimidade entre os profissionais de privacidade e cybersecurity para a solução (ou, ao menos, a mitigação) deste problema: a realização periódica de treinamentos e simulações de incidentes de segurança envolvendo dados. Nessa linha, o “Relatório do Custo de uma Violação de Dados 2021”, elaborado pela IBM Security em conjunto da Ponemon Institute, aponta que organizações que contam com planos de resposta a incidentes e os executam em treinamentos recorrentes, em caso de uma violação de dados, têm um custo médio total para saná-la de US$ 2,46 milhões inferior do que as demais.
Considerando que o erro humano é um dos principais vetores para desencadear um incidente de segurança, investir em capacitação dos usuários é essencial. Outro objetivo deve ser preparar a alta gestão e os profissionais o comitê de crise e de privacidade para atuar de maneira preventiva e em todas as fases relevantes de um incidente.
O que é e quem deve participar de um comitê de crise?
Comitê de crise é como é chamado um grupo de pessoas capacitadas tecnicamente, usualmente pré-determinadas, que lidarão em casos de incidentes de segurança envolvendo dados, inclusive pessoais.
Não há uma regra específica quanto a quem deve participar deste grupo, contudo, recomenda-se que, além do Encarregado (DPO), profissionais de nível estratégico de departamentos Jurídico/Compliance, Segurança/Tecnologia da Informação, Recursos Humanos (especialmente se envolver os dados pessoais de colaboradores) e Relações Públicas estejam presentes.
O que fazer antes de realizar uma simulação?
Inicialmente, é fundamental que haja um Plano de Resposta a Incidentes, que preveja todas as fases de um incidente, previamente elaborado e amplamente publicado. É ele que serve de norte para os colaboradores que serão impactados pela simulação na ocorrência de eventuais incidentes.
Além disso, a organização deve avaliar quais departamentos devem estar envolvidos, quem comporá a equipe principal de resposta, quais as políticas internas precisam ser consideradas para além do plano e se há necessidade de participação de especialistas externos. A utilização de um cronograma para dar tração à simulação pode ser uma boa ideia.
Quais os tipos de incidentes que podem ser simulados?
Incidente de segurança com dados é qualquer evento indesejado ou inesperado capaz de comprometer a segurança dos dados que estão sob guarda da organização. Sendo assim, as simulações podem envolver acesso não autorizado, perda ou roubo de equipamentos com acesso às redes da empresa, compartilhamento com terceiros não autorizados, extorsão (como ransomware) e interrupção de serviços.
Como preparar uma simulação?
É sempre importante seguir as fases determinadas no Plano de Resposta a Incidentes. Usualmente, para exemplificar, estas fases podem ser de identificação, investigação, classificação e comunicação às autoridades competentes e/ou aos titulares, bem como correção e comunicação em mídia. Além disso, para melhor efetividade, é recomendável a elaboração de roteiros do exercício e cronogramas do que será realizado na atividade, contando com a preparação e divulgação de materiais, como lista de presença, orientações e coleta de feedbacks dos envolvidos.
O que fazer após uma simulação?
Documentadas as discussões, processos e esforços realizados, é recomendável a elaboração de relatório que identifique os principais pontos da simulação, tais como a extensão e os potenciais impactos, as áreas envolvidas, as ações executadas para a contenção e/ou o contorno, as equipes e as pessoas envolvidas, as ações e os recursos necessários para evitar que o incidente volte a ocorrer, as lições aprendidas etc.
Qual a periodicidade para realizar a simulação?
Recomenda-se que este seja o exercício de simulação seja, no mínimo, anual. Incidentes de segurança, especialmente envolvendo ataques cibernéticos, alcançam níveis de complexidade cada vez mais altos e é esperado que a organização esteja preparada para lidar com isto. Além disso, a realização periódica de eventos de conscientização deste tipo são modos interessantes de aumento de engajamento, troca entre áreas e conscientização da empresa como um todo.
Quais são outras ferramentas de conscientização de colaboradores sobre incidentes de segurança?
Cursos e vídeos rápidos sobre assuntos como phishing e desativação de macros são ótimas maneiras de ensinar os usuários finais sobre as ameaças em potencial, usando tópicos breves e específicos que não exijam tanto tempo de trabalho dos colaboradores, tampouco cliques intermináveis em uma grande quantidade de slides.
Outra forma de engajamento bastante benéfica é a criação de jogos entre equipes de diferentes áreas e gamificação aos colaboradores, podendo envolver, inclusive, um prêmio para a equipe ou colaboradores vencedores. Utilizar estas e outras ferramentas de maneira alternada não cansa os colaboradores e os mantém engajados com mais facilidade.
Por fim, vale chamar a atenção para que novas orientações da ANPD e regulamentações de proteção de dados, inclusive setoriais, podem trazer peculiaridades em relação a incidentes de segurança envolvendo dados pessoais, sendo recomendável sempre contar com o auxílio de especialistas na área para a implementação adequada deste e de outros instrumentos legais.
¹Liska, Allan – Ransomware. Defendendo-se da extorsão digital/ Allan Liska e Timothy Gallo. Traduzido para o português (ISBN 9781491967881) – ano: 2017, pág. 123.
Kommentarer