Veja como um plano de resposta a incidente pode ajudar!
Você está a caminho do trabalho. O trânsito está típico de uma segunda-feira após um feriado. Atrasado, só consegue pensar que a sua caixa de entrada de e-mail deve estar fervendo de questionamentos dos clientes por entregas que ficaram pendentes nos últimos dias. Aliás, daqui a 15 minutos, na reunião de alinhamento semanal, essa possivelmente será a primeira pergunta que você deverá responder à equipe.
Notebook conectado, você tenta o acesso à rede por três vezes até perceber que seu login está bloqueado. Os colegas ao lado passam pela mesma situação. Para piorar, a equipe de TI não está dando conta dos inúmero chamados desde o início da manhã. Segundas-feiras não costumam ser fáceis, mas há algo de especial com esta.
Adiada a primeira reunião, um colega que vem de uma reunião com a diretoria, informa:
A EMPRESA ESTÁ PASSANDO POR UM ATAQUE HACKER! TODOS OS ACESSOS ESTÃO BLOQUEADOS POR TEMPO INDETERMINADO!
Situações como a descrita acima estão se tornando cada vez mais comuns em organizações dos mais variados portes. Também, pudera. Estamos diante de uma economia que se sustenta a partir da utilização massiva de informações, de forma que o acesso a estas – tal como o não acesso – é fator determinante para qualquer organização ou empresa. Em outras palavras, informações e dados são moedas valiosas no mercado atual, de forma que a máxima “não é SE, mas QUANDO” é premissa básica quando o assunto é incidente de segurança.
Nesse cenário, um instrumento vem ganhando cada vez mais força nas organizações e empresas: o plano de resposta a incidentes de segurança. Seu objetivo é trazer conforto no momento de crise, apontando regras práticas a fim de mitigar as chances de ocorrerem eventos que deem causa a incidentes de segurança ou de minimizar os danos decorrentes deles.
Quando o assunto é dado pessoal, a Lei Geral de Proteção de Dados (LGPD) recomenda (ou seja, não obriga) a elaboração de plano de resposta a incidentes dentro de um programa de governança em privacidade. Contudo, este não é um documento simples e a sua utilização genérica pode ser até mesmo mais prejudicial do que a sua inexistência. Sabendo disso, vamos aos principais pontos relacionados a este instrumento imprescindível para a saúde operacional de qualquer organização.
O que não pode faltar no plano?
Quem deverá comunicar internamente o incidente? O colaborador que o identificou? O seu gestor?
Qual(ais) será(ão) o(s) responsável(eis) pela gestão da crise e escalonamento da equipe de resposta?
Quem aplicará as medidas técnicas e administrativas para a contenção do incidente? A organização conta com áreas internas de tecnologia e/ou segurança da informação, jurídico e comunicação? Como elas atuarão ou quem fará este papel?
Quem classificará o potencial risco do incidente para se certificar da necessidade de comunicar às autoridades e aos titulares?
Há um canal principal para reporte sobre eventos deste tipo?
Em caso de seu comprometimento, qual será o canal auxiliar?
Os formulários padrões para a comunicação interna contam com informações básicas sobre o incidente, tais como data e hora da detecção, nome do colaborador que o identificou e indicação dos cuidados e canais para os quais deve ser enviado?
Pendente de regulamentação pela ANPD, as organizações têm utilizado suas próprias metodologias para avaliação de riscos do incidente. Sendo recomendável seus testes prévios, comumente são analisadas:
Eventuais quebras dos pilares de confidencialidade, integridade e disponibilidade dos dados;
A natureza e a quantidade dos dados pessoais afetados (ex.: simples, sensíveis, comportamentais ou financeiros); e
A quantidade e tipo de titulares afetados (ex.: crianças, adolescentes, idosos).
Tenha pré-estabelecido como realizar as comunicações externas à organização, assegurando já ter realizado:
O preenchimento anterior do formulário de comunicação (disponível aqui) e o cadastramento para peticionamento eletrônico para comunicação à ANPD (disponível aqui);
A aprovação dos modelos de comunicação aos titulares; e
Tenha em mente como lidar com eventuais repercussões na mídia para não queimar sua reputação na utilização de comunicações de forma errada.
Feito isto, muita atenção para não cair no erro de deixá-lo mofando dentro da gaveta.
Como tornar o plano eficaz?
Garanta o amplo acesso aos colaboradores
Erros humanos são as principais portas de entrada a ataques cibernéticos e outros tipos de incidentes em empresas. Sendo assim, de utilização interna, o plano de resposta a incidentes de segurança deve estar facilmente acessível aos seus colaboradores. Além disso, suas regras devem ser objetivas e práticas para que todos possam, nos limites de suas responsabilidades, atuar tal qual uma orquestra: organicamente e em conjunto.
2. Conecte todos os pontos
Não é incomum que a empresa conte com políticas previamente estabelecidas, inclusive de segurança e tecnologia da informação, que já apontem como devem ser realizadas comunicações internas em caso de incidentes.
A fim de evitar desconexões entre os conteúdos e etapas a serem cumpridas, é fundamental que as comunicações sigam um fluxo que faça sentido quando analisado em conjunto. Lembre-se que as questões relacionadas à privacidade e proteção de dados pessoais não devem ser um entrave ou criar rotas que possam desorientar o trabalho interno.
3. Treine sem moderação
A idealização de treinamentos e materiais de conscientização para o atendimento do plano de resposta a incidentes é medida necessária para o seu êxito. Além de engajar os colaboradores sobre a importância do tema, os treinamentos são ferramentas eficazes para o cumprimento do princípio de responsabilização e prestação de contas da LGPD. No mais, são vitais para impactar o board da organização sobre eventuais lacunas existentes nos planos originalmente redigidos.
Ao idealizar o melhor treinamento para sua organização, tenha em mente a necessidade de “conversar” com o público presente, simplificando o conteúdo dentro dos limites possíveis. Assim, não deixe de levar em conta os seguintes aspectos para a sua elaboração:
Feito isto, não se esqueça de contar com os contatos de profissionais especializados no tema para a elaboração deste documento e para os momentos de sufoco. Contar com quem já passou por isso anteriormente costuma ser importante em eventos como este.
Comments