Lgpd - Lei Geral de Proteção de Dados Pessoais: Manual de Implementação - Ed. 2021

Capítulo 10. Incidentes de Segurança e Respostas Adequadas - IV – Segurança da Informação

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Washington Umpierres de Almeida Junior

Fundador da We Data Solution, Perícias Digitais e Consultoria, empresa especializada em perícias digitais de alta complexidade e Propriedade Intelectual, e fornecedora de soluções integradas para aquisição e análise forense. Engenheiro Eletrônico e Especialista em Direito e Tecnologia da Informação pela Escola Politécnica da USP, com extensão em Desenvolvimento de Negócios pela Fundação Dom Cabral, com mais de 25 anos de experiência em cybersegurança e perícias digitais. Membro da Associação de Investigação de Crimes de Alta Tecnologia – Estados Unidos e da Associação Forense Internacional de Sistemas de Informação – Itália. Perito Judicial habilitado e ativo como Auxiliar da Justiça pelo Tribunal de Justiça de São Paulo e Tribunal Regional do Trabalho da 2ª Região. Autor de artigos para as revistas da Associação Brasileira da Propriedade Intelectual (ABPI) e as internacionais Hakin9, Pentest Magazine e eForensics, especializadas em segurança da informação, hacking e forense digital. Título de Excelência Microsoft como Engenheiro de Sistemas Certificado pela Microsoft. Palestrante selecionado nas edições VIII e IX do Fórum da Internet no Brasil (2019 e 2020). Autor dos cursos “Cryptanalysis for Pentesters” e “Recovering virtual machines from lost VMFS partitions” (Polônia). Professor convidado da Universidade Presbiteriana Mackenzie para lecionar a disciplina de Computação Forense.

Introdução

O desenvolvimento de qualquer processo em segurança da informação começa, invariavelmente, com a definição de um problema a ser resolvido. Quando levamos essa definição para o universo da resposta a incidentes, é natural procurar responder qual problema esperamos que a resposta a incidentes resolva. Minimizar os danos penso ser uma boa resposta tendo em vista que, se um incidente de segurança acontecer, algum dano ele vai causar.

Os incidentes de segurança são ocorrências frequentes e crescentes no meio digital e, não por acaso, merecem atenção especial quanto ao modo de lidar com essas ameaças.

O CERT, Centro de Estudos, Respostas e Tratamento de Incidentes de Segurança no Brasil, possui estatísticas dos incidentes reportados à entidade desde 1999, como mostrado no quadro seguinte.

Figura 1 – Estatísticas de incidentes de segurança

Fonte: CERT.br. 1

O gráfico apresentado não deixa nenhuma dúvida quanto ao crescimento vertiginoso dos incidentes de segurança, trazendo instabilidade para as redes das empresas e seus serviços.

Segundo o querido amigo Sergio Paulo Gomes Gallindo, Presidente da Brasscom e companheiro de estudos da LGPD e leis correlatas, entende-se por uma rede segura aquela que garante a inviolabilidade das informações transmitidas e que seja imune a tentativas de invasão e de ataques externos que provoquem interrupção do serviço 2 . Um incidente de segurança causa a descontinuidade do funcionamento seguro de uma rede, requerendo respostas adequadas e imediatas.

O processo de resposta aos incidentes de segurança não é uma tarefa simples, não importando as características da empresa afetada. Quando o pior cenário se torna uma realidade, é fundamental ter o plano de resposta adequado para entrar em operação, e ter as pessoas certas nas posições de trabalho que farão frente ao cenário crítico. A resposta adequada aos incidentes de segurança é um processo complexo que requer ações assertivas das equipes envolvidas com a segurança dos dados pessoais. Entretanto, para que a empresa disponha de ações assertivas é requerido muito treinamento.

A Lei 13.709 3 , de 14.08.2018, alterada pela Lei 13.853 4 , de 08.07.2019, que dispõe sobre a proteção de dados pessoais, trouxe uma nova perspectiva sobre as proposições de ações para o cenário dos incidentes de segurança e as respostas adequadas a essas ocorrências, que devem também estar contextualizadas sob a ótica da Lei 12.965 5 , de 23.04.2014, conhecida como Marco Civil da Internet, que estabelece os princípios, as garantias, os direitos e os deveres para o uso da Internet no Brasil. No ambiente corporativo, essas proposições são estruturadas nos planos estratégico, tático e operacional.

A conformidade à Lei 13.709/2018, Lei Geral de Proteçâo de Dados Pessoais, é hoje o grande objetivo das organizações, e ela deve estar elencada no plano estratégico das corporações. Para atender a essa estratégia, devem ser criados mecanismos no nível do plano tático de forma a dar as diretrizes para as atividades requeridas no nível operacional, justamente onde ocorrem os incidentes de segurança, que necessitam de respostas rápidas e adequadas.

Uma das obrigações que a Lei 13.709/2018 estabelece em relação aos agentes de tratamento de dados é que toda a atividade de tratamento de dados pessoais deverá ser registrada 6 , indicando que tipos de dados serão coletados, suas finalidades, tempo de retenção e as práticas de segurança de informação. No quesito das práticas de segurança da informação, as empresas devem se basear nas diretivas das melhores instituições de reputação global, como as normas ISO e os guias do instituto norte-americano NIST, que são entidades de referência mundial com constantes publicações técnicas, funcionando como verdadeiros guias para as melhores práticas consolidadas no âmbito do entendimento global de maturidade em segurança da informação. Muitas associações buscam contribuir com a formulação de guias para o mercado, a exemplo da TeleTrusT, associação alemã composta de membros da indústria, administração, consultoria e pesquisa, bem como organizações parceiras com objetivos semelhantes, que formularam um guia 7 do estado da arte em segurança da informação com base nas normas ISO/IEC das famílias 270xx, visando atender ao General Data Protection Regulation, legislação de proteção de dados da União Europeia.

A ISO, entidade global cujas normas são referências para as empresas ao redor do globo, possui a publicação da norma ISO/IEC 27035-1:2016 8 que trata, especificamente, das técnicas de segurança quanto ao gerenciamento de incidentes de segurança da informação. O instituto norte-americano NIST, cujos padrões são adotados mundialmente, formulou a publicação do Guia de Manuseio de Incidentes de Segurança de Computadores 9 , que tem por objetivo fornecer as diretrizes para estratégias e ações para lidar com os incidentes de segurança. Essas duas bases de referências são as diretrizes para essa parte do trabalho, e referência de conformidade para o GDPR 10 . Recomendo fortemente a utilização desses guias para empresas que buscam diretrizes para trabalhar na estruturação de um plano de gestão de resposta a incidentes de segurança.

Encontramos um excelente conceito de incidente de segurança nas publicações do instituto norte-americano NIST. Segundo a entidade, um incidente de segurança constitui uma violação ou ameaça de violação da política de segurança computacional, política de uso aceitável ou padrões de práticas de segurança 11 .

Organizações que anseiam estar preparadas para lidar com a questão da proteção de dados pessoais devem possuir planos de como deverão reagir quando um incidente de segurança acontecer. Ter os planos definidos nos níveis tático e operacional, e saber …

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
26 de Maio de 2022
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1197026536/capitulo-10-incidentes-de-seguranca-e-respostas-adequadas-iv-seguranca-da-informacao-lgpd-lei-geral-de-protecao-de-dados-pessoais-manual-de-implementacao-ed-2021