Data Protection Officer (Encarregado) - Ed. 2020

O Papel do Dpo em Data Breaches – O que Fazer Durante e Após Um Incidente?

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Domingo Montanaro 1

1.Incidentes Cibernéticos

1.1.Introdução

Bill Gates escreveu num artigo 2 publicado em 28 de fevereiro de 2020 no “The New England Journal of Medicine”:

“Em qualquer crise, líderes têm duas responsabilidades igualmente importantes: resolver o problema imediato e impedir que isso ocorra novamente.”

O título do artigo de Bill é “Responding to Covid-19 – A Once-inaCentury Pandemic?”, em que um dos principais temas abordados é como melhorar a nossa habilidade – enquanto humanidade – em responder a surtos, ou, como escrito no artigo, a “outbreaks”.

Procurando “outbreak” no dicionário on-line “Lexico” 3 , temos:

The sudden or violent start of something unwelcome, such as war, disease etc.

Ou seja:

“O início repentino ou violento de algo indesejável, como uma guerra, doença etc.”

Ora, é automático conectar essa definição a um incidente cibernético de vazamento de dados numa corporação.

Por isso, é praticamente impossível não escrever sobre como nossa humanidade opera, nos tempos atuais, na temática de resposta a incidentes em geral, antes de pôr o foco na questão cyber.

As falhas diárias nos protocolos e processos, a falta de respostas das equipes supostamente especializadas e as incertezas dos stakeholders (todos os interessados no assunto) que se observou no primeiro trimestre de 2020 com o Covid-19, causando quedas acentuadas nas bolsas de valores de todo o mundo, discussões e desentendimentos entre líderes globais e vertiginosas campanhas de desinformação nas redes sociais – mesmo que não intencionais – são fenômenos e efeitos muito similares aos observados nos incidentes cibernéticos.

O que pouco se discute é a causa das falhas e da má resposta, em que também é possível traçar um paralelo entre como os chefes de Estado e líderes de grandes corporações se assemelham quando o assunto é responder a incidentes.

Sabe-se que o trabalho de um CEO se resume em gerar lucro para os acionistas de uma corporação. Para isso, a receita é:

1) Aumentar faturamento;

2) Reduzir despesas;

3) Gerenciar risco.

O tempo é um ativo escasso na agenda de qualquer CEO. Dos assuntos que ele (a) trata no dia a dia, olhando para os tópicos anteriores, qual será que tem menos prioridade e alocação de tempo?

Vamos refletir: Dos temas que encaixam nos itens #1, #2 ou #3 anteriores:

a.Quais impactam diretamente o bottom line, principalmente em curto prazo?

b.Quais refletem nos indicadores de performance da companhia?

c.Quais são mais empolgantes?

d.Quais são vistos como mais desafiadores?

e.Por quais podem ser enxergados resultados em curto prazo?

f.Por quais o CEO será reconhecido pelo conselho?

g.Por quais o CEO será lembrado?

Além de tudo isso, quando não há um histórico comprovado de incidentes que ocorreram, contendo frequência e impacto (quantificado, sempre que possível), muitas vezes os fatores otimismo e sorte se juntam, no melhor espírito “vamos tratar disso depois”.

Imagine que diferente seria se, ao passar o “condão” da presidência ao próximo presidente da empresa, este fosse informado com a seguinte mensagem:

Presidente, todos os anos temos um data breach que causa um prejuízo de 12 milhões de reais à empresa, sem contar o intangível do dano reputacional. Costuma acontecer no terceiro trimestre do ano, tal qual nos últimos 5 anos.

Certamente esse assunto constaria nas pautas com muito mais prioridade e frequência no radar do CEO.

Como dificilmente esse é o caso, visualizamos, portanto, na história de nosso país, uma miríade de incidentes não cyber que poderiam ter uma exposição muito menor à companhia vítima depois do primeiro impacto, mas como os processos não estavam criados, as ferramentas não estavam aptas e disponíveis e as equipes não estavam prontas e treinadas, sucederam-se impactos desnecessários que causaram grandes danos reputacionais, prejuízos e até mortes – como foi visto em incêndios, desmoronamentos, alagamentos etc.

Vale ressaltar que uma das características da humanidade, que é comum a todas as culturas, é o aprendizado pela dor. Ou seja, grupos que já tenham vivido experiências negativas – e passado por crises – tendem a se preparar melhor para as próximas.

Nesse sentido, é corriqueiro ouvir, por exemplo, que as os americanos tendem a investir mais recursos – tempo e dinheiro – em prevenção de ameaças do que os brasileiros. Por mais que isso seja verdade por diversas óticas (inclusive a econômica), acredita-se que a causa disso é o fato de eles, enquanto comunidades, serem mais atacados que os brasileiros. Ou seja, as inúmeras crises trouxeram o assunto de prevenção às pautas, tal qual se observou com o ataque terrorista às torres gêmeas de 11 de setembro de 2001, que impulsionou fortemente o setor de segurança – inclusive de cyber security – por forças mercadológicas e até mesmo regulatórias.

Para incidentes cibernéticos, principalmente no que tange ao vazamento de dados (data leak), os próprios americanos cunharam uma expressão, que vem se tornando praticamente uma postura, que se utiliza amplamente em grandes empresas: assume breach – que orienta esses times a já pensarem em seus processos partindo do pressuposto de que aqueles sistemas serão atacados com sucesso.

Por mais neurótico e controverso que isso possa soar, causando debates entre especialistas de risco cibernético, a postura é compreensível e traz valor à companhia: por que não estar preparado se, a levar por tudo o que estar acontecendo no mundo, o incidente é inevitável?

O fórum econômico mundial publicou em janeiro de 2020, em seu famoso relatório “The Global Risks Report 2020 4 ”, a estimativa que o cyber crime faturará a quantia de 6 trilhões de dólares em 2021.

Falham as empresas que ainda adotam o discurso e a postura de pensar e agir só em prevenção, com a falsa ideia de que esses esforços em prevenção impossibilitam os ataques. Melhor é assumir que esses esforços em prevenção estão desestimulando os atacantes de menor potencial ofensivo e dificultando as ações de adversários com mais recursos, mas que, a depender do nível de recursos e motivação desse adversário, seu ataque bem-sucedido é inevitável e por isso a companhia precisa também estar preparada a mitigar os impactos quando o incidente se materializa, com sucesso.

O risco cibernético deve, portanto, ser gerenciado através de …

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
21 de Maio de 2022
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1207548790/o-papel-do-dpo-em-data-breaches-o-que-fazer-durante-e-apos-um-incidente-data-protection-officer-encarregado-ed-2020