Cyber Risk - Ed. 2021

8. Resposta a Incidentes de Segurança da Informação: Da Identificação do Incidente à Notificação à Autoridade e aos Titulares de Dados

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Autores:

Caio César Carvalho Lima

Rony Vainzof

Introdução

Entre os diversos aspectos de atenção sob a perspectiva da Segurança da Informação, lidar da forma adequada visando mitigar a possibilidade de um incidente e, quando mesmo assim ele ocorre, estar preparado e atuar maduramente para diminuir os seus efeitos maléficos, é fundamental para afastar ou reduzir danos reputacionais, sanções administrativas ou responsabilidade civil das organizações.

Ataques cibernéticos contra organizações são uma realidade, ainda mais com a crescente utilização do trabalho remoto, assim como a utilização de redes ou dispositivos domésticos, invariavelmente menos protegidos.

Entre algumas hipóteses de incidentes, estão acessos não autorizados, porém sem extrair qualquer dado ou informação e sem indisponibilizar sistemas; indisponibilização de sistemas, com ou sem extorsão; extração de dados ou informações corporativas confidenciais, como segredos de negócios ou fórmulas, protegidos pela Lei de Propriedade Industrial, para extorsão ou concorrência desleal; e a obtenção de dados pessoais de clientes ou colaboradores para extorsão, sob pena de possível e eventual exposição da vulnerabilidade e dos próprios dados.

Segurança da Informação e Prevenção, são tão relevantes que, inclusive, foram estampados como princípios previstos no artigo , VII e VIII, da Lei Geral de Proteçâo de Dados Pessoais (Lei 13.709/18 – LGPD) 3 , devendo ser observados em toda atividade que envolva o tratamento de dados pessoais, desde o momento inicial da concepção de produtos ou serviços até a sua entrega – exatamente nesse sentido, inclusive, segue o § 2º do artigo 46 da mesma LGPD, no qual há previsão do Privacy by Design 4 e by Defaut 5 na LGPD 6 .

O EDPB ( European Data Protection Board ) considera que a “segurança da informação deve sempre ser padrão para todos os sistemas, transferências e soluções, quando houver o tratamento de dados pessoais” 7 , na consulta pública no mês de novembro de 2019, em relação à Guideline 4/2019 8 , a qual trata justamente sobre Data Protection by Design e by Default.

A fim de que consiga, na prática, alcançar essa segurança da informação pela perspectiva de proteção de dados, diversos são os pontos que devem ser objeto de atenção dentro de determinada organização, incluindo: disseminar cultura de proteção de dados entre todo o time; treinar e certificar a maior quantidade possível de funcionários; desenhar políticas de segurança que realmente estejam adequadas à realidade do negócio, dando amplo e efetivo conhecimento aos colaboradores; criar métricas e indicadores, por meio dos quais seja possível identificar rapidamente desvios ao ideal esperado; e a capacidade de restabelecer as atividades 9 .

E isso se torna ainda mais importante, diante de cenário em que, segundo o Relatório Global de Custo de Ameaças Internas do ano de 2020 da Proofpoint 10 : i) o número de incidentes de segurança cibernética causados por fontes internas aumentou 47% desde 2018 (esses incidentes custam, em média, US$ 307 mil para as organizações e correspondem a 62% dos incidentes totais); ii) o custo médio anual das ameaças internas também aumentou 31%, em dois anos; e iii) os gastos das organizações com ameaças internas aumentaram 60% em relação há três anos.

Nesse contexto, é fundamental que as organizações apresentem Plano de Resposta a Incidentes de Segurança da Informação, que possa ser acionado na prática, tão logo exista algum incidente na companhia, especialmente considerando que a rápida contenção do incidente é fundamental para mitigar a exposição dos titulares de dados e da própria empresa 11 , conforme se passará a expor a seguir.

1.Entendendo o conceito de incidente de segurança da informação

Apesar de já ter sido referenciado anteriormente, não foi trazido o conceito efetivo do que se deve entender por “incidente de segurança da informação”. Em primeiro lugar, importante observar o que se deve entender pelo termo “incidente”.

Para tanto, vamos buscar o …

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
24 de Maio de 2022
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1250394485/8-resposta-a-incidentes-de-seguranca-da-informacao-da-identificacao-do-incidente-a-notificacao-a-autoridade-e-aos-titulares-de-dados-cyber-risk-ed-2021