search

O que devo fazer caso ocorra um incidente de segurança de informação na minha empresa?

1 anos atrás
Comentários: 0
Visualizações: 138

Estamos perplexos com a repercussão de vazamento de dados da atriz Klara Castanho 21 anos, que revelou em documento, que tinha engravidado, fruto de um estrupo, que ao final da gestação, havia decidido entregar o bebê para adoção.

Show

Até aí tudo dentro do que a lei de adoção permitia e foi seguido os trâmites legais da adoção, mas o que teria motivado o vazamento da informação da gravidez da atriz? De quem é a culpa do vazamento? Saber o culpado não é nosso objetivo neste texto. É nosso objetivo detalhar para você empresário ou mesmo profissional liberal, se os dados, uma vez vazados, como devo proceder.

A lei 13.709/18 veio para normatizar a Proteção de dados e a segurança da informação. Em um caso de incidente de segurança da informação na sua empresa, você deve traçar um mapeamento detalhado, chamado de GAPs Analisys, que retrata um minucioso plano de ação, servindo de base para orientação a aplicação de medidas e controle de segurança, escopo essencial para a proteção da privacidade e dos dados pessoais.

Neste plano é detalhado o uso de ferramentas como: firewall, DLP, antivírus, DMZ, dentre outras, que perfaz um ambiente mais seguro juntamente com medidas físicas e organizacionais.

Naturalmente o incidente de segurança da informação é definido como qualquer evento que leva a destruição, seja acidental ou ilegal, perda, alteração não autorizada ou acesso a dados pessoais, processados ou transmitidos, segundo define a ANPD - Autoridade Nacional de Proteção de Dados, que assim deve ser garantida ao titular de dados ao longo de toda a vida, desde o momento, tratamento, armazenamento e descarte dos dados, a proteção necessária e sigilo.

No caso em tela, da atriz Klara Castanho, fica evidente a negligência e a responsabilidade do vazamento dos dados, fruto do descuido e preparo de colaboradores e terceiros que sabiam da notícia, e assim resolveu-se espalhar para a mídia, os nomes e sintomas dos pacientes que estavam no leito do hospital, ainda mais sendo uma paciente famosa, como a atriz como Klara Castanho, que neste caso o risco é ainda maior, e o cuidado deve ser redobrados, quando o assunto é dados pessoais sensíveis,  pois o interesse dos veículos de informação é insaciável e voraz.

De antemão, o art. 48 da LGPD, retrata dez princípios para uma boa interpretação e aplicação da lei, com destaque para segurança e prevenção, impondo que sejam adotadas medidas técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

Certamente resta claro que a falta ou ineficácia das medidas utilizadas, podem resultar da aplicação de sanções administrativas pela Autoridade de Proteção de Dados, de acordo com os requisitos previsto no art. 52, da lei.

Ademais, a LGPD ainda ampara os titulares de dados a acionarem as empresas judicialmente, para terem seus direitos de exposição de seus dados vazados sem autorização e uma decisão desfavorável, em qualquer das searas do direito, no que se refere a legalidade do tratamento dos dados pode se espalhar perante a uma quantidade expressiva de titulares de dados pessoais e prejudicar futuras decisões contaminando os processos que versem sobre o mesmo tema.

Em síntese, a princípio fica a cargo do titular de dados provar no seu pedido inicial que houve a exposição indevida dos seus dados pessoais e que por este motivo, faria jus ao recebimento de danos morais e materiais em tese de responsabilidade objetiva.

Por fim, ainda que exista uma corrente doutrinária que defende a possibilidade da aplicação da teoria do dano moral in re ipsa, nos casos em que haja vazamento de dados por uma  empresa, esse entendimento não ganhou a maioria dos tribunais, que se manifestou em sentido oposto, sob o fundamento que:  "a mera constatação de que dados pessoais básicos tenham sido objeto de ilegal vazamento não configura, automaticamente, dano moral; sendo certo que não há nos autos prova de outras reverberações do referido compartilhamento irregular"¹ proferido pela desembargadora Ana de Lourdes Coutinho Silva da Fonseca, da 13. Câmara de Direito Privado do TJ/SP, no caso da Eletropaulo.

O que devo fazer caso ocorra um incidente de segurança de informação na minha empresa?

Nesta semana, como a maioria das pessoas sabe, o Facebook, Instagram e WhatsApp ficaram fora do ar por quase um dia inteiro. A interrupção do serviço prestado através desses aplicativos a milhões de pessoas ainda não tem uma explicação exata, mas com certeza poderia ser decorrente de um incidente de segurança da informação. 

Um incidente de Segurança da Informação é qualquer evento que comprometa ou possa comprometer um dos 3 pilares da segurança da informação: confidencialidade, integridade e disponibilidade. 

Desta forma, pensando nos negócios dos empreendedores brasileiros e no nível de segurança da informação dessas empresas, escrevemos o artigo a seguir que te ensina a como tratar incidentes de segurança da informação, caso eles ocorram. Como se diz nesse meio, a questão não é se um incidente ocorrerá, mas quando. Portanto, prepara-se. 

Se você quer aprender como tratar incidentes de segurança da informação, como melhorar o nível de segurança da informação geral e como, inclusive, melhorar o nível de adequação de privacidade e proteção de dados da sua empresa, leia este artigo até o final.

Conheça o tripé da segurança da informação 

A segurança da informação possui 3 pilares que guiam as boas práticas que devem ser adotadas pelos negócios. São eles: 

  • Confidencialidade: garantia de que somente as pessoas que devem ter acesso àqueles dados efetivamente terão. 
  • Integridade: garantia de que a informação será sempre a mesma que deve ser, sem alteração. 
  • Disponibilidade: garantia de que a informação estará sempre disponível para os usuários autorizados a acessá-la, a qualquer momento. 

Várias situações, chamadas de incidentes de segurança da informação, podem comprometer um ou mais desses pilares, como acessos não autorizados por pessoas que não deveriam ter acesso a dados pessoais, situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, envio de e-mail ao destinatário errado com dados pessoais, extravio de dispositivos contendo dados pessoais ou acesso a eles como notebooks, pen-drives ou celulares, perda de acesso aos dados pessoais, dentre outros.

Como devo tratar incidentes de segurança da informação na minha empresa? 

A seguir, você verá o passo a passo para tratar de forma efetiva incidentes de segurança da informação. O passo inicial é se preparar para a ocorrência deles. 

Preparação

Prevenir é a palavra. Por isso, você deve preparar o seu negócio para um incidente de segurança da informação. Sobretudo porque remediar nesses casos é uma tarefa difícil, ou até impossível. 

Então, para que você esteja preparado, siga esses passos: 

  1. Crie um Programa de Governança em Privacidade e Proteção de Dados: ele permite que você entenda todos os tratamentos de dados realizados pela sua empresa, e que, com base nesse conhecimento, tome medidas para prevenir eventuais problemas, como, por exemplo, não tratar dados além do necessário. 
  2. Elabore um Plano de Resposta a Incidentes de Segurança: neste plano, serão definidos os procedimentos que serão seguidos e as ações que serão tomadas em caso de ocorrência de um incidente de segurança. Quando isso ocorre, é necessário agir rápido para minimizar o dano. Por isso, os responsáveis devem saber o que fazer. 
  3. Treine seu pessoal: as políticas e procedimentos são a base para tomada de ação rápida. No entanto, é imprescindível que seu pessoal seja treinado para realizar os procedimentos que seus planos e políticas determinam. É muito importante que os treinamentos sejam realizados periodicamente. 
  4. Faça previamente contratações externas: realize previamente as contratações necessárias para que o incidente seja tratado, como advogados externos especializados, consultores em tecnologia da informação, profissionais de segurança da informação e de relações públicas. 

Identificação

Para tratar um incidente é necessário, primeiro, saber que ele existe. Por isso a próxima etapa é a identificação do incidente, seja ele uma suspeita ou uma efetiva confirmação. Feita a identificação, serão colocados em prática todos os procedimentos previamente definidos, lembrando que eles variam muito de empresa para empresa. 

Para aumentar as chances de se identificar um incidente, siga os seguintes passos: 

  1. Realize uma rotina de avaliação e monitoramento dos sistemas e dispositivos que a sua empresa utiliza. 
  2. Crie um canal de reporte interno, para que existam procedimentos e meios para que os incidentes identificados cheguem ao conhecimento dos responsáveis por tratá-los. Este canal deve ser aberto a qualquer um da organização. 
  3. Invista na conscientização da sua empresa, para que todos os colaboradores saibam o básico sobre segurança da informação. Desta forma, as chances de que um colaborador identifique e reporte um possível incidente crescem muito. 

Contenção, erradicação e registro 

Após a identificação e o reporte do incidente de segurança da informação, é necessário fazer a contenção inicial, com a correção das vulnerabilidades existentes e a tomada das medidas necessárias e cabíveis para reduzir os efeitos do incidente, com a investigação profunda do ocorrido, inclusive com a contratação de peritos especialistas externos caso necessário. 

Além disso, é necessário avaliar a necessidade de notificar os titulares dos dados e a Agência Nacional de Proteção de Dados (ANPD), em razão da obrigação criada pela LGPD, caso o incidente possa acarretar risco ou dano relevante aos titulares. 

Por fim, é importante manter um registro detalhado sobre todo o ocorrido, desde a identificação e reporte do incidente, até as medidas que foram tomadas para tratá-lo e para reduzir riscos e vulnerabilidades em relação a possíveis incidentes futuros. 

Pós-incidente 

Após todas as etapas anteriores, é necessário elaborar um relatório pós-incidente, que descreverá todo o ocorrido de maneira detalhada, as medidas tomadas e os resultados obtidos. 

Além disso, um ponto extremamente relevante é que a organização aprenda com o ocorrido. Por isso, utilize o incidente de segurança da informação como forma de aprender sobre as vulnerabilidades e riscos existentes, e, principalmente, sobre o que pode ser feito dali em diante para diminuir as chances de ocorrência de novos incidentes. Esse tipo de aprendizado faz com que a empresa melhore constantemente em termos de segurança da informação e proteção de dados.

Hora de colocar este aprendizado em prática 

Seguindo esses passos você garante uma melhora extrema para a sua empresa quanto a privacidade, proteção de dados e segurança da informação. Este processo não só prepara a organização para possíveis incidentes, como melhora o nível de governança de dados da empresa.

Quando ocorrer um incidente de segurança com os dados devo comunicar quem?

Quem deve fazer a comunicação de incidentes? O art. 48 da LGPD determina que é obrigação do controlador comunicar à Autoridade Nacional de Proteção de Dados (ANPD) e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

Como resolver um incidente?

O passo inicial é se preparar para a ocorrência deles..
Preparação. Prevenir é a palavra. ... .
Identificação. Para tratar um incidente é necessário, primeiro, saber que ele existe. ... .
Contenção, erradicação e registro. ... .
Pós-incidente..

Quando ocorre um incidente de segurança que possa acarretar risco ou dano relevante aos dados de titulares o controlador dos dados deve?

48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

Como reportar um incidente de segurança da informação?

Comunicação de incidentes e outras interações No caso de dados pessoais de pessoas físicas, a comunicação de incidentes de segurança com dados pessoais, inclusive vazamentos, deve ser efetuada por intermédio de formulário disponível na seguinte página: https://www.gov.br/anpd/pt-br/assuntos/incidente-de-seguranca.

devo fazer caso ocorra um incidente de segurança de informação na minha empresa LGPD ANPD

Postagens relacionadas

Armarinho de banheiro com espelho
Armarinho de banheiro com espelho

O que são animais cnidários dê exemplos?
O que são animais cnidários dê exemplos?

Quanto tempo demora pro pelo crescer depois de depilar com cera
Quanto tempo demora pro pelo crescer depois de depilar com cera

Quem é o autor de 1 e 2 samuel
Quem é o autor de 1 e 2 samuel

Qual alternativa apresenta a função básica dos carboidratos nos seres vivos?
Qual alternativa apresenta a função básica dos carboidratos nos seres vivos?

Qual foi a primeira forma de energia utilizada pelo ser humano?
Qual foi a primeira forma de energia utilizada pelo ser humano?

A ela um brinde pois se na terra
A ela um brinde pois se na terra

Qual política foi aplicada pelo EUA na América Latina durante a Guerra Fria?
Qual política foi aplicada pelo EUA na América Latina durante a Guerra Fria?

Quem nasce em Olinda E o quê?
Quem nasce em Olinda E o quê?

São exemplos de aparelhos que convertem energia elétrica em movimento?
São exemplos de aparelhos que convertem energia elétrica em movimento?

Which of the following is true regarding the disclosure principle?
Which of the following is true regarding the disclosure principle?

Labster basic chemistry thermodynamics solve the challenge of storing renewable energy Quizlet
Labster basic chemistry thermodynamics solve the challenge of storing renewable energy Quizlet

A device connected to a 120-v outlet has 2.0 a of current in it. what is the power of this device?
A device connected to a 120-v outlet has 2.0 a of current in it. what is the power of this device?

The lattice energy of nacl is 769 kj/mole. which of the following is a correct statement about nacl?
The lattice energy of nacl is 769 kj/mole. which of the following is a correct statement about nacl?

The smell of croissants in a bakery would trigger the __________ phase of gastric secretion.
The smell of croissants in a bakery would trigger the __________ phase of gastric secretion.

Along a given supply curve, an increase in the price of a good will:
Along a given supply curve, an increase in the price of a good will:

Theory seeks to explain how we decide, on the basis of samples of an individuals behavior
Theory seeks to explain how we decide, on the basis of samples of an individuals behavior

According to the american council on exercise, which of these statements about Warming up is false
According to the american council on exercise, which of these statements about Warming up is false

De um baralho comum (52 cartas) extraimos sucessivamente
De um baralho comum (52 cartas) extraimos sucessivamente

Refers to spending by firms on capital goods designed to improve the future productivity of the firm
Refers to spending by firms on capital goods designed to improve the future productivity of the firm

Publicidade

ÚLTIMAS NOTÍCIAS

Cartão de crédito para negativado santander
1 anos atrás . por CrazyIniquity
Qual a principal diferença entre o pensamento de Durkheim e Weber?
1 anos atrás . por TremendousLifeblood
How do you adjust a faucet mixing valve?
1 anos atrás . por InefficientMouthpiece
Is Megan is Missing real footage
1 anos atrás . por DramaticSuburb
What age do babies go into deep sleep?
1 anos atrás . por Hard-lineFastball
Casual date night restaurants Kansas City
1 anos atrás . por ConnectedCoverage
How much does Joey Jones make on Fox?
1 anos atrás . por ExpertTractor
How to check FPS on PS4
1 anos atrás . por UndisciplinedMover
What are cocoa beans used for Minecraft
1 anos atrás . por Long-runningDiversity
Como eu mesma fazer minha sobrancelha
1 anos atrás . por PleasedLeopard

Publicidade

Populer

Publicidade

Sobre

Jurídica

Ajuda

Social

direito autoral © 2024 cumeu Inc.