À medida que as organizações adotam novas tecnologias, a complexidade de seus ambientes digitais aumenta significativamente. Essa dependência de sistemas torna as empresas vulneráveis a uma variedade de ameaças, sendo os riscos de um incidente de segurança inerentes a qualquer negócio. Do mesmo modo, eventos como falhas humanas e desastres naturais também podem causar interrupções significativas nas operações e comprometer a continuidade dos negócios.
A vulnerabilidade a ciberataques, falhas de sistemas, violação de dados e outros incidentes cresce continuamente. Além desses incidentes ameaçarem a integridade dos dados coletados e processados por uma organização e o funcionamento da sua estrutura organizacional, podem resultar em danos à reputação, perda de confiança por parte de parceiros comerciais, e acarretar prejuízo decorrentes de penalidades e perdas de faturamento.
A adoção de medidas técnicas e organizacionais adequadas é essencial para conter incidentes e mitigar riscos e danos, assegurando a proteção dos ativos e a continuidade das operações. Para isso, a implementação de um plano de resposta a incidentes bem estruturado é fundamental, permitindo uma reação rápida e eficiente e de um plano de continuidade de negócios sólido capaz de garantir a manutenção das atividades essenciais após interrupções ou incidentes.
Apesar dos papéis distintos que desempenham na proteção e manutenção das operações das empresas, a integração de ambos planos estabelece uma estratégia abrangente e eficiente para gerenciamento de riscos. Essa combinação permite que as organizações respondam mais rapidamente a incidentes e garantam a continuidade das operações essenciais.
Plano de Resposta a Incidentes de Segurança
O Plano de Resposta a Incidentes de Segurança é obrigatório para todas as organizações que realizam tratamento de dados pessoais, ou seja, que utilizam informações de pessoas físicas para exercer as suas atividades, como dados de funcionários e de clientes.
O seu objetivo é detalhar as etapas específicas para identificar, gerenciar e minimizar o impacto dos incidentes. De acordo com a Autoridade Nacional de Proteção de Proteção de Dados, as organizações devem observar as diretrizes da Resolução CD/ANPD nº 15, publicada em maio de 2024, que prevê diversas obrigações, dentre as quais destacamos:
(i) Registro do incidente: uma vez identificado um incidente de segurança ou havendo suspeita, o Encarregado de Proteção de Dados deverá ser notificado para investigar o evento.
(ii) Comunicação do incidente à ANPD e aos titulares: sempre que houver incidente que acarretar risco ou dano relevante aos titulares, deverá ser comunicado à ANPD e aos próprios titulares afetados no prazo de 3 (três) dias úteis, contados a partir do conhecimento do incidente pelo controlador.
(iii) Ausência de informações completas: caso o controlador não tenha as informações completas a respeito do incidente ou não conseguir notificar os titulares no prazo recomendado, pode ser apresentada comunicação complementar no prazo de 20 dias úteis.
Plano de continuidade de negócios
O Plano de continuidade negócios (PCN) é um dos recursos a serem utilizados para a gestão de risco, atuando com uma estratégia documentada que garante a continuidade das operações, mesmo diante de eventos que possam comprometer os negócios, minimizando interrupções e os impactos negativos sobre seus clientes e colaboradores. Esses eventos incluem desastres naturais, ciberataques e falhas no sistema.
Para garantir a eficácia do Plano, é importante que ele contenha responsabilidades bem definidas e diretrizes claras. Entre suas disposições, devem constar:
(i) Prioridades: definição dos processos que devem ser recuperados primeiro em caso de interrupção;
(ii) Identificação de processos críticos: quais atividades são essenciais para o funcionamento da empresa;
(iii) Responsabilidades: definição de funções e responsabilidades para a equipe de continuidade;
(iv) Plano de recuperação: procedimentos para restaurar as operações.
Apesar da sua relevância, não há regulamentação específica que torne obrigatória a elaboração de um PCN. No entanto, a norma ISO 22301:2019 é amplamente reconhecida como um padrão internacional para o gerenciamento da continuidade de negócios. Essa norma estabelece os requisitos relacionados a planejamento, análise crítica, monitoramento, implementação e acompanhamento de resultados, para empresas que desejem melhorar sua estrutura de gestão de continuidade de negócios. Suas disposições se aplicam a qualquer tipo de organização, independente do tipo, dimensão e natureza.
A implementação é recomendada para mitigar perda de faturamento com multas, indenizações e prejuízo em decorrência de interrupções das operações. A presença de um plano demonstra o comprometimento da organização com a resiliência organizacional, com seus clientes, fornecedores e colaboradores, além de oferecer uma vantagem competitiva no mercado.
Saiba mais sobre Incidente de segurança com dados pessoais: espécies e plano de respostas no link: https://boiteuxealmeida.com/incidente-de-seguranca-com-dados-pessoais-especies-e-plano-de-respostas/
Este artigo foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional. |