A ocorrência de um incidente de segurança que resulte em uma
invasão hacker é, sem dúvida, um dos maiores pesadelos para qualquer empresa
hoje. Além do impacto imediato nos negócios, há implicações legais e de
reputação que podem perdurar por meses ou até anos. No Brasil, a Lei Geral de
Proteção de Dados (LGPD) estabelece uma série de requisitos que as empresas
devem seguir após a ocorrência de tais incidentes.
De acordo com um relatório recente da Federasul – Federação
de Entidades Empresariais do Rio Grande do Sul -, mais de 40% das empresas
brasileiras já foram alvo de algum tipo de ataque cibernético. No entanto,
muitas dessas empresas ainda enfrentam dificuldades para cumprir os requisitos
legais estabelecidos pela LGPD. Dados da Autoridade Nacional de Proteção de
Dados (ANPD) revelam que apenas cerca de 30% das empresas invadidas declararam
oficialmente a ocorrência do incidente. Essa discrepância pode ser atribuída a
diversos fatores, incluindo a falta de conscientização, a complexidade dos
processos de conformidade e o medo de repercussões negativas na reputação da
empresa.
O dia após o incidente: primeiros passos
Após a confirmação de uma invasão hacker, a primeira medida é conter o incidente para evitar a sua propagação. Isso inclui isolar os sistemas afetados, interromper o acesso não autorizado e implementar medidas de controle de danos.
Em paralelo, é importante montar uma equipe de resposta a
incidentes, que deve incluir especialistas em segurança da informação,
profissionais de TI, advogados e consultores de comunicação. Essa equipe será a
responsável por uma série de tomadas de decisões – principalmente as que
envolvem a continuidade do negócio nos dias seguintes.
Em termos de conformidade com a LGPD, é preciso documentar
todas as ações tomadas durante a resposta ao incidente. Essa documentação
servirá como evidência de que a empresa agiu de acordo com os requisitos legais
e poderá ser utilizada em eventuais auditorias ou investigações pela ANPD.
Nos primeiros dias, a equipe de resposta deve realizar uma
análise forense detalhada para identificar a origem da invasão, o método
utilizado pelos hackers e o alcance do comprometimento. Este processo é vital
não apenas para compreender os aspectos técnicos do ataque, mas também para
coletar evidências que serão necessárias para reportar o incidente às
autoridades competentes e também à seguradora – caso a empresa tenha realizado
um seguro cibernético.
Há aqui um aspecto muito importante: a análise forense
também serve para determinar se os atacantes ainda estão dentro da rede da
empresa – uma situação que, infelizmente, é muito comum, ainda mais se após o
incidente a empresa estiver sofrendo algum tipo de chantagem financeira
mediante a liberação de dados que os criminosos tenham eventualmente roubado.
Além disso, a LGPD, em seu artigo 48, exige que o
controlador de dados comunique à Autoridade Nacional de Proteção de Dados
(ANPD) e aos titulares dos dados afetados acerca da ocorrência de um incidente
de segurança que possa acarretar risco ou dano relevante aos titulares. Esta
comunicação deve ser feita em prazo razoável, conforme regulamentação
específica da ANPD, e deve incluir informações sobre a natureza dos dados
afetados, os titulares envolvidos, as medidas técnicas e de segurança
utilizadas para a proteção dos dados, os riscos relacionados ao incidente e as
medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do
prejuízo.
Com base nessa exigência legal, é essencial, logo após a
análise inicial, preparar um relatório detalhado que inclua todas as
informações mencionadas pela LGPD. Nisso, a análise forense também ajuda a
determinar se houve extração e roubo de dados – na extensão que os criminosos
eventualmente estejam alegando.
Este relatório deve ser revisado por profissionais de
conformidade e pelos advogados da empresa antes de ser submetido à ANPD. A
legislação também determina que a empresa faça a comunicação clara e transparente
aos titulares dos dados afetados, explicando o ocorrido, as medidas tomadas e
os passos seguintes para assegurar a proteção dos dados pessoais.
A transparência e a comunicação eficaz, aliás, são pilares
fundamentais durante a gestão de um incidente de segurança. A gestão deve
manter uma comunicação constante com as equipes internas e externas, garantindo
que todas as partes envolvidas estejam informadas sobre o progresso das ações e
as próximas etapas.
Avaliação das políticas de segurança é ação necessária
Paralelamente à comunicação com as partes interessadas, a
empresa deve iniciar um processo de avaliação e revisão de suas políticas e
práticas de segurança. Isso inclui a reavaliação de todos os controles de
segurança, acessos, credenciais com alto nível de acesso, bem como a
implementação de medidas adicionais para prevenir futuros incidentes.
Em paralelo à revisão e análise de sistemas e processos
afetados, a empresa deve focar, também, na recuperação dos sistemas e na
restauração das suas operações. Isso envolve a limpeza de todos os sistemas
afetados, a aplicação de patches de segurança, a restauração de backups e a
revalidação dos controles de acesso. É essencial garantir que os sistemas
estejam completamente seguros antes de serem colocados de volta em operação.
Uma vez que os sistemas estejam novamente operacionais, é
preciso conduzir uma revisão pós-incidente para identificar lições aprendidas e
áreas de melhoria. Esta revisão deve envolver todas as partes relevantes e
resultar em um relatório final que destaque as causas do incidente, as medidas
tomadas, os impactos e as recomendações para melhorar a postura de segurança da
empresa no futuro.
Além das ações técnicas e organizacionais, a gestão de um
incidente de segurança requer uma abordagem proativa em relação à governança e
à cultura de segurança. Isso inclui a implementação de um programa contínuo de
melhorias em segurança cibernética e a promoção de uma cultura corporativa que
valorize a segurança e a privacidade.
A reação a um incidente de segurança exige um conjunto de
ações coordenadas e bem planejadas, alinhadas às exigências da LGPD. Desde a
contenção inicial e a comunicação com as partes interessadas até a recuperação
dos sistemas e a revisão pós-incidente, cada passo é essencial para minimizar
os impactos negativos e garantir a conformidade legal. Mais do que isso, é
preciso olhar de frente as falhas e corrigi-las – acima de tudo, um incidente
deve levar a estratégia de cibersegurança da empresa a um novo patamar.
Ramon Ribeiro - CTO da Solo Iron
Solo Network
www.solonetwork.com.br
Nenhum comentário:
Postar um comentário