Proteger os dados pessoais e garantir a segurança da informação são aspectos cruciais para empresas em um cenário cada vez mais digital. Os incidentes de segurança representam uma ameaça constante, podendo causar danos significativos às organizações. É por isso que a elaboração de um Plano de Respostas a Incidentes e a adequação à LGPD são essenciais para mitigar riscos e garantir conformidade.
Neste texto, você compreenderá o que é e qual a importância e como fazer um Plano de Respostas a Incidentes de Segurança em Dados Pessoais, como ele se relaciona e protege as empresas em relação aos riscos de ataques cibernéticos e outros Incidentes de Segurança.
Incidentes de Segurança em Dados Pessoais e a LGPD
Um incidente de segurança ocorre quando há uma violação da segurança da informação, resultando em acesso não autorizado, divulgação, alteração ou destruição de dados pessoais. Exemplos comuns incluem ataques cibernéticos, vazamentos de informações, perda de dispositivos contendo dados sensíveis, entre outros.
As consequências de um incidente de segurança podem ser graves, incluindo danos à reputação da empresa, perda de confiança dos clientes, multas regulatórias e ações judiciais. Além disso, a LGPD estabelece que a empresa deve adotar medidas para prevenir incidentes e comunicá-los aos titulares dos dados e à Autoridade Nacional de Proteção de Dados (ANPD) quando necessário.
A comunicação de incidentes à ANPD, por exemplo, é um requisito legal e deve ser feita dentro de um prazo determinado. É fundamental ter um Plano de Resposta a Incidentes bem estruturado para garantir a eficácia dessa comunicação e adotar as medidas necessárias para minimizar os impactos do incidente.
Segundo o Estudo de Segurança global do Instituto Ponemon, em 2019, 63% das pequenas e médias empresas sofreram algum incidente com vazamento de dados. Segundo levantamento da National Cyber Security Alliance, assustadores 25% das pequenas empresas declararam falência após ataques de hackers.
A pesquisa do Instituto Ponemon, sitiado em Michigan, constatou também que o Brasil é o país mais propenso a sofrer violações de segurança. Enquanto países como Alemanha e Austrália apresentam riscos de 14 e 17%, respectivamente, de serem alvo de ataques cibernéticos, as empresas brasileiras têm risco de 43% de serem atacadas.
Somando o fato de que pequenas e médias empresas costumam não investir grandes valores em Segurança da Informação com a falta de uma cultura de proteção digital no Brasil, as pequenas e médias empresas brasileiras estão entre os principais e mais fáceis alvos de hackers e atores maliciosos que buscam comprometer ou roubar dados.
Como evitar Incidentes de Segurança?
As empresas estão cada vez mais conscientes da importância de adotar medidas preventivas para evitar incidentes de segurança em seus dados. A prevenção é fundamental para minimizar os riscos e proteger a privacidade das informações sensíveis. Aqui estão algumas ações preventivas que as empresas podem implementar:
- Conscientização e treinamento: Investir em programas de conscientização e treinamento de segurança da informação para todos os funcionários é essencial. Isso inclui educar sobre práticas seguras de uso da tecnologia, reconhecimento de ameaças como phishing e ransomware, e a importância de proteger informações confidenciais.
- Políticas e procedimentos internos: Desenvolver e implementar políticas claras de segurança da informação, como políticas de senha robustas, restrição de acesso a dados sensíveis e diretrizes para uso de dispositivos pessoais no ambiente de trabalho. Estabelecer procedimentos para lidar com dados pessoais, incluindo a classificação, armazenamento seguro e descarte adequado de informações sensíveis.
- Atualização de sistemas e software: Manter todos os sistemas, aplicativos e software atualizados com as últimas versões e correções de segurança é fundamental. Isso inclui manter sistemas operacionais, antivírus, firewalls e outros softwares de segurança atualizados para proteger contra vulnerabilidades conhecidas.
- Controles de acesso e autenticação: Implementar medidas de controle de acesso e autenticação adequadas, como autenticação em duas etapas, para garantir que apenas pessoas autorizadas tenham acesso a dados sensíveis. Isso ajuda a evitar acesso não autorizado e proteger contra ataques internos.
- Monitoramento e detecção de ameaças: Utilizar soluções de monitoramento de segurança para detectar atividades suspeitas, tentativas de invasão e comportamentos anômalos nos sistemas. Isso permite uma resposta rápida a incidentes em tempo real e ajuda a identificar vulnerabilidades antes que sejam exploradas.
- Backup e recuperação de dados: Implementar políticas de backup regular de dados críticos, armazenando-os em locais seguros e testando regularmente a recuperação desses backups. Isso garante que, em caso de incidente, os dados possam ser restaurados e minimiza os impactos na continuidade dos negócios.
- Parceria com especialistas em proteção de dados: Trabalhar em parceria com consultorias especializadas em proteção de dados, como a nossa, pode fornecer orientações e expertise na implementação de medidas preventivas eficazes. Podemos auxiliar na avaliação de riscos, elaboração de políticas e procedimentos, treinamento da equipe e no desenvolvimento de um plano abrangente de segurança da informação.
Ao implementar essas ações preventivas, as empresas estarão fortalecendo sua postura de segurança e reduzindo os riscos de incidentes de segurança em dados pessoais. Estar preparado e investir na prevenção é fundamental para proteger a privacidade dos dados e preservar a confiança dos clientes.
Processo de Resposta a Incidentes de Segurança
O processo de resposta a incidentes de segurança é uma parte essencial da estratégia de proteção de dados de uma empresa. É importante estar preparado para lidar com possíveis violações de segurança e agir rapidamente para minimizar danos e mitigar riscos.
Aqui está um resumo do processo de resposta a incidentes:
- Identificação e avaliação: O primeiro passo é identificar e avaliar o incidente de segurança. Isso envolve detectar atividades suspeitas, investigar a extensão do incidente e determinar o impacto nos dados e sistemas da empresa.
- Isolamento e contenção: Uma vez identificado o incidente, é necessário isolar e conter a ameaça. Isso pode envolver a desativação temporária de sistemas afetados, isolamento de dispositivos comprometidos e a implementação de medidas para evitar a propagação do incidente.
- Notificação: Dependendo da natureza do incidente, pode ser necessário notificar as partes afetadas, como clientes, parceiros ou autoridades competentes. A notificação deve ser feita de acordo com as leis e regulamentações aplicáveis, como a LGPD, e deve ser feita de maneira transparente e oportuna.
- Investigação forense: Uma investigação forense detalhada é essencial para entender a causa raiz do incidente, identificar os pontos fracos no sistema de segurança e coletar evidências para ações futuras. Isso envolve o uso de técnicas especializadas para analisar logs de sistemas, rastrear atividades suspeitas e reconstruir o cenário do incidente.
- Mitigação e recuperação: Após a investigação, é necessário implementar medidas de mitigação para evitar incidentes futuros. Isso pode incluir a atualização de sistemas, reforço de políticas de segurança, aprimoramento de controles de acesso e a recuperação dos dados afetados.
- Comunicação e relatórios: Durante todo o processo de resposta, é importante manter uma comunicação clara e eficaz com as partes interessadas. Isso inclui fornecer atualizações regulares sobre o incidente, suas consequências e as medidas tomadas para resolver o problema. Além disso, pode ser necessário elaborar relatórios internos ou externos, detalhando o incidente e as ações tomadas.
- Avaliação e aprimoramento: Após o incidente ser resolvido, é fundamental realizar uma avaliação completa do processo de resposta. Isso envolve identificar pontos fortes e áreas de melhoria, revisar políticas e procedimentos existentes e implementar medidas para fortalecer a postura de segurança da empresa.
Como especialistas em proteção de dados, podemos auxiliá-lo no processo de resposta a incidentes de segurança. Desde a identificação e contenção inicial até a investigação forense e a implementação de medidas preventivas. Nossa equipe está preparada para ajudá-lo a proteger seus dados, mitigar riscos e responder de forma eficaz a qualquer incidente de segurança que possa ocorrer.
Como elaborar o Plano de Respostas a Incidentes?
A criação de um plano de resposta a incidentes é uma etapa crucial para garantir a eficácia da resposta da empresa diante de uma violação de segurança. Aqui estão as etapas detalhadas para a criação desse plano:
- Definição do escopo: Determine o escopo do plano de resposta a incidentes, levando em consideração os tipos de incidentes de segurança que podem ocorrer, os sistemas e dados envolvidos, e as partes interessadas afetadas.
- Formação da equipe de resposta a incidentes: Identifique e designe uma equipe de profissionais especializados em segurança da informação para responder aos incidentes. Essa equipe deve incluir membros de diferentes áreas da organização, como TI, jurídico, comunicação e gestão de riscos.
- Identificação de ameaças e vulnerabilidades: Realize uma análise detalhada das ameaças potenciais que podem afetar a segurança dos dados da empresa. Identifique também as vulnerabilidades existentes nos sistemas e processos internos. Isso pode ser feito por meio de auditorias de segurança, testes de penetração e revisão de políticas de segurança.
- Estabelecimento de procedimentos de detecção e resposta: Defina os procedimentos que serão adotados para a detecção e resposta a incidentes. Isso inclui a implementação de ferramentas de monitoramento, a definição de alertas e indicadores de comprometimento, e a criação de um fluxo de trabalho claro para lidar com incidentes.
- Classificação e priorização dos incidentes: Estabeleça critérios de classificação e priorização dos incidentes de segurança. Determine quais tipos de incidentes são considerados críticos e exigem uma resposta imediata, e quais podem ser tratados de forma mais gradual.
- Resposta e contenção: Descreva as ações a serem tomadas imediatamente após a detecção de um incidente. Isso inclui ações de contenção para evitar a propagação do incidente, como isolamento de sistemas afetados e desativação temporária de serviços comprometidos.
- Investigação e análise forense: Detalhe os procedimentos que serão seguidos para a investigação e análise forense dos incidentes. Defina como as evidências serão coletadas, preservadas e analisadas, e como será feita a identificação da causa raiz do incidente.
- Comunicação e notificação: Estabeleça as diretrizes para a comunicação interna e externa durante um incidente. Determine quais informações devem ser compartilhadas, com quem e em que prazos. Isso inclui a notificação às partes interessadas afetadas, às autoridades competentes e, quando necessário, ao público em geral.
- Recuperação e pós-incidente: Descreva as medidas a serem tomadas para a recuperação pós-incidente. Isso inclui a restauração de sistemas, a implementação de medidas adicionais de segurança e a realização de uma análise de lições aprendidas para evitar incidentes futuros.
- Revisão e atualização periódica: Estabeleça um cronograma para revisar e atualizar regularmente o plano de resposta a incidentes. As ameaças e os ambientes de segurança estão em constante evolução, por isso é importante revisar e atualizar o plano de resposta para garantir sua efetividade contínua.
- Treinamento e conscientização: Planeje programas de treinamento e conscientização para toda a equipe da empresa. É fundamental que todos os funcionários estejam cientes dos procedimentos de resposta a incidentes e de seu papel na mitigação e comunicação dos incidentes de segurança.
- Testes e simulações: Realize testes regulares e simulações de incidentes para avaliar a eficácia do plano de resposta. Isso permite identificar pontos fracos, fazer ajustes necessários e garantir que a equipe esteja preparada para lidar com incidentes reais.
- Auxílio de especialistas: Considere o envolvimento de especialistas externos, como consultorias de segurança da informação e advogados especializados em proteção de dados. Eles podem fornecer conhecimento especializado e auxiliar na criação e revisão do plano, garantindo sua conformidade com a legislação aplicável.
- Documentação e armazenamento adequado: Mantenha registros detalhados de todos os incidentes, respostas, ações tomadas e lições aprendidas. Armazene essas informações de forma segura e acessível, para referência futura e para atender aos requisitos de conformidade.
Em resumo, a criação de um plano de resposta a incidentes é essencial para que as empresas possam agir de forma rápida e eficiente diante de violações de segurança de dados. Ao seguir as etapas acima e contar com o suporte de profissionais especializados, como nós do BL Consultoria Digital, você terá um plano abrangente, personalizado e alinhado com as melhores práticas de proteção de dados. Proteja sua empresa, mitigando riscos e garantindo uma resposta adequada em casos de incidentes de segurança. Entre em contato conosco hoje mesmo e saiba como podemos ajudar.
Como elaborar uma Comunicação de Incidente de Segurança / Data Breach Notification
Um comunicado de Incidente de Segurança, conforme previsto no Artigo 48 da LGPD, deve conter informações relevantes e claras para notificar os titulares de dados sobre o incidente ocorrido. Algumas informações que devem estar presentes no comunicado são:
- Descrição do incidente: Explique de forma precisa e objetiva o ocorrido, incluindo detalhes sobre a natureza e a extensão do incidente de segurança.
- Dados afetados: Identifique quais dados pessoais foram afetados pelo incidente, mencionando as categorias de dados envolvidas.
- Potenciais riscos: Informe os possíveis riscos e impactos que os titulares de dados podem enfrentar como resultado do incidente de segurança.
- Medidas adotadas: Descreva as medidas tomadas para mitigar os riscos e proteger os dados afetados, incluindo ações de contenção, recuperação e reforço da segurança.
- Recomendações aos titulares de dados: Forneça orientações claras aos titulares sobre quais medidas eles podem tomar para proteger seus dados ou minimizar os possíveis danos.
- Canais de comunicação: Indique os canais de contato disponíveis para os titulares de dados obterem mais informações, esclarecer dúvidas ou reportar quaisquer problemas adicionais relacionados ao incidente.
- Prazo de notificação: Informe o prazo em que os titulares de dados devem ser notificados sobre o incidente, conforme exigido pela LGPD.
- Medidas de prevenção futura: Demonstre o compromisso da empresa em evitar futuros incidentes, descrevendo as medidas de segurança que serão implementadas para garantir a proteção dos dados pessoais.
É importante destacar que o comunicado deve ser redigido de forma clara, objetiva e acessível, utilizando uma linguagem compreensível para os titulares de dados. Além disso, deve-se respeitar os prazos estabelecidos pela legislação para a notificação aos titulares e à Autoridade Nacional de Proteção de Dados (ANPD), quando aplicável. Em casos de dúvidas ou necessidade de suporte na elaboração do comunicado de incidente de segurança, é recomendável buscar assessoria jurídica especializada, como a oferecida pelo BL Consultoria Digital, para garantir a conformidade com a LGPD e a eficácia na comunicação aos titulares de dados.
Incidente de Segurança: Prazo para Comunicação à ANPD
De acordo com o Artigo 48 da LGPD, em caso de incidente de segurança que possa acarretar risco ou dano aos titulares de dados, é obrigatória a comunicação à Autoridade Nacional de Proteção de Dados (ANPD). O prazo para essa comunicação é de até 72 horas após a constatação do incidente.
É importante ressaltar que a comunicação à ANPD deve conter informações relevantes sobre o incidente, como a descrição do ocorrido, os dados pessoais envolvidos, as medidas adotadas para conter e remediar o incidente, bem como as potenciais consequências aos titulares de dados. Além disso, se necessário, devem ser fornecidas atualizações à ANPD à medida que mais informações se tornem disponíveis.
Cumprir o prazo de comunicação é fundamental para garantir a conformidade com a legislação e evitar possíveis sanções. É recomendável contar com a assessoria de profissionais especializados em proteção de dados, como o BL Consultoria Digital, que podem auxiliar na elaboração do comunicado à ANPD e no cumprimento de todas as obrigações previstas na LGPD, garantindo assim a conformidade e a segurança dos dados pessoais.
Plano de Respostas a Incidentes: Exemplos de Data Breach Notification – Comunicação de Incidente de Segurança
Além dos pontos destacados acima, podem, ainda, ser incluídos outros itens na Comunicação de Incidente de Segurança (Data Breach Notification), tais como a necessidade de um comportamento por parte dos titulares afetados, como a redefinição de senhas de acesso ou, ainda, a solicitação para que verifiquem problemas em suas contas, como foi feito pelo aviso de 2016 do Uber:
Informações sobre o incidente de segurança de dados ocorrido em 2016
Em outubro de 2016, a UBER passou por um incidente de segurança de dados que causou a violação de informações relacionadas a contas de usuários e motoristas parceiros.
As informações de usuários incluem nome, endereço de e-mail e número de telefone celular de contas em nível global. Nossos peritos forenses externos não observaram nenhum indício de download de históricos de locais de viagens, números de cartões de crédito, números de contas bancárias ou data de nascimento.
No seguinte local, essa violação afetou cerca de 196.000 usuários e motoristas parceiros: Brazil. Esse número é aproximado (e não exato nem definitivo), porque as informações que recebemos por meio de nossos apps ou nosso site para identificar o código do país podem ser diferentes do país onde a pessoa realmente mora.
Quando o incidente aconteceu, nós tomamos medidas imediatas para proteger os dados, bloquear acessos não autorizados e reforçar a nossa segurança de dados.
PRECISO FAZER ALGUMA COISA?
Acreditamos que nenhum usuário específico precise tomar qualquer medida. Não notamos nenhuma evidência de fraude ou de uso indevido associada ao incidente.
Estamos monitorando as contas afetadas, que foram marcadas para proteção adicional contra fraudes. Recomendamos que todos os usuários verifiquem com frequência se há algum problema em suas contas. Entre em contato conosco por meio da Central de ajuda se perceber algo estranho na sua conta Uber. Para isso, entre no app e toque em “Ajuda” > “Opções de pagamento e conta” > “Não reconheço uma cobrança que recebi” > “Acho que a minha conta foi hackeada”.
Outro exemplo que merece atenção é o data breach notification do aplicativo Canva.
Há uma excelente divisão de tópicos, com seções para o incidente, para os danos causados, para as medidas que foram tomadas pela empresa e para aquelas devem ser realizadas pelos usuários. Há a predominância de uma linguagem simples e direta:
Canva Security Incident – May 24 FAQs
June 1, 10:13 AEST
Following an investigation with cyber security experts, we now have a better understanding of the impact of the attack and want to provide as much context as we can to our community.
On Friday 24th May 2019, we detected a malicious attack on our systems, which we stopped as it was occurring. Our first response was to lock down Canva, then notify authorities and users that the breach had occurred. Because the intruder was interrupted mid-attack they also took a different tactic to most security incidents and tweeted about the attack, which required a rapid communication response.
Since then we have worked with cyber security experts and authorities, such as the FBI, to help protect our users, and are communicating the latest information below.
A primeira parte contextualiza no tempo o incidente, informando a data de sua descoberta, e a primeira resposta.
What did the attacker do?
They accessed information from our profile database for up to 139 million users. The profile database contains usernames, names, email addresses, country, and optionally, user-supplied data about their city and/or homepage URL which was available through their public profile.
They accessed cryptographically protected passwords (these were individually salted and hashed with bcrypt) for any of those users with username/password logins.
They claimed to have obtained OAuth login tokens for users who signed in via Google. Our OAuth tokens are encrypted with AES128 and the encryption keys are securely stored elsewhere. We have found no evidence they downloaded the OAuth tokens or tried to access the keys.
They briefly viewed files with partial credit card and payment data. We found no evidence these files were stolen. Files contained partial credit card data from before September 28, 2016 (name, expiry date, last 4 digits, card brand and card country), and payment histories from before September 16, 2017 that contained transaction dollar amounts, dates, and IDs for some payments for users and contributors. These limited card details cannot be used for payments. Canva never stores full credit card details.
Nesse item, foram descritas as atividades praticadas pelos invasores: quais e quantos dados foram acessados (incluindo senhas, tokens de login e dados de cartões de créditos). Aqui, a linguagem fica um pouco mais complexa, afinal diz respeito a informações de caráter tecnológico. Mas, pergunta-se: há a necessidade de passá-las aos titulares, que normalmente não detêm esse conhecimento?
What is Canva doing about it?
We continue to invest heavily in security. We intend to publish a technical post mortem of the incident once our investigations are complete. Our first priority, though, is to protect our users. Here’s what we’re doing:
Notifying our users: We want our users to know that they’ve been affected. We’ve directly contacted users via email, but some users have out-of-date or incorrect email details so we have also used in-app notifications and the press to alert users to the breach. We are following up on our initial notification with individual emails to each user outlining what data was accessed.
Prompting users to change passwords: We’ve asked all users who had passwords set before the attack to change them, and are adding rules to help users set stronger ones.
Resetting OAuth tokens: We’ve worked with our partners to make sure all active login tokens that existed prior to the breach are reset. These users will be prompted to reconnect their Canva account.
Coordinating with partners: We are working with partner agencies to share information about the attack, identify the risk to users, and coordinate responses. For example, we’re alerting the email abuse teams of major providers to make it harder for attackers to phish our users.
Partnering with 1Password: While we recommend that our users use different passwords for each site they use, we know that’s hard. We have partnered with 1Password to offer a year free to Canva users who don’t already use their service.
Nesse tópico, são descritas as iniciativas tomadas para reverter ou mitigar os prejuízos. Destacam-se as que buscam notificar os titulares de todas as formas possíveis. Caso a informação da conta de e-mail inserida no cadastro esteja desatualizada, os usuários receberão avisos dentro do próprio aplicativo.
What can Canva users do?
Change your password: If you have a password on Canva and haven’t done so already, we are recommending that everyone change their password on Canva [https://www.canva.com/account/reset/], and if you used the same password on other sites you should change those too.
Report suspicious emails: As a precaution, we’re encouraging everyone to be wary of suspicious emails. Attackers often use creative methods to trick you into handing over your personal information. If you do receive any emails that you believe are suspicious, do not click on them and do not respond. We encourage you to flag them with your email provider.
Use a password manager: We recommend you use a password manager such as 1Password or Google Chrome to generate and remember a unique, secure password for each site you use.
Update your Google/Facebook login if we’ve disconnected it: If you sign in using Facebook or Google we may have reset your login. Just login again to get back into your Canva account.
Update your contact details: Once you have logged in to Canva, please add or update your contact details so we can always contact you about your account.
Aqui há uma lista de recomendações de condutas pelo usuário, inclusive, com a indicação de reinicialização de senha por meio de um link informado no texto.
Recomenda-se, por questões de segurança da informação, não praticar essa conduta, devendo-se, na verdade, informar que o controlador jamais enviará e-mails com links desse tipo. Há uma justificativa: um criminoso poderia se aproveitar da divulgação pública do incidente para criar uma falsa comunicação, com um texto apontando para um link malicioso, e assim capturar os dados do titular ou proceder à instalação de um malware, em um golpe na internet que combina engenharia social com phishing scam.
A LGPD não determina o meio em que deverá ser feita essa notificação. Para garantir a accountability e trazer a ciência do fato para o titular, sugere-se que seja feita por escrito, preferencialmente para o seu email ou outro meio que garanta a comunicação pessoal (Whatsapp, por exemplo).
Diante da ausência das informações mínimas, nada impede que a ANDP exija do controlador a sua complementação e, paralelamente, estabeleça um procedimento administrativo para a imposição de uma das sanções do art. 52.
Incidente de Segurança em Instituições Financeiras: Resolução 4.658/2018
A Resolução 4.658/2018 do Banco Central do Brasil estabelece diretrizes para o gerenciamento de riscos cibernéticos em instituições financeiras. Essa regulamentação reconhece a importância da segurança da informação e a necessidade de proteger os sistemas e dados sensíveis no ambiente financeiro.
No contexto dessa resolução, um ponto crucial é o tratamento dos incidentes de segurança. Instituições financeiras devem implementar medidas preventivas e corretivas para identificar, monitorar e responder a esses incidentes de forma ágil e eficiente. O objetivo é minimizar os impactos negativos e garantir a continuidade das operações, bem como a proteção dos clientes e seus dados financeiros.
Para isso, as instituições devem estabelecer um plano de resposta a incidentes de segurança que contemple, entre outros aspectos, a identificação e classificação dos incidentes, o acionamento de equipes especializadas, a análise de impacto e a comunicação adequada a órgãos reguladores, como o Banco Central.
Além disso, é fundamental que as instituições financeiras estejam em conformidade com as diretrizes estabelecidas na resolução, implementando controles de segurança robustos, realizando testes de segurança regularmente e promovendo a conscientização e treinamento de seus colaboradores.
Há obrigação semelhante na Circular 3.909/2018 do Banco Central, voltada para as instituições de pagamento, a qual, em seu art. 20, define o dever dessas instituições de comunicar ao Bacen a ocorrência de incidentes.
Este artigo “Série LGPD na Prática: Plano de Respostas a Incidentes de Segurança em Dados Pessoais“ foi escrito Por Rodrigo Glasmeyer e MSc. Graziela Brandão . Conheça o BL Consultoria Digital, acesse aqui!