Especialista em Gestão da Qualidade e Segurança da Informação, auditora líder nas ISOs 9001:2015 e 27001:2013. Graduada em Ciências Econômicas e escritora de artigos relacionados ao sistema de gestão. Mãe de 4 felinos ♥️ Você pode me encontrar no meu linkedin.
No dia 28 de janeiro foi comemorado o Dia Mundial da Privacidade de Dados e, em comemoração a semana da privacidade, aconteceram diversos eventos nos quais eu participei como ouvinte que trataram de temas como a LGPD em vigor, os vazamento de dados recentes, tratamento de cookies, entre outros assuntos.
Um dos temas que foi abordado, foi o de Planos de Resposta a incidentes, que inclusive está na Seção II, da Lei Geral de Proteção de Dados (nº 13.709/18, § 2º I) implementar programa de governança em privacidade que, no mínimo: g) conte com planos de resposta a incidentes e remediação e eu gostaria de falar um pouco sobre ele.
Por que eu achei importante trazer esse assunto para o blog? Imagina a sua empresa se deparando com um vazamento de dados nesse momento, o que você faria?
Se a sua resposta for “não sei” ou então “ah, talvez eu chame o cara da T.I.”, saiba que você tem muito trabalho pela frente.
O plano de resposta a incidentes deve conter todas as informações que a organização dispor em relação ao que aconteceu e o que será feito para mitigar os possíveis efeitos desse vazamento.
Mas aí entra a parte interessante: como eu vou saber quais são esses possíveis efeitos?
Começando pelo começo….
Mapeie os dados
Todo mundo já está cansado de ouvir sobre “mapeamento de dados”, mas ele é tão importante e tão subestimado que eu quis trazer novamente. Sim, essa parte é crucial em todos os seus processos, mapeie esses dados, entenda onde começa a coleta, onde ela termina, o porquê da sua existência, por quanto tempo, com quem é compartilhado e a sua frequência. São muitas perguntas e todas elas são importantes para você conhecer o seu cenário
Plano de ação
Agora, coloque em prática todo o conhecimento adquirido em relação à proteção de dados e adeque ao cenário da sua empresa em consenso com a sua cultura e objetivos estratégicos. Crie ações de redução de coleta de dados onde não for preciso, políticas de privacidade, de cookies e todas as outras políticas que já sabemos e que são necessárias.
Então deixo aqui uma sugestão de Framework, que sou suspeita para falar porque eu amo: a ISO 27001:2013 e também a ISO 27701:2019 que discorrem sobre a importância da privacidade de dados e abordam controles importantes para apoiar na segurança da informação e privacidade de dados.
Gestão de riscos
Temos várias outras atividades que poderiam se encaixar nesse “roteiro” de adequação que não são o foco desse artigo, mas finalmente chegamos na gestão de riscos. Eu amo estudar e analisar riscos e é incrível como as pessoas se perdem, se descabelam, e ficam a flor da pele quando trazemos o assunto à tona.
A gestão de risco, mesmo sem o contexto LGPD, é tão importante que os frameworks sempre a mencionam, como, por exemplo, as ISOs que trouxeram a “mentalidade de risco” como parte obrigatória nas suas certificações. Isso demonstra a importância de uma gestão de riscos eficaz. Inclusive temos vários artigos no blog que falam sobre isso.
Agora, voltando à pergunta, se acontecesse um vazamento de dados hoje na sua empresa, o que você faria?
Com os dados mapeados, sabendo exatamente o caminho que percorrem, uma análise de riscos já existente do tratamento desses dados, fala sério, não é muito mais fácil responder essa pergunta?
A própria LGPD traz a necessidade da criação de um Relatório de Impacto a Privacidade de Dados, e, no começo, foi um pouco complicado entender exatamente o que precisaria ser feito para atender a essa demanda. Mas uma coisa é certa, e que vários especialistas têm dito: não deixe para fazer quando acontecer um incidente, já tenha o RIPD pronto.
No meio de um incidente, vamos utilizar o exemplo de vazamento, os responsáveis pelos dados não terão capacidade de executar um bom relatório de impacto de privacidade de dados, pois estarão mais preocupados em executar ações de mitigação dos efeitos desse risco. É tipo pedir para o bombeiro parar de apagar o fogo e preencher um relatório, sério, o que é mais importante naquele momento?
Sendo assim, quanto antes você tiver essa análise de risco e um plano de resposta aos incidentes, pronto, melhor você se sairá desse contexto. Lembre-se: a gestão de riscos é preventiva, quando acontece o incidente, é tarde demais. Aqui, no contexto desse artigo, os esforços devem estar voltados às ações de mitigação e isolamento do incidente, dentre outras ações que serão necessárias, como comunicações aos titulares, ANPD, ações voltadas ao plano de resposta a incidentes.
Mas sabemos que o importante mesmo é fazer uma boa gestão de riscos, criar uma Governança de Dados estruturada e REAL, com capacitações, treinamentos, conscientização dos seus colaboradores e parceiros de negócio.
Privacidade de dados é coisa séria, não deixe para última hora. O auxílio de um consultor e ferramentas que te ajudem a fazer essa gestão são investimentos, se estiver com dificuldades, considere isso.
Até mais.
2 comentários em “LGPD e gestão de riscos: como elaborar um plano de resposta a incidentes”
Diz que é pra fazer isso, aquilo mas nunca ninguém diz como, um pgma? Planilhas? Softwares???
Mas bem isso Lu, queremos saber o COMO. Help please!!!