De acordo com o relatório 2021 Data Breach Investigations Report[1] elaborado pela Verizon, os ataques phishing e de engenharia social foram responsáveis pela maioria dos incidentes de segurança relatados pelas organizações participantes do relatório. O elemento humano correspondeu a cerca de 85% dos incidentes, certamente impulsionado pelos ambientes remotos de escritórios e empresas decorrentes da pandemia da Covid-19.
Evidentemente, as questões envolvendo Cibersegurança e Incidentes tornaram-se o assunto do momento. Nos Estados Unidos, o mês de Outubro passou a ser considerado o mês da conscientização em Cibersegurança, data comemorada desde meados de 2004 por iniciativa do U.S. Deparment of Homeland Security e pela National Cyber Security Alliance[2]. Aproveitando a temática do mês, o presidente Joe Biden emitiu um pronunciamento[3] sobre o papel da cibersegurança na segurança nacional e assumiu o compromisso em fortalecer a segurança da infraestrutura do ambiente de tecnologia nos Estados Unidos contra ciberataques e ransomware.
Diante de situações cada vez mais corriqueiras, é comum se deparar com notícias de empresas estrangeiras e nacionais que têm sofrido algum tipo de incidente em suas operações. No Brasil, empresas de diversos setores foram afetadas por incidentes de segurança da informação e tiveram diversos prejuízos relacionados à interrupção dos seus serviços e da disponibilidade dos seus endereços eletrônicos até o restabelecimento das suas atividades.
A crescente ocorrência de incidentes de segurança da informação demonstra a importância para as organizações em adotarem as medidas necessárias para uma resposta eficiente quando constatarem um incidente em seu ambiente de tecnologia. Essas medidas incluem a elaboração de uma Política de Segurança da Informação, uma Política de Resposta a Incidentes e os responsáveis que deverão ser acionados, um plano de comunicação adequado (envolvendo os titulares afetados e as respectivas autoridades reguladoras, quando aplicável), a realização de treinamentos recorrentes e conscientização aos colaboradores, due diligence dos fornecedores e prestadores de serviços e a criação de controles internos para avaliação das medidas de segurança adotadas pela organização, entre diversas outras atividades que compõem as medidas necessárias para a resposta a um incidente.
Exceto pelos setores regulados, como o bancário, por exemplo, o cenário brasileiro ainda carece de iniciativas relacionadas à Cibersegurança ou Segurança da Informação. No entanto, é importante destacar a atuação da Autoridade Nacional de Proteção de Dados ("ANPD") em seu papel educativo e na promoção de documentos e informações relevantes para apoiar as organizações na adoção de melhores práticas relacionadas à Segurança da Informação. Recentemente, a ANPD emitiu um Guia Orientativo de Segurança da Informação[4] para agentes de tratamento de pequeno porte, fornecendo subsídios necessários para a verificação de controles atualmente adotados e a implementação de medidas necessárias.
Caso os incidentes envolvam dados pessoais e com os efeitos da Lei Federal nº 13.709/18, a Lei Geral de Proteção de Dados ("LGPD"), torna-se mandatório que todos os agentes de tratamento de dados pessoais adotem as medidas adequadas para atenderem aos requisitos de comunicação de incidentes previstos em Lei (caso necessário) e principalmente, atuem de forma preventiva para protegerem seus dados pessoais contra acessos indevidos ou não autorizados por terceiros.
O diferencial para as organizações será tratar o tema não como uma imposição regulatória, mas como uma vantagem competitiva, em razão dos titulares que confiarão seus dados pessoais para agentes que tratam suas informações de maneira segura.
*Vanessa Pirró, Ana Carolina Cesar e Juliana Almeida, advogadas da área de Proteção de Dados e Propriedade Intelectual do KLA Advogados
[1] Disponível em: https://www.verizon.com/business/resources/reports/dbir/
[2] Disponível em: https://staysafeonline.org/cybersecurity-awareness-month/about-the-month/
[3] Disponível em: https://www.whitehouse.gov/briefing-room/statements-releases/2021/10/01/statement-by-president-joe-biden-on-cybersecurity-awareness-month/
[4] Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia-vf.pdf
