Você, empresário, já deve estar cansado de ouvir falar sobre a nova Lei de Proteção de Dados, né? E tenho certeza de que também está exausto de ler diariamente sobre casos de vazamento de dados pessoais…
Mas você já parou para entender de verdade sobre o que é a LGPD? Essa lei está valendo desde 2020 e se aplica a todas as empresas que tratam dados de pessoas naturais no Brasil.
Mesmo se você tiver uma micro, pequena ou média empresa, isso não importa. Você precisa estar de acordo com essa lei.
E se você não cumprir, você pode pagar multas e sofrer um dano reputacional inimaginável…
Agora, vamos supor que você só sabe o básico da LGPD e, de repente, o responsável pelo TI liga desesperado para o seu celular e te conta uma péssima notícia: “Sofremos um ataque e os dados pessoais dos colaboradores desapareceram”.
E aí, o que você vai fazer?
Neste texto nós vamos te contar as estratégias certas para você lidar com esse evento nada agradável.
1 – ACIONE A CONSULTORIA JURÍDICA ESPECIALIZADA
Estamos em um momento em que muitas empresas já fizeram ao menos alguns trabalhos para se adequarem à LGPD…
Mas vamos considerar que a sua empresa deixou para fazer essa adequação internamente e não tem um jurídico que entenda muito sobre a lei… O que você deve fazer nesse momento de crise?
Não dá para esperar mais!
Você precisa entrar em contato com a consultoria jurídica que é expert em LGPD o mais rápido possível!
Várias questões vão ser analisadas em conjunto com a consultoria, principalmente sobre como notificar a Autoridade Nacional de Proteção de Dados Pessoais e os titulares de dados.
Com a experiência de mercado, a consultoria especializada vai trazer a tranquilidade para a gestão da crise e te ajudar a ver com clareza as ações efetivas para minimizar esse vazamento de dados…
2 – NEUTRALIZE O ATAQUE CIBERNÉTICO
Com a consultoria no jogo, a estratégia vai se voltar inteiramente para neutralizar o ataque.
Você vai precisar se perguntar algumas coisas, como:
- “Sabemos a origem do ataque e como fechar essa porta?”
- “Ainda estamos correndo risco?”
- “Qual a extensão desse ataque? São só dados pessoais de colaboradores ou também de clientes?
- “Quais tipos de dados pessoais estão envolvidos: dados comuns, como nome ou CPF, ou dados de saúde?”
- “A área de TI tem condição de controlar o ataque?”
- “Vai ser necessário contratar uma equipe de segurança para nos ajudar?”
Com essas respostas, a mitigação desse incidente vai se tornar MUITO mais fácil.
Todo o time de TI ou o Comitê de Segurança da Informação, se houver, precisará estar envolvido nesse momento.
Assim, o lastro do ataque vai ser totalmente identificado, cabendo a você apenas monitorar e gerenciar os próximos passos de recuperação das atividades.
3 – DOCUMENTE TODAS AS SUAS AÇÕES DE CONTENÇÃO
É muito importante que você entenda que as ações tomadas devem ser documentadas.
Por exemplo, assim que a consultoria jurídica especializada for acionada, você precisará reunir as partes importantes em reuniões para discutir o passo a passo estratégico.
E aí será totalmente necessário que as reuniões sejam registradas em atas e posteriormente assinada por todos os envolvidos.
Além disso, é necessário registrar todas as ações técnicas realizadas pelos profissionais de TI. Isso é válido para demonstrar que todas as medidas possíveis foram tomadas a partir do momento em que o incidente foi identificado.
E por quê você deve documentar todas as ações tomadas? Pois isso vai demonstrar a sua boa-fé e comprometimento com a segurança dos dados pessoais.
Inclusive, em um possível processo da ANPD, essa demonstração poderá ser utilizada para diminuir o valor da multa.
Então, fica ligado, porque isso é bem importante!
4 – COLOQUE O PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN) EM PRÁTICA!
Agora é a hora de colocar o Plano de Continuidade de Negócios, o famoso PCN, em prática!
Sabe todos aqueles treinamentos que você fez com a sua empresa sobre os passos que vocês vão seguir no caso de, por exemplo, a energia do bairro acabar e ser necessário ligar o gerador?
Pois é, não é exatamente esse o caso. Mas a ideia é a mesma…
Como vocês vão continuar prestando os serviços se esse ataque causou uma instabilidade em toda a rede de sistemas da empresa? Ou se o ataque indisponibilizou acesso a todos os dados dos clientes?
Como gerar nota de pagamento? Como autorizar o acesso ao sistema dos colaboradores cujos dados foram deletados?
Isso deve estar previsto no PCN e agora é a hora de praticar as medidas. E elas devem responder algumas perguntas, como:
- O backup está atualizado?
- Há sistemas reservas para uso emergencial?
É com muita experiência que falamos que um PCN atualizado é um aspecto essencial para minimizar os impactos de uma crise…
Ah, e a consultoria jurídica especializada também vai te apoiar nesse momento e na identificação de riscos em situações imediatas para decisões da Diretoria…
5 – MONITORE E REVISE AS AÇÕES TOMADAS
Bom, passada a tempestade, nada mais justo que uma pitada de tranquilidade, né?
E é nesse momento que você vai poder respirar um pouco. Afinal, você fez tudo que poderia fazer e o incidente foi minimizado.
Mas não pense que o trabalho acabou! Na verdade, agora você vai precisar monitorar tudo o que foi feito e acompanhar os resultados dessas ações.
Nesse momento, acompanhar e revisar todas as ações vai te ajudar a ter um parâmetro sobre a eficácia das medidas e possíveis melhorias para o ciclo de continuidade dos negócios…
Assim, você poderá otimizar os processos de gestão de incidentes da empresa e também aprenderá como se prevenir de futuros ataques.
