Carregando...
LGPD

Minha empresa precisa de uma equipe de resposta a incidentes?

No mundo digital, é apenas uma questão de "quando", não "se", um incidente ocorrerá. Portanto, é crucial se preparar adequadamente para minimizar as consequências para o seu negócio. Uma equipe de resposta a incidentes pode ser o diferencial para reduzir os danos de um incidente para sua empresa.
21.09.2023 por Gabriela Brasil
Foto colaborador

Imagine os seguintes cenários: (i) toda a base de dados da sua empresa foi criptografada (ou seja, colocaram senhas nos arquivos), você não tem backup e os hackers estão solicitando pagamento para devolver os dados; e (ii) houve um ataque hacker no site e no aplicativo do seu negócio e agora os sistemas estão fora do ar.

O que ambos os cenários têm em comum?

Se você leu nosso último artigo [1], sabe que ambos são considerados como incidentes de segurança da informação, e têm um grande potencial de causar prejuízos reputacionais e financeiros à sua empresa.

E agora, o que fazer? Você deve comunicar para alguma autoridade? E será que é o caso de informar aos titulares? E os seus fornecedores, eles devem ser informados sobre isso? O quanto eles precisam saber? Em quanto tempo eles devem ser informados? Qual é a linguagem adequada? Em qual meio de comunicação isso deve ser veiculado? Como calcular o prejuízo financeiro? E a pergunta que deve ser mais importante para você: como continuar a operação e não prejudicar o seu negócio?

São muitos questionamentos, não é mesmo? A depender do incidente que tenha ocorrido, pode ser que, com as emoções à flor da pele, os próximos passos não pareçam tão simples. Ou então, você pode ser uma pessoa mais racional e sabe o que deve ser feito, mas não sabe dizer o que deve ser priorizado.

Qual é o custo de um incidente?

Nesses casos, agir rápido é essencial, e tempo é dinheiro.

A título exemplificativo, segundo o informado pelo IBM Security no Cost of a Data Breach Report 2023 [2], o custo médio de um incidente é de 4,45 milhões de dólares. Para chegar a esse valor, a pesquisa analisou 553 incidentes em 16 países, incluindo o Brasil. Na análise feita por país/região, o Brasil está na 16ª posição com o custo médio por incidente no valor de 1,22 milhões de dólares.

Vamos para um exemplo real e prático? Uma grande multinacional brasileira do ramo alimentício sofreu um ciberataque em 2021 e teve que pagar o segundo maior resgate em bitcoin da história, desembolsando 11 milhões de dólares para que os hackers liberassem o acesso ao sistema [3].

Além desses custos diretos, existem outros possíveis impactos decorrentes da potencial perda de receita. Para além da interrupção das vendas, é preciso considerar a possibilidade de existirem litígios processos administrativos. Além disso, há o risco reputacional, pois seus clientes podem entender que seu negócio não fornece a confiança necessária. Nesses casos, pode ser que contratos sejam rescindidos, e clientes em potencial desistam de fechar negócio com você.

É por todas essas razões que ter uma Equipe de Resposta pronta para atuar e com os papéis definidos é algo que deve ser implementado em seu negócio.

E o que é essa Equipe?

Pelo que falamos até agora, e pelo nome, você já pode ter uma ideia. A Equipe de Resposta é, normalmente, o grupo de pessoas que será responsável por atuar em casos de incidentes de segurança da informação. Esses incidentes em geral envolvem dados pessoais, mas também podem envolver informações confidenciais, tais como segredos industriais e sigilos comerciais da sua empresa. Definir qual tipo de incidente já é, por si só, um trabalho importante da Equipe de Respostas a Incidentes.

Para um tratamento eficaz, é importante executar as tarefas de forma assertiva e rápida. Dessa forma, quando você possui uma equipe preparada para executar suas funções, há uma economia de tempo nos próximos passos. E você pode extrair o que há de melhor na sua empresa para montar sua Equipe de Respostas.

Por exemplo, o Marketing já sabe a melhor forma de se comunicar com seus clientes por meio das redes sociais. O Recursos Humanos (RH) já tem uma relação com os seus colaboradores e pode atuar em comunicações internas, se necessário. A Tecnologia da Informação (TI), por sua vez, possui expertise técnica, e pode atuar de forma eficaz no combate à causa do incidente, além de conseguir extrair as informações necessárias para que sejam estabelecidos os próximos passos.

Para além desses setores, é altamente recomendável que a Alta Direção participe, pois decisões estratégicas que impactam os negócios deverão tomadas, sendo necessário que alguém com poder diretivo possa aprová-las.

Ainda, é necessário que seus advogados estejam envolvidos, para análise de impactos regulatórios, obrigações contratuais, e de aprovação de comunicados para o público externo, se for necessário.

Por último, mas não menos importante: a participação do seu Encarregado pelo Tratamento de Dados Pessoais. Essa figura é muito importante, pois, como já tratamos outro artigo [4], ele é o responsável por atuar como canal de comunicação entre os agentes de tratamento, os titulares e a Autoridade Nacional de Proteção de Dados (ANPD). Além disso, ele possui os conhecimentos necessários sobre as normas de proteção de dados aplicáveis e pode orientar os demais setores nesse sentido. Por exemplo, indicando ao TI quais evidências devem ser coletadas, colaborando com o jurídico na elaboração de cláusulas contratuais específicas de proteção de dados, ou indicando ao Marketing e ao RH o que deve ser comunicado para o público.

Vamos colocar em números. Qual o benefício da Equipe de Resposta?

O mesmo relatório que citamos anteriormente, o Cost of a Data Breach Report 2023, indica que a nomeação de uma Equipe de Resposta pode reduzir o tempo de identificação e contenção de um incidente em uma média de 18 dias. Se, juntamente com a Equipe de Respostas, sua empresa possuir um plano de resposta a incidentes definido e testado, a redução deste tempo pode chegar a até 54 dias. Ou seja, sua empresa terá que lidar por quase dois meses a menos com este incidente, uma economia de tempo, dinheiro, e recursos humanos e administrativos.

Para além do custo potencial decorrente da operação parada, o IBM Security indica que a nomeação de uma Equipe de Resposta pode reduzir o custo do incidente em uma média de 221.794 dólares. Ainda, indica que a existência desse plano de resposta definido e testado pode também reduzir o custo em uma média de 232.008 dólares. Assim, essas duas medidas podem levar a uma redução de cerca de 450 mil dólares [5].

Nesse mundo tecnológico, a questão não está mais em “se o incidente acontecer”, mas “quando o incidente vai ocorrer”. Por isso, o mais importante é se preparar da melhor forma possível para ser assertivo e eficaz no tratamento do ocorrido, a fim de permitir que seu negócio sofra o mínimo de consequências por conta do incidente.

 

[1] https://dcom.law/pb/voce-sabe-como-reconhecer-e-o-que-fazer-em-caso-de-incidente-de-seguranca-da-informacao/ | https://www.linkedin.com/pulse/voc%2525C3%2525AA-sabe-como-reconhecer-e-o-que-fazer-em-caso-de-incidente%3FtrackingId=gTBuoQjjedI%252FbaPLrtjKuA%253D%253D/?trackingId=gTBuoQjjedI%2FbaPLrtjKuA%3D%3D

[2] Fonte: https://www.ibm.com/reports/data-breach

[3] Fonte: https://www.infomoney.com.br/mercados/jbs-pagou-segundo-maior-resgate-com-bitcoin-da-historia-apos-ataque-hacker-mostra-relatorio/

[4] https://dcom.law/pb/encarregado-de-dados-pessoais-a-sua-empresa-precisa-de-um/ | https://www.linkedin.com/pulse/encarregado-pelo-tratamento-de-dados-pessoais-sua-empresa-precisa%3FtrackingId=qH0jA21YP4cvrLY3rr19ZA%253D%253D/?trackingId=qH0jA21YP4cvrLY3rr19ZA%3D%3D

[5] Tais valores foram calculados considerando a média geral de custo de um incidente no valor de 4,45 milhões de dólares.