Entenda sobre o vazamento de dados e a importância da LGPD quanto a essa questão.
Muitas empresas ainda não buscaram profissionais para fazerem a adequação à Lei Geral de Proteção de Dados (LGPD) , mesmo a lei já estando em vigor desde 18 de setembro de 2020, ou seja, há quase dois anos.
Empresas de porte micro, pequeno e médio acham que eles jamais podem ser alvos de ataques, afinal de contas, quem vai querer invadir uma empresa pequena como a deles, não é mesmo?
De acordo com o artigo do Valor Econômico, de 29 de junho deste ano, no Brasil, os ataques hackers a pequenas e médias empresas cresceram 41% desde janeiro.
Esse fato é devido justamente à falta de proteção dos dados pessoais e a ausência de adequação à LGPD.
É muito mais fácil e menos oneroso ao meliante digital invadir uma empresa sem proteção do que empreender esforços para atacar as grandes e protegidas.
Caro contador, pense comigo. Os nossos dados estão espalhados tanto nas grandes empresas como nas pequenas, então é muito mais fácil e lucrativo atacar as empresas menores.
Além disso, muitas dessas pequenas empresas estão na cadeia produtiva das maiores, então invadindo a menor, elas têm portas abertas para invadir as maiores.
Mas, o que fazer, caso a empresa seja invadida?
Primeiro de tudo, é sempre manter um backup, isto é, cópia do arquivo original atualizado em ambiente físico e virtual diferente do local onde está o banco de dados original.
É incrível como a maioria das empresas não se preocupa com isso.
Segundo ponto, é caso haja um incidente para identificar o grau desse incidente.
Mas vamos dar um passo atrás e conceituar o que é um incidente com dados pessoais.
Ao contrário do que a maioria pensa, incidente com dados pessoais não é apenas um ataque cibernético. Incidente com dados pessoais é qualquer acesso indevido ao dado.
Para facilitar a compreensão trago um exemplo: considere que entra alguém no departamento de RH da empresa e as telas dos computadores estão acesas, repletas de dados pessoais e essa pessoa tem acesso aos dados. Isso já é um incidente de segurança com dados pessoais.
Mas, voltando ao assunto do artigo, caso haja um incidente a empresa deve identificar o grau do dano, ou seja, qual risco há para o titular desse acesso indevido.
Perguntas a se fazer:
- Os dados foram acessados indevidamente dentro da empresa?
- Os dados foram acessados indevidamente de fora da empresa?
- Houve compartilhamento na deepweb?
- Houve pedido de resgate?
Alguns protocolos pós incidente podem ser tomados para mitigar, ou seja, diminuir os danos tanto à reputação da empresa, quanto aos titulares que tiveram seus dados vazados.
- Identificar a extensão do vazamento;
- Identificar a quantidade de dados vazados;
- Identificar a natureza dos dados vazados, que podem ser sensíveis, comuns ou de crianças e adolescentes;
- Se o vazamento pode causar danos, avise imediatamente os titulares;
- Se for necessário peça para os titulares troquem as senhas de acesso;
- Informe a Autoridade Nacional de Proteção de Dados (ANPD);
- Inicie processos de restabelecimento do banco de dados com reinicialização dos sistemas via backup;
- Faça varredura no sistema para identificar a fonte geradora do incidente;
- Caso necessário, aumente as camadas de segurança do sistema;
- Faça treinamentos constantes com os funcionários para que não cliquem em links que chegam por e-mail constantemente.
Um comportamento comum em empresas que sofrem ataques cibernéticos é negar.
Esse comportamento, além de não ser ético, em caso de instauração de processo administrativo sancionatório pode ser encarado como má-fé.
Então se a empresa de seu cliente sofrer um ataque cibernético, aconselhe ele a seguir o protocolo acima.
É bom ressaltar que, mesmo utilizando o protocolo acima, a empresa não está livre de sofrer processos administrativos e cíveis pelos danos causados aos titulares dos dados pessoais.
É importante informar, ainda, que há no mercado seguros contra ataques cibernéticos, procure um corretor de sua confiança.
FONTE: contabeis.com