Artigo de Atílio Augusto Segantin Braga, diretor de Governança Institucional do Instituto Nacional de Proteção de Dados (INPD)
Publicado no Estadão
As pandemias não são usuais na interrupção nos negócios, a exemplo de vazamento de dados. É fato de que vazamentos de dados e segurança da informação ficarão mais evidentes nos últimos anos com as discussões e legislações que surgirão visando a proteção da privacidade e a regulamentação da coleta de dados pessoais.
Todavia, nos últimos meses nos defrontamos com uma situação inicialmente pontual na China que tomou proporções globais sem precedentes. E o presente artigo tem por objetivo convidar o leitor a realizar uma reflexão sobre o papel que um Sistema de Gerenciamento da Continuidade do Negócio possui, sob o olhar dos dois pontos mais atuais: pandemia e vazamento de dados.
Em 2018, na obra “A lógica do Cisne Negro”, Nassim Nicholas Taleb discorreu que os Cisnes Negros são eventos que causam grandes transformações cognitivas, sejam elas triviais ou enormes, como, por exemplo a destruição de um setor no mercado de ações ou uma crise política (ANTUNES,2017).
Recentemente, o Bank for International Settlements (BIS), conhecido como o “banco dos bancos centrais”, com sede na Suíça publicou o livro “The green swan” (O cisne verde), que em breve síntese pode ser resumido como eventos com potencial extremamente perturbadores do ponto de vista financeiro, cuja origem estaria vinculada a eventos climáticos extremos (BBC NEWS, 2020).
As obras mencionadas são apenas dois exemplos que demonstram a dificuldade de se fazer predições nos dias atuais e consequentemente de se realizar um gerenciamento de crise com dimensões inimagináveis.
Trazendo o olhar para o tema pandemia e vazamento de dados, ao longo de meses ou até mesmo dias, o negócio em que a empresa está inserida pode ser terrivelmente impactado exigindo um conjunto extra de atividades que incluem medidas previamente definidas e planejadas que esses eventos podem acarretar.
Essas situações exigem uma Gestão de Continuidade de Negócios que é definida como um processo abrangente de gestão que identifica ameaças potenciais para uma organização e os possíveis impactos nas operações de negócio caso estas ameaças se concretizem (ABNT NBR ISO 22301:2013).
Esse processo de identificação fornece uma estrutura para que se desenvolva uma resiliência organizacional que seja capaz de responder eficazmente e salvaguardar os interesses das partes interessadas.
Na pandemia, a consulta com epidemiologistas, identificação de funções críticas e avaliações de terceiros, são ações básicas a serem adotadas. Na mesma linha, quando o assunto é vazamento de dados, exige-se a estruturação de um plano envolvendo vários setores da organização e avaliações técnicas periódicas visando identificar fragilidades.
O principal ponto em comum encontra-se nos riscos de resiliência organizacional, já que em ambos os casos, o risco reputacional, estratégico são diretamente atingidos, sem excluir os demais que virão no efeito cascata que poderão comprometer a sustentabilidade do negócio.
Quando o assunto é vazamento de dados, a infraestrutura, treinamento, investimentos realizados e, principalmente, avaliação periódica da segurança da informação impactam diretamente nos riscos de segurança da informação.
Preparação para Pandemia versus Vazamento de Dados
Em se tratando de pandemia a primeira preocupação sob o olhar operacional é a falta de pessoal por períodos prolongados e sequências que podem impactar a operação da organização.
No que tange ao vazamento de dados, a quantidade e variedade de variáveis são bem maiores, pois podem incluir o sequestro e indisponibilidade de informações vitais e da mesma forma que a falta de pessoal, impedir o exercício das atividades cotidianas da organização.
A Gestão de Incidentes de Segurança da Informação
Para entender a analogia entre as ações necessárias na ocorrência de uma pandemia e a Gestão de Incidentes de Segurança da Informação é importante esclarecer que o objetivo deste último é assegurar um enfoque consistente e efetivo para gerenciar os incidentes de segurança da informação, incluindo a comunicação sobre fragilidade e eventos de segurança da informação.
Enquanto o termo pandemia é usado para descrever uma situação em que uma doença infecciosa ameaça muitas pessoas ao redor do mundo simultaneamente (BBC, 2020) e o objetivo das partes interessadas é exterminá-la, o fato é que ambos exigirão das organizações responsabilidades e procedimentos específicos.
Para tanto, normas específicas sobre o tema, como a ABNT NBR ISO 27002/2013, apresenta recomendações, como por exemplo: Estabelecimento de responsabilidade e procedimentos de gestão para assegurar respostas rápidas, efetivas e ordenadas aos incidentes de segurança da informação.
No caso dos Incidentes de Segurança da Informação (ABNT NBR ISO 27001:2013), a implementação de diretrizes para o gerenciamento de responsabilidade e procedimentos com relação à gestão de incidentes de segurança da informação possui um papel fundamental dentro do sistema.
A construção de um Sistema de Gestão de Incidentes de Segurança da Informação considera a realização de alguns procedimentos, como por exemplo: preparação e planejamento, monitoramento, detecção, análise e notificação de incidentes de segurança da informação.
Exige ainda registro das atividades de gerenciamento de incidentes e manuseio de evidências forenses e precisa ser capaz de realizar uma avaliação de tomada de decisões dos eventos e fragilidades de segurança da informação.
É fundamental que se tenha respostas, incluindo aquelas relativas à escalação, recuperação controlada de um incidente e comunicação às pessoas ou organizações, internas e externas.
Convém que os procedimentos estabelecidos assegurem que o pessoal competente trate as questões relativas aos incidentes de segurança dentro da organização, bem como estabeleça um ponto de contato para notificação e detecção de incidentes e que esteja implementado.
Recomenda-se ainda que contatos apropriados sejam mantidos com autoridades, grupos de interesses externos ou fóruns que tratem de questões relativas aos incidentes de segurança da informação.
Com relação às notificações, é importante ressaltar que devem incluir a preparação de formulários de evento de segurança da informação para apoiar ações de notificações e ajudar a pessoa que está notificando, de modo a funcionar como um verdadeiro check list de todas as ações necessárias no caso de um evento de segurança da informação.
Recomenda-se ainda que possua uma referência a um processo disciplinar formal estabelecido para tratar com funcionários que cometam violações de segurança da informação, já que deve prever a aplicação de penalidades para os responsáveis.
Deve funcionar como um processo de realimentação proporcionando elementos críticos para assegurar que aquelas pessoas que notificaram um evento de segurança da informação sejam informadas dos resultados após o assunto ter sido tratado e encerrado, de modo que continue estimulando o funcionamento dos canais de comunicação e atuando de forma mais preventiva possível.
Em resumo, o vazamento de dados exige da organização uma preparação para adoção de medidas previamente definidas ao menos de forma estrutural e coordenada, da mesma forma que uma organização que tenha uma cultura de gestão de riscos impregnada em suas rotinas é capaz de se adaptar com mais facilidades a fatores externos imprevisíveis, como a covid-19. Flexibilidade, ação e comunicação são palavras de ordem que podem contribuir em momentos conturbados.
Referências:
Associação Brasileira de Normas Técnicas. NBR 27701/2019: Informação e documentação: Referências. Rio de Janeiro, 2020.
Associação Brasileira de Normas Técnicas.NBR 27002/2013: Informação e documentação: Referências. Rio de Janeiro, 2020.
O que é pandemia e o que muda com declaração da OMS sobre o novo coronavírus, BBC Brasil, 2020. Disponível em: https://www.bbc.com/portuguese/geral-51363153 - Acesso em: 19, mar. 2020.
Resumo do livro: A lógica do Cisne Negro, de Nassim Nicholas Taleb. 2017. Disponível em https://webinsider.com.br/a-logica-do-cisne-negro - Acesso em 19, mar. 2020.
O que é o ´cisne verde´, que pode causar a próxima crise financeira mundial. Barria, Cecília. BBC News. 12.02.2020. Disponível em: economia.uol.com.br/noticias/bbc/2020/02/12/o-que-e-o-cisne-verde-que-pode-causar-proxima-crise-financeira-mundial.htm - Acesso em 20, mar. 2020.