x

ARTIGO DE TECNOLOGIA

Os dados pessoais vazaram, e agora?

Neste artigo, entenda sobre o vazamento de dados e a importância da LGPD quanto a essa questão.

01/08/2022 13:30:01

4,3 mil acessos

  • compartilhe no facebook
  • compartilhe no twitter
  • compartilhe no linkedin
  • compartilhe no whatsapp

Os dados pessoais vazaram, e agora? Pexels

Muitas empresas ainda não buscaram profissionais para fazerem a adequação à Lei Geral de Proteção de Dados (LGPD) , mesmo a lei já estando em vigor desde 18 de setembro de 2020, ou seja, há quase dois anos.

Empresas de porte micro, pequeno e médio acham que eles jamais podem ser alvos de ataques, afinal de contas, quem vai querer invadir uma empresa pequena como a deles, não é mesmo?

De acordo com o artigo do Valor Econômico, de 29 de junho deste ano, no Brasil, os ataques hackers a pequenas e médias empresas cresceram 41% desde janeiro.

Esse fato é devido justamente à falta de proteção dos dados pessoais e a ausência de adequação à LGPD.

É muito mais fácil e menos oneroso ao meliante digital invadir uma empresa sem proteção do que empreender esforços para atacar as grandes e protegidas.

Caro contador, pense comigo. Os nossos dados estão espalhados tanto nas grandes empresas como nas pequenas, então é muito mais fácil e lucrativo atacar as empresas menores.

Além disso, muitas dessas pequenas empresas estão na cadeia produtiva das maiores, então invadindo a menor, elas têm portas abertas para invadir as maiores.

Mas, o que fazer, caso a empresa seja invadida?

Primeiro de tudo, é sempre manter um backup, isto é, cópia do arquivo original atualizado em ambiente físico e virtual diferente do local onde está o banco de dados original.

É incrível como a maioria das empresas não se preocupa com isso.

Segundo ponto, é caso haja um incidente para identificar o grau desse incidente.

Mas vamos dar um passo atrás e conceituar o que é um incidente com dados pessoais.

Ao contrário do que a maioria pensa, incidente com dados pessoais não é apenas um ataque cibernético. Incidente com dados pessoais é qualquer acesso indevido ao dado.

Para facilitar a compreensão trago um exemplo: considere que entra alguém no departamento de RH da empresa e as telas dos computadores estão acesas, repletas de dados pessoais e essa pessoa tem acesso aos dados. Isso já é um incidente de segurança com dados pessoais.

Mas, voltando ao assunto do artigo, caso haja um incidente a empresa deve identificar o grau do dano, ou seja, qual risco há para o titular desse acesso indevido.

Perguntas a se fazer: 

  • Os dados foram acessados indevidamente dentro da empresa?
  • Os dados foram acessados indevidamente de fora da empresa?
  • Houve compartilhamento na deepweb?
  • Houve pedido de resgate?

Alguns protocolos pós incidente podem ser tomados para mitigar, ou seja, diminuir os danos tanto à reputação da empresa, quanto aos titulares que tiveram seus dados vazados.

  1. Identificar a extensão do vazamento;
  2. Identificar a quantidade de dados vazados;
  3. Identificar a natureza dos dados vazados, que podem ser sensíveis, comuns ou de crianças e adolescentes;
  4. Se o vazamento pode causar danos, avise imediatamente os titulares;
  5. Se for necessário peça para os titulares troquem as senhas de acesso;
  6. Informe a Autoridade Nacional de Proteção de Dados (ANPD);
  7. Inicie processos de restabelecimento do banco de dados com reinicialização dos sistemas via backup;
  8. Faça varredura no sistema para identificar a fonte geradora do incidente;
  9. Caso necessário, aumente as camadas de segurança do sistema;
  10.  Faça treinamentos constantes com os funcionários para que não cliquem em links que chegam por e-mail constantemente.

Um comportamento comum em empresas que sofrem ataques cibernéticos é negar.

Esse comportamento, além de não ser ético, em caso de instauração de processo administrativo sancionatório pode ser encarado como má-fé.

Então se a empresa de seu cliente sofrer um ataque cibernético, aconselhe ele a seguir o protocolo acima.

É bom ressaltar que, mesmo utilizando o protocolo acima, a empresa não está livre de sofrer processos administrativos e cíveis pelos danos causados aos titulares dos dados pessoais.

É importante informar, ainda, que há no mercado seguros contra ataques cibernéticos, procure um corretor de sua confiança.

O que você achou deste artigo? Comente aqui em baixo.

VER COMENTÁRIOS

O Portal Contábeis se isenta de quaisquer responsabilidades civis sobre eventuais discussões dos usuários ou visitantes deste site, nos termos da lei no 5.250/67 e artigos 927 e 931 ambos do novo código civil brasileiro.