Mais de 30% das Empresas Ainda Não Estão Prontas Para Responder A Incidentes Que Envolvam Dados Pessoais Seguranca Cibernetica

or to bookmark this page

Click here to bookmark this page

Click here to remove bookmark

Mais de 30% das Empresas Ainda Não Estão Prontas Para Responder A Incidentes Que Envolvam Dados Pessoais

Pesquisa realizada pela Kroll mostra que companhias ainda não estão prontas para cumprir as novas regras da LGPD e que poucas contam com um processo interno bem estruturado em caso de incidentes.

O novo cenário criado após a Lei Geral de Proteção de Dados (LGPD), em vigor desde setembro de 2020, e o crescimento dos ataques cibernéticos a corporações e instituições, agravado pela adesão massiva ao home office, estão preocupando os gestores brasileiros. Todos os esforços de compliance são vistos como oportunidades para que as organizações possam aperfeiçoar suas práticas, processos e estruturas de governança. Porém, nem todos estão preparados.

Segundo dados da pesquisa da Kroll, realizada durante um webinar onde tive a oportunidade de estar ao lado de Rob Zegarra, cyber advisor da Axis Capital, e Derrick Mackenzie, head GTS da Crawford & Company, a grande maioria das empresas está em processo de adequação à LGPD. 

Mais de dois terços (68%) responderam que suas empresas deverão estar prontas antes do prazo das sanções, em agosto de 2021 (8% não iniciaram o processo e 3% começaram, mas não concluirão até esse prazo). Menos de um quarto (22%) respondeu que “já está tudo pronto”.

A enquete foi para representantes de 80 companhias de diversos portes e com profissionais com experiência em governança, privacidade, proteção de dados e cyber insurance e nota-se que é fundamental saber como o modelo de negócio da companhia pode se adaptar rapidamente a este novo cenário. 

Quais as soluções disponíveis? Qual o tamanho dos investimentos? Como prevenir um incidente e promover a adequação às novas regras? Quais as oportunidades de otimização? Sua empresa sabe exatamente o que fazer se houver um incidente de segurança envolvendo dados pessoais?

Cerca de um terço declarou que não (17%) ou não soube informar (13%), enquanto 40% afirmaram ter dado passos nessa direção, considerando que, neste recorte, 17% se referiram a “alguns processos informais em vigência” e 23% responderam que “existe um processo, mas as pessoas não estão treinadas”. Apenas 30% disseram que há um processo bem estruturado na empresa.

Durante o encontro ainda provocamos: “Face à LGPD, sua empresa pretende fazer um exercício de crise contemplando vazamento de dados pessoais?”. As respostas foram “Não sei” (42%), “Sim, em curto prazo” (21%), “Sim, em médio prazo” (34%), e “Sim, em longo prazo” (3%).

Estar preparado para imprevistos é algo que precisa ser incorporado à cultura da empresa. O universo corporativo se divide em dois grupos. Um apresenta maturidade no processo de proteção de dados; o outro, em geral formado por pequenas e médias empresas, não começou e está preocupado com os prazos.

Um incidente de segurança que acarrete risco ou dano relevante aos donos dos dados resultará em consequências para o controlador, que terá que responder com base no artigo 48 da Lei. 

A comunicação do incidente – a ser feita num prazo razoável, que deverá ser definido nos próximos meses – terá que mencionar pontos como a descrição da natureza dos dados pessoais afetados; as informações sobre os titulares envolvidos; a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial; os riscos relacionados ao incidente; os motivos da demora - no caso de a comunicação não ter sido imediata -; e as medidas que foram e que serão adotadas para reverter ou mitigar os efeitos do prejuízo. 

No caso de um sinistro cibernético, como roubo de informações e a encriptação de dados (ex: ransomware) que podem causar o caos dentro de uma organização, as primeiras horas após o incidente são as mais importantes, por permitirem preservar evidências que podem reduzir danos e auxiliar a investigação. 

As comunicações a clientes e reguladores devem ser estruturadas previamente por meio de processos, sempre presando pela transparência, comunicação assertiva e tempestividade, além de respeitar as práticas de resposta à incidentes e gestão de crises.

Também é relevante solicitar aos clientes que rapidamente entrem em contato com seus advogados de privacidade e eles estejam involvidos na contratação de uma empresa que vai investigar o incidente e conduzir analize forense digital. Dependendo do que os analistas descubram, o advogado pode orientar a empresa no processo de notificação ao publico e as agencias governamentais.
Risco zero não existe. Mas controlá-lo, com ajuda de especialistas em gerenciamento de risco cibernético e a contratação de uma seguradora com quem possa dividir os riscos, vai ajudar muito a volta à rotina.

Walmir Freitas é associate managing director da Kroll e líder da prática de segurança cibernética no Brasil.

Serviços Relacionados

Segurança Cibernética

Consultoria em segurança cibernética, de avaliações de risco das informações a testes de penetração.

Segurança Cibernética

Preparação e Prevenção

Auxílio na elaboração de estratégias de proteção de dados, avaliação de políticas e procedimentos.

Preparação e Prevenção

Investigação e Resposta

Expertise em investigação de riscos cibernéticos, por meio de variadas estratégias investigativas.

Investigação e Resposta

Compliance

Implementação de políticas e controles, monitoramento de riscos e prevenção à lavagem de dinheiro.

Compliance

Investigações

Excelência em investigações de fraude, desvios de conduta e disputas.

Investigações

Publicações

Global de Fraude

Relatório Global de Fraude e Risco Kroll 2021

Global de Fraude
Seguranca Cibernetica

Casos De Ransomware Triplicam Na Pandemia E Avanço No Combate Aos Ataques Digitais Torna-se Cada Vez Mais Essencial

Seguranca Cibernetica
Segurança Cibernética

10 Dicas Fundamentais de Segurança Cibernética Para Trabalhar de Casa

Segurança Cibernética

Relatório Da Kroll Destaca Ameaças Cibernéticas E Riscos De Corrupção Como Principais Preocupações Das Empresas Brasileiras

Golpes Em Aplicativos De Relacionamento Continuam a Fazer Vítimas

Kroll Debate Os 20 Anos Contra a Lavagem De Dinheiro Em Grupo De Discussão Da Revista Capital Aberto

Kroll É Reconhecida Em 5 Categorias Da Pesquisa Corporate Counsel Best of 2018 Reader Choice Report

Crimes Cibernéticos Ameaçam Empresas Brasileiras Com Prejuízos Milionários