Ciberataques: o desafio de gerenciar riscos nos terceirizados

Patricia Peck, PhD e especialista em Direito Digital, destaca como um incidente em empresas de contact center serve de alerta sobre respostas rápidas e compartilhamento de responsabilidades entre Controlador e Operador de dados pessoais

Compartilhar:

Logo após ter anunciado publicamente que foi alvo de um ciberataque que afetou seus sistemas, a Atento S.A. interrompeu as conexões com os clientes a fim de prevenir novos riscos. O incidente com a empresa fornecedora do mercado de contact center serve de alerta sobre como respostas rápidas são fundamentais em casos de invasão, sequestro ou vazamento de dados envolvendo um terceirizado (Operador).

 

O caso da Atento refletiu um efeito cascata na área de atendimento, pois vários clientes da Atento desligaram as redes para evitar que o ataque se espalhasse. Além disso, especialistas destacam a importância de se ter um Manual de Gestão de Riscos no Terceirizado e um Protocolo de Resposta a Incidentes de Dados (padrão LGPD) implementados, testado e treinado.

 

De acordo com Patricia Peck, PhD, especialista em Direito Digital, Sócia Fundadora do Peck Advogados e Conselheira Titular do Conselho Nacional de Proteção de Dados (CNPD), o mercado ainda está no processo de conformidade à LGPD. Portanto, uma das etapas fundamentais está em andamento, que é a gestão de risco por contratos com a implementação do clausulado de proteção de dados bem como também de cultura, com conscientização das equipes.

 

“Por certo, ainda falta mais alinhamento entre Controlador e Operador para que fique bem estabelecido o plano de ação com as medidas que devem ser aplicadas em situações que envolvam incidentes de dados pessoais, com determinação dos responsáveis, prazos e providências”, esclarece Patricia.

 

A especialista destaca também a dúvidas do mercado em relação ao artigo 48 da LGPD e sobre a responsabilidade de Operador e Controlador informarem o fato ocorrido à ANPD. É preciso entender qual matriz de riscos (análise quantitativa e qualitativa da base de dados pessoais afetada, perfil de titulares, perfil de controladores e medidas de segurança) aplicar para análise de relevância do incidente que determine a necessidade de aplicação do dever de report trazido pelo artigo 48.

 

“O principal ponto de partida é conseguir enquadrar que houve violação de segurança que tenha de fato gerado uma das três hipóteses: perda, exposição e/ou uso indevido/ilícito de dados pessoais. Logo, pode acontecer de a empresa sofrer um sequestro de dados sem que configure nenhuma destas situações”, pontua Patricia.

 

Se for identificado de que houve a exposição (vazamento efetivo) pelo operador (no caso o terceirizado) com risco evidente ou dano relevante, a especialista entende que sim, tanto Operador quanto Controlador deverão cumprir com o dever de report.

 

Gerenciar o risco no terceiro

 

Em termos de melhores práticas, Patricia Peck destaca dois pontos importantes no gerenciamento de risco nos terceirizados para que um caso como a Atento não se repita. Primeiro, estabelecer claramente que ter cláusulas contratuais de proteção de dados pessoais passaram a ser item essenciais para gestão de risco. Muitos ainda não fizeram essa atualização ou possuem alguma resistência, destaca a especialista. Lembrando que não é apenas assinar acordo de confidencialidade (NDA). Esse tipo de cláusula traz quais serão as medidas de segurança que devem ser aplicadas (preventivo), mas também qual o procedimento em caso de incidente (dever de resposta, colaboração, prazos, responsabilização).

 

O segundo ponto destacado é ajustar o clausulado pelo perfil do terceiro, mapeando quem são os fornecedores mais críticos e nestes casos incluindo também a possibilidade de auditoria pelo Controlador. Como melhor prática, também é enviado um questionário adaptado conforme o porte e criticidade do fornecedor para que seja respondido por ele, incluindo uma análise de risco e conformidade à LGPD com preenchimento e assinatura do terceirizado, tornando-o assim parte integrante do processo de cadastro e contratação. Ali há um levantamento de perfil, itens de segurança e o compromisso no cumprimento com a legislação.

 

“Como estamos neste momento de início de vigência de uma nova lei, é muito importante a proximidade e a parceria entre Controlador e Operador, ou seja, as empresas dentro de um ecossistema de negócios devem colaborar pela conformidade de todos, pois não adianta estar bem resolvido dentro de casa e todos os que estão no seu perímetro ampliado com quem a empresa realiza negócios e compartilha dados não estarem em um patamar mínimo de conformidade e segurança pois traz risco para todos e a responsabilidade prevista na LGPD é solidária pelo artigo 42. Ou seja, no fim do dia, é um modelo de risco distribuído, todos precisam fazer o dever de casa”, conclui Patricia Peck.

 

Trabalho em equipe

 

A atualização dos contratos entre fornecedor e operador é indispensável, a partir de cláusulas de proteção de dados pessoais, bem como a definição clara de um SLA de resposta a incidentes para tratar a ocorrência de maneira a organizar o fluxo de informação e capacitar a tomada de decisão. Patrícia Peck recomenda ainda ter um protocolo de respostas a incidentes que auxilia na condução das atividades e evita agir com imprudência e sem orientação.

 

Os Controladores precisam agir com eficiência, sem se precipitar, e lembrar das seguintes providências:

 

1. Obter junto ao terceirizado as informações mais detalhadas possíveis para averiguar se houve violação de dados pessoais que envolva perda, exposição e/ou acesso não autorizado por terceiros.

 

2. Reunir quais medidas já foram tomadas para neutralização do evento e mitigação de eventuais danos.

 

3. Solicitar ao terceirizado as evidências sobre o restabelecimento do grau de segurança do ambiente, para permitir a continuidade da prestação de serviço ou, diante da insatisfação com a tratativa, analisar se vai ser necessário, pela perda de confiabilidade, a troca de fornecedor.

 

4. A partir das informações coletadas, alinhar com o fornecedor se é o caso de aplicar o dever de report do artigo 48 da LGPD. Para isso, é necessário ter elementos suficientes que justifiquem, em uma matriz de análise de gravidade quantitativa e qualitativa, que teve risco ou dano relevante para os titulares. Então, caberá ao Controlador também reportar à Autoridade Nacional de Proteção de Dados (ANPD) o incidente. Importante destacar que isso só deve acontecer se as duas partes estiverem alinhadas quanto a decisão.

 

 

Conteúdos Relacionados

Security Report | Destaques

Sistema de Informações do Ministério da Gestão sofre ataque cibernético

O Sistema Eletrônico de informações é responsável por gerir documentos e processos digitalizados, visando promover a eficiência administrativa. Em nota,...
Security Report | Destaques

Polícia Federal abre operação contra ciberataque e fraude na Caixa

Incidente ocorreu em 2020, quando 150 contas bancárias titularizadas de 40 prefeituras pelo país tiveram transações irregulares. Em nota, a...
Security Report | Destaques

Ataque DDoS foi movido por grupo hacktivista, confirma Universidade do Amapá

Incidente ocorrido esta semana havia paralisado as operações digitais da instituição por meio de aumento do tráfego malicioso. Em nota,...
Security Report | Destaques

Bug no controle de falhas possibilitou atualização ruim do Falcon, diz relatório

Em reporte preliminar pós-incidente divulgado hoje (24), a companhia ofereceu mais detalhes do que possibilitou o incidente que paralisou diversos...