Ciberataques: o desafio de gerenciar riscos nos terceirizados

Patricia Peck, PhD e especialista em Direito Digital, destaca como um incidente em empresas de contact center serve de alerta sobre respostas rápidas e compartilhamento de responsabilidades entre Controlador e Operador de dados pessoais

Compartilhar:

Logo após ter anunciado publicamente que foi alvo de um ciberataque que afetou seus sistemas, a Atento S.A. interrompeu as conexões com os clientes a fim de prevenir novos riscos. O incidente com a empresa fornecedora do mercado de contact center serve de alerta sobre como respostas rápidas são fundamentais em casos de invasão, sequestro ou vazamento de dados envolvendo um terceirizado (Operador).

 

O caso da Atento refletiu um efeito cascata na área de atendimento, pois vários clientes da Atento desligaram as redes para evitar que o ataque se espalhasse. Além disso, especialistas destacam a importância de se ter um Manual de Gestão de Riscos no Terceirizado e um Protocolo de Resposta a Incidentes de Dados (padrão LGPD) implementados, testado e treinado.

 

De acordo com Patricia Peck, PhD, especialista em Direito Digital, Sócia Fundadora do Peck Advogados e Conselheira Titular do Conselho Nacional de Proteção de Dados (CNPD), o mercado ainda está no processo de conformidade à LGPD. Portanto, uma das etapas fundamentais está em andamento, que é a gestão de risco por contratos com a implementação do clausulado de proteção de dados bem como também de cultura, com conscientização das equipes.

 

“Por certo, ainda falta mais alinhamento entre Controlador e Operador para que fique bem estabelecido o plano de ação com as medidas que devem ser aplicadas em situações que envolvam incidentes de dados pessoais, com determinação dos responsáveis, prazos e providências”, esclarece Patricia.

 

A especialista destaca também a dúvidas do mercado em relação ao artigo 48 da LGPD e sobre a responsabilidade de Operador e Controlador informarem o fato ocorrido à ANPD. É preciso entender qual matriz de riscos (análise quantitativa e qualitativa da base de dados pessoais afetada, perfil de titulares, perfil de controladores e medidas de segurança) aplicar para análise de relevância do incidente que determine a necessidade de aplicação do dever de report trazido pelo artigo 48.

 

“O principal ponto de partida é conseguir enquadrar que houve violação de segurança que tenha de fato gerado uma das três hipóteses: perda, exposição e/ou uso indevido/ilícito de dados pessoais. Logo, pode acontecer de a empresa sofrer um sequestro de dados sem que configure nenhuma destas situações”, pontua Patricia.

 

Se for identificado de que houve a exposição (vazamento efetivo) pelo operador (no caso o terceirizado) com risco evidente ou dano relevante, a especialista entende que sim, tanto Operador quanto Controlador deverão cumprir com o dever de report.

 

Gerenciar o risco no terceiro

 

Em termos de melhores práticas, Patricia Peck destaca dois pontos importantes no gerenciamento de risco nos terceirizados para que um caso como a Atento não se repita. Primeiro, estabelecer claramente que ter cláusulas contratuais de proteção de dados pessoais passaram a ser item essenciais para gestão de risco. Muitos ainda não fizeram essa atualização ou possuem alguma resistência, destaca a especialista. Lembrando que não é apenas assinar acordo de confidencialidade (NDA). Esse tipo de cláusula traz quais serão as medidas de segurança que devem ser aplicadas (preventivo), mas também qual o procedimento em caso de incidente (dever de resposta, colaboração, prazos, responsabilização).

 

O segundo ponto destacado é ajustar o clausulado pelo perfil do terceiro, mapeando quem são os fornecedores mais críticos e nestes casos incluindo também a possibilidade de auditoria pelo Controlador. Como melhor prática, também é enviado um questionário adaptado conforme o porte e criticidade do fornecedor para que seja respondido por ele, incluindo uma análise de risco e conformidade à LGPD com preenchimento e assinatura do terceirizado, tornando-o assim parte integrante do processo de cadastro e contratação. Ali há um levantamento de perfil, itens de segurança e o compromisso no cumprimento com a legislação.

 

“Como estamos neste momento de início de vigência de uma nova lei, é muito importante a proximidade e a parceria entre Controlador e Operador, ou seja, as empresas dentro de um ecossistema de negócios devem colaborar pela conformidade de todos, pois não adianta estar bem resolvido dentro de casa e todos os que estão no seu perímetro ampliado com quem a empresa realiza negócios e compartilha dados não estarem em um patamar mínimo de conformidade e segurança pois traz risco para todos e a responsabilidade prevista na LGPD é solidária pelo artigo 42. Ou seja, no fim do dia, é um modelo de risco distribuído, todos precisam fazer o dever de casa”, conclui Patricia Peck.

 

Trabalho em equipe

 

A atualização dos contratos entre fornecedor e operador é indispensável, a partir de cláusulas de proteção de dados pessoais, bem como a definição clara de um SLA de resposta a incidentes para tratar a ocorrência de maneira a organizar o fluxo de informação e capacitar a tomada de decisão. Patrícia Peck recomenda ainda ter um protocolo de respostas a incidentes que auxilia na condução das atividades e evita agir com imprudência e sem orientação.

 

Os Controladores precisam agir com eficiência, sem se precipitar, e lembrar das seguintes providências:

 

1. Obter junto ao terceirizado as informações mais detalhadas possíveis para averiguar se houve violação de dados pessoais que envolva perda, exposição e/ou acesso não autorizado por terceiros.

 

2. Reunir quais medidas já foram tomadas para neutralização do evento e mitigação de eventuais danos.

 

3. Solicitar ao terceirizado as evidências sobre o restabelecimento do grau de segurança do ambiente, para permitir a continuidade da prestação de serviço ou, diante da insatisfação com a tratativa, analisar se vai ser necessário, pela perda de confiabilidade, a troca de fornecedor.

 

4. A partir das informações coletadas, alinhar com o fornecedor se é o caso de aplicar o dever de report do artigo 48 da LGPD. Para isso, é necessário ter elementos suficientes que justifiquem, em uma matriz de análise de gravidade quantitativa e qualitativa, que teve risco ou dano relevante para os titulares. Então, caberá ao Controlador também reportar à Autoridade Nacional de Proteção de Dados (ANPD) o incidente. Importante destacar que isso só deve acontecer se as duas partes estiverem alinhadas quanto a decisão.

 

 

Conteúdos Relacionados

Security Report | Destaques

Gartner afirma que IA deverá reduzir gap de talentos em Cyber até 2028

A consultoria apresentou hoje sua lista de previsões para a Segurança da Informação nos próximos anos, e segundo ela, a...
Security Report | Destaques

Black Friday 2024: Governo e sociedade civil se mobilizam para proteger usuário de fraudes

Estudos recentes indicam que a data de promoções deste ano deverá atingir um novo recorde de transações, o que pode...
Security Report | Destaques

Ciberataque paralisa prefeitura de Uruguaiana

O poder executivo da cidade gaúcha teve diversos arquivos internos sequestrados por criptografia na última segunda-feira e, desde então, segue...
Security Report | Destaques

Segurança na IA, da IA e para IA: as vertentes dessa tendência para 2025

Durante o Security Leaders Porto Alegre, Líderes do Banrisul, AESC | Hospital Mãe de Deus e UnidaSul Distribuidora Alimentícia destacam...