Antes de entender sobre as medidas mitigadoras para reduzir os prejuízos causados por um vazamento de dados e os encargos da Lei Geral de Proteção de Dados Pessoais, faz-se necessária a interpretação de quais são os prejuízos possíveis em um evento com este!
Este informativo é baseado no relatório de Segurança Cibernética da IBM Security de 2020 e na Lei nº 13.709/2018 (LGPD). O Relatório da IBM completa 9 anos de acompanhamento de ataques e prejuízos ocorridos no Brasil, proporcionando uma visão mais específica e recortada da nossa realidade.
Os prejuízos possíveis em um vazamento de dados:
Após um vazamento de dados, o relatório de Segurança Cibernética aponta quatro etapas que preveem custos necessários para as medidas cabíveis de gerenciamento de crise. Em seguida, conheça um pouco mais sobre estas etapas, e o percentual médio correspondente do valor total do custo por evento.
Detecção e encaminhamento – 28,8% do valor médio por vazamento:
Estes custos são relacionados aos processos internos necessários para identificar a origem do vazamento de dados, tratando de etapas como a investigação, bem como, auditoria, serviços de avaliação, projetos de gerenciamento de crises.
Notificações – 6,2% do valor médio por vazamento:
Custos que envolvem a comunicação aos titulares dos dados que tiveram o sigilo e/ou privacidade violada, à autoridade de proteção de dados pessoais e a outros terceiros envolvidos no vazamento.
Perda de Negócios – 39,4% do valor médio por vazamento:
Além disso, o vazamento em si, após a comunicação aos titulares e à ANPD, percebe-se a perda de clientes, de negócios em andamento, e um prejuízo considerável na reputação da marca perante seus clientes e mercado-alvo.
Resposta pós-incidente – 25,6% do valor médio por vazamento:
É importante o entendimento de que o “dono” do dado é a pessoa natural identificada, como citado em lei. Então, todos os eventuais prejuízos causados a esta pessoa deverão ser assistidos pela organização que permitiu que as informações fossem expostas. Ademais, esses custos poderão ser cobrados de maneira legal pelo titular.
Iniciando a análise por esses quatro pilares, observamos um custo médio por vazamento de US$ 1.120.000,00 (dólares). Neste momento, você pode estar pensando que estes dados se referem a empresas grandes e com alto poder aquisitivo, certo? Contudo, o estudo limita-se a entre 3.400 e 99.730 registros comprometidos, incluindo leads, pacientes, clientes, colaboradores e outros. Você possui quantos registros na sua base hoje?
A área da saúde é a que mais sofre em um vazamento de dados, confira informações aqui.
Prejuízos previstos em lei
Além dos prejuízos citados, na legislação de proteção de dados pessoais, em vigor, ainda prevemos outros custos decorrentes do vazamento de dados. O mais citado é o valor de R$ 50.000.000,00 (reais). Este valor refere-se a 2% do seu faturamento do último ano fiscal, e não à quantidade de registros comprometidos. Faça sua projeção aqui.
Além disso, estes custos, ainda em lei, a empresa pode sofrer outras sanções empregadas pela Autoridade Nacional de Proteção de Dados, tais como:
– Advertência estipulando prazo para ajustes de processos para que a empresa esteja dentro do padrão indicado pela lei.
– Aplicação de multas diárias até o teto de R$ 50 Milhões.
– Bloqueio de operações empresariais referentes aos dados irregulares.
– Exclusão total dos dados irregulares encontrados em sua empresa.
– Suspensão parcial do funcionamento do banco de dados denunciado em 6 meses, podendo se estender por igual período até regularização.
– Suspensão das atividades de tratamento de dados por 6 meses, podendo se estender por igual período até regularização.
– Proibição parcial ou total das atividades relacionadas a tratamento de dados.
Como mitigar estes prejuízos?
A segurança de dados é um assunto discutido há muito tempo e não existe uma solução 100% segura para proteção total dos dados. Ademais, especialistas em segurança de dados alertam que, para reduzir ao máximo a possibilidade de vazamentos, é necessário criar várias camadas de proteção em todos os ambientes da estrutura da empresa. Portanto, essa orientação faz com que as áreas técnica e jurídica colaborem cada vez mais.
A grande questão não é SE sua empresa sofrerá um ataque, e sim QUANDO. Assim, com a crescente de modelos, métodos e tecnologia para atacantes, torna-se cada vez mais difícil que uma empresa, seja ela pequena, média ou grande, não sofra nenhum tipo de ataque durante suas operações.
Partindo do princípio legal do accountability, o primeiro passo é entender o processo e a cadeia dos dados dentro da sua organização e depois iniciar os processos de segurança, principalmente nos pontos críticos. Portanto, nem sempre essas ações geram custos efetivos para a empresa; em alguns casos, a revisão de processos e diretrizes de segurança e privacidade já vão ajudar bastante. Além disso, lembre-se: tudo deve ser documentado.
Cuidados com as aplicações web e mobile
Você deve ter cuidados com as aplicações web e mobile usadas pela empresa, assim como com sua rede, para evitar que as configurações sejam uma porta de entrada para hackers. Para solucionar este problema, o mais indicado é a execução de um teste de vulnerabilidades, também conhecido como Pentest.
Este teste permite a identificação de vulnerabilidades presentes nas aplicações web, mobile e redes, além de informar a melhor forma para a correção das mesmas, promovendo mais segurança e uma camada mais robusta contra invasões.
Todas as ações realizadas para mitigar as possibilidades de um vazamento de dados devem ser bem documentadas. Ademais, desenvolver e provar o que você efetivamente fez e está fazendo para proteger os dados é de extrema importância para mitigar os prejuízos na sua organização, tanto com relação ao percentual aplicado da multa, quanto com relação às ações de mitigação e análises forenses de um possível ataque.
A Resh possui seus produtos pautados em mitigar os prejuízos de eventos maliciosos relacionados à dados pessoais. Tais produtos são tecnicamente refinados e juridicamente embasados para permitir o melhor nível de segurança possível para que a sua empresa ganhe valor reputacional, mercadológico e vantagem competitiva.
Quer saber mais como podemos ajudar a sua empresa? clique aqui.