Medidas não óbvias envolvendo o gerenciamento de Incidentes de Segurança

Por Diogo Dias Teixeira

O aumento da frequência e da sofisticação dos incidentes de segurança tem exigido das empresas uma postura mais cautelosa e detalhada na resposta a esses eventos. Embora medidas gerais como a contenção imediata, análise de causa e notificação aos titulares de dados sejam conhecidas, existem práticas menos convencionais, mas igualmente relevantes, que merecem atenção especial. Este artigo aborda algumas dessas medidas que devem ser observadas para mitigar os impactos de incidentes de segurança. 

Publicação de Fato Relevante  

Para empresas de capital aberto, incidentes de segurança que possam impactar significativamente o valor de mercado exigem a publicação de um "fato relevante". A CVM determina que eventos com possível efeito financeiro e reputacional sejam informados ao mercado, garantindo transparência e igualdade informacional para os investidores. O comunicado oportuno protege a empresa de sanções e reforça a confiança dos acionistas, sendo fundamental que se avalie o momento adequado para divulgá-lo. 

Obrigações regulatórias  

Incidentes que envolvem empresas de setores regulados, como financeiro, saúde e tecnologia, podem desencadear obrigações específicas de comunicação a órgãos competentes. No setor financeiro, por exemplo, a CVM exige que incidentes que comprometam a integridade de ativos ou informações de investidores sejam reportados. A comunicação adequada é essencial para preservar a segurança jurídica e evitar sanções. 

Análise dos contratos com clientes, parceiros e fornecedores 

A revisão de contratos com clientes, parceiros e fornecedores é fundamental em caso de incidentes. Cláusulas de segurança da informação e confidencialidade podem estipular prazos e exigências de notificação ou mesmo disparar outras obrigações. A ausência de observância dessas obrigações pode resultar em inadimplemento, penalidades, rescisões e até litígios. Cumprir essas disposições com transparência fortalece a relação da empresa com terceiros e demonstra seu compromisso com a segurança de dados. 

Conformidade com certificações 

Empresas certificadas, como pela ISO 27001, devem observar as exigências de resposta a incidentes e registrar ocorrências de forma sistemática. Essa norma prevê processos rigorosos de notificação e auditoria para assegurar a conformidade. Em casos de incidente, a empresa deve informar o organismo certificador, se necessário, para manter a certificação e a credibilidade no mercado. Esse cumprimento evita prejuízos reputacionais, preserva investimentos feitos no processo de certificação e garante a confiança dos clientes e parceiros. 

Preservação de provas e perícia forense 

Para empresas com apólices de seguro cibernético, a preservação de provas e a perícia forense são essenciais. As seguradoras frequentemente requerem documentação detalhada para validar sinistros e apurar valores de cobertura. A condução de perícias forenses identifica a origem e o impacto do incidente, garantindo o respaldo técnico necessário para o acionamento do seguro e proporcionando dados críticos para aprimorar a segurança e apoiar outras comunicações necessárias (e.g., um relatório técnico pode ser exigido no caso de comunicação do incidente à ANPD). 

Conclusão 

A resposta a incidentes de segurança exige uma abordagem cuidadosa e detalhada, indo além das práticas tradicionais. A publicação de fatos relevantes, a comunicação com órgãos reguladores específicos, o cumprimento de cláusulas contratuais e requisitos de certificação, e a preservação de provas compõem um conjunto de ações indispensáveis para assegurar a transparência e a conformidade. Ao seguir essas práticas, a empresa evita prejuízos e demonstra seu compromisso com a segurança e a responsabilidade, consolidando sua posição no mercado.