Dicas do que não fazer diante de um vazamento de dados
Tecmundo
Uma situação de vazamento de dados é para a pessoa jurídica o que uma hemorragia é para a pessoa física. De fato, os dados são vitais para as organizações (assim como o sangue é para as pessoas): perdê-los, contaminá-los ou corrompê-los é crítico e, no pior dos cenários, pode apresentar ameaças de óbito.
Tanto na saúde como na segurança, a tônica é a prevenção: manter bons hábitos, passar por consultas com profissionais especializados e ter bons planos para situações de crise são medidas essenciais. Mas tudo isso é feito em momentos de paz. Quando surge a emergência, nem sempre sabemos como iremos reagir. É possível que soframos de paralisia ou que, afoitos, acabemos agindo de maneira a inflamar ainda mais o problema. Portanto, além de prevenir, é preciso saber como remediar ou, ao menos, como não agravar o quadro.
Eis abaixo algumas dicas do que não fazer em situações como essas.
Demorar a agir ou não dar a devida atenção à situação
Um incidente de segurança pode surgir inocente como uma pequena pinta que aparece do nada e, em pouquíssimo tempo, se torna grande e revela um tumor maligno. É preciso que todos os colaboradores da organização estejam treinados para identificar o menor dos sinais e trazê-lo à tona, o quanto antes, aos responsáveis pela análise e tratamento.
Qualquer sinal é um sinal: não se pode correr o risco de deixá-lo passar. O mesmo racional se aplica às comunicações (a autoridades e pessoas envolvidas): perder o timing pode passar a impressão de que a organização não se importa com o ocorrido, quer escondê-lo ou, ainda, está tão perdida que não consegue reagir a tempo, o que pode afetar gravemente sua reputação.
Esquivar-se de responsabilidade
É evidente que, muitas vezes, quando um incidente ocorre a organização não deixa de ser vítima. Que fique claro, um incidente não significa que a organização não tem compromisso com segurança, mas que foi surpreendida com a materialização de um dos muitos riscos inerentes à atividade empresarial. É preciso, sim, ter empatia para com tais organizações.
Ignorar o plano de respostas a incidentes
Na ânsia de acudir a situação rapidamente, os atores da resposta ao incidente podem acabar se esquecendo de seguir os procedimentos previstos nas políticas internas. Ora, se a organização determinou previamente uma forma de agir, não faz sentido que não a tente aplicar quando a hora chega.
É verdade que há planos genéricos ou não testados que às vezes atrapalham mais do que ajudam (por isso a necessidade de simular situações de crise e aprimorar continuamente tais procedimentos). De todo modo, por menos úteis que possam ser, contrariá-los ou deixá-los de lado pode representar um problema dentro de outro problema: uma dupla falta, difícil de justificar.
Faltar com transparência ou tirar conclusões precipitadas
Quando um incidente ocorre, os envolvidos, sem exceção, passam a sonhar com o dia em que ele estará superado. Isso é nada mais do que o natural. Ninguém gosta da crise, pela óbvia dor que provoca. Contudo, isso não é desculpa para esconder o que está acontecendo de quem merece saber.
O pior dos mundos é quando a organização silencia e priva de informações os envolvidos ou, ao informar, age com frieza e em nítida proteção exclusiva dos interesses próprios. Não é vergonha passar por essa situação, que infelizmente tornou-se corriqueira na sociedade atual.
É preciso fazer dos limões uma limonada, dando um show no quesito transparência e empatia com as pessoas e terceiros afetados para que a organização comece a resgatar a confiança abalada pelo evento. Logo, é preciso ser transparente e, ainda, tomar o cuidado de não anunciar conclusões precipitadas e amanhã ter de voltar atrás e contrariar o que foi dito.
Após essas sugestões, vale a lembrança de que, é claro, o melhor é mesmo prevenir e não ter de remediar. Mas, em se tratando de uma doença tão disseminada no mundo corporativo, infelizmente temos de partir do pressuposto de que um dia iremos fatalmente “pegá-la”. Ou seja, ainda que a contragosto, temos de estar preparados para o pior.
***
Paulo Vidigal, colunista do TecMundo, é sócio do escritório Prado Vidigal, especializado em Direito Digital, Privacidade e Proteção de Dados, certificado pela International Association of Privacy Professionals (CIPP/E), pós-graduado em MBA em Direito Eletrônico pela Escola Paulista de Direito, com extensão em Privacidade e Proteção de Dados pela Universidade Presbiteriana Mackenzie e em Privacy by Design pela Ryerson University.
