O que o incidente da Americanas nos ensina?

O incidente de segurança dos sites Americanas e Submarino dominou os noticiários e toda a comunidade de TI nesta semana, especialmente pelo longo período que sem operação que os sites atacados precisaram permanecer até que fosse possível o retorno gradual da acessibilidade, com segurança.

Além de toda a perda operacional que um incidente desta proporção gera, há um grande risco de um impacto à imagem que essa exposição negativa pode gerar. As flutuações do mercado financeiro são parte do jogo e possivelmente esperadas e recuperáveis, porém outros aspectos de integridade e confiabilidade podem ser abalados, como a confiança de clientes e parceiros sobre a estrutura e segurança tecnológicas que sustentam o negócio.

Todos aqueles que operam em meios digitais estão suscetíveis a ataques cibernéticos e de engenharia social, sendo imprescindível a adoção de medidas de segurança para garantia da integridade das informações.

Até mesmo em nossos dispositivos pessoais essa atenção deve estar sempre em alta. Inúmeros são os relatos de pessoas próximas sobre tentativa de clonagem de número de celular para solicitação de transferências bancárias de urgência.

Especialmente as empresas que operam primordialmente por meios digitais devem se cercar do máximo de medidas organizacionais bem formuladas e amplamente aplicadas para garantir a confiabilidade do seu negócio. Essas medidas passam pela estruturação dos procedimentos de segurança, que devem ser pensados desde o início do desenvolvimento de qualquer novo projeto até as suas constantes atualizações; políticas de segurança da informação, controle de acesso, planos de contingência e continuidade de negócios.

Em situações como a noticiada, caso seja confirmado algum tipo de violação de dados pessoais, entendendo como violação, tanto o acesso não autorizado, quanto a captura ou alteração das informações acessadas, a figura do Encarregado de Dados (ou DPO) entra em campo para, além de orientar os colaboradores da empresa na condução daquele incidente, providenciar a comunicação daqueles que foram afetados pela violação, seja ela para os titulares dos dados ou para os controladores de dados pessoais, e especialmente receber e tratar as comunicações recebidas da Autoridade Supervisora.

A comunicação eficaz e organizada, com procedimentos já estabelecidos e conhecidos por seus operadores, garante uma resposta rápida à eventual ocorrência de incidentes, comprovando a integridade da atuação da empresa, e contribui para a reversão breve do cenário negativo que se instalou.

A ocorrência de um incidente de segurança deve trazer aprendizados, onde não apenas a solução e o restabelecimento da operação sejam o foco, mas sim o entendimento do porquê ocorreu e o que é possível se fazer para evitar que ocorra novamente, fornecendo ainda importantes lições de como o avanço tecnológico pode trazer tanto bônus quanto o ônus às operações dele dependentes.

Por Mariana Barcellos. Responsável pelas práticas: Seguros, Compliance e Lei Geral de Proteção de Dados. Graduada em Direito pelo Mackenzie, Pós-Graduada em Direito Internacional pela EPD, Advogada atuante nas áreas Securitária, Ouvidoria e Compliance.