Blog

Insights de gestão para você antecipar, assimilar e solucionar os seus desafios de negócio

Vazamento de dados: da prevenção à reparação de danos
A transformação digital tem duas faces: evolução e segurança. Para prevenir a sua empresa, não esteja um passo atrás um segundo sequer.

Conecte-se

[addthis tool=addthis_horizontal_follow_toolbox]

Você se preocupa com vazamento de dados?

Toda novidade traz consigo muita euforia, oportunidades e crescimento, além de receios. Quando falamos em transformação digital e pensamos no mercado, este mix de sentimentos é inevitável. A maior preocupação envolve segurança de dados.

Os negócios surfam esta onda, mas ela também traz algumas tendências perigosas, como as que aparecem em uma pesquisa realizada pela Kroll, líder em gestão de riscos e investigações corporativas.

Ela aponta que 84% das empresas participantes dizem ter tido problemas com segurança de dados nos últimos 12 meses. Para entender melhor a importância dessa informação, apenas 23% disseram ter passado por algo do tipo nos últimos cinco anos. 

As perdas para empresas que sofrem com vazamento de dados podem ser imensas, tanto em dinheiro quanto em imagem. Por isso, enquanto os frutos positivos da transformação digital são colhidos, empresas como a Netshoes aprimoram as suas áreas de riscos e Compliance para evitar e remediar estes acontecimentos.

Mihran Kahvedjian é o Head da equipe da gigante de artigos esportivos e contou ao público da última edição do Data Privacy Master Class, evento sobre o tema realizado pela Blueprintt, como a Netshoes se organiza em torno de vazamento de dados, tanto em prevenção quanto em tratamento de possíveis crises.

Dividiremos as dicas e experiências compartilhadas pelo especialista com você. Confira!

Transformação Digital e vazamento de dados: equipes de segurança em total transformação

“Os famosos Planos de Resposta ao Incidente não mudaram muito operacionalmente, mas sim em contexto”, diz Kahvedjian. Para ele, mais importante do que mudar qualquer ferramenta é entender que o cenário atual de proteção de dados exige um redirecionamento.

Segundo uma pesquisa apresentada pelo palestrante da Price Waterhouse Coopers (PwC), comprometimento e perda de dados ainda é o ponto mais sensível de possíveis ataques registrados pelas empresas.

Este sentimento de mercado se conecta diretamente com a ideia de que o volume e valor dos dados que as empresas detêm hoje são muito maiores e de mais qualidade do que antigamente, o que exige uma mudança cultural quanto ao famoso “não vai acontecer com a gente”. Até porque não podemos esquecer de casos recentes, como o do Facebook, Under Armour e Hotéis Marriott.

Acompanhando esta reestruturação de ideias sobre o assunto, não se pode esquecer também da atualização das regulamentações e de todas as entidades de enforcement, que devem estar no radar das empresas, pois geram cobranças de multas de órgãos distintos.

Como a sua equipe de risco e Compliance pode se reestruturar

Para Kahvedjian, as primeiras perguntas que você tem que se fazer são:

  • qual é o nível técnico e a estrutura da equipe;
  • como está o comitê de crises;
  • como funciona a gestão destas crises;
  • quais são os principais papéis e responsabilidades de quem está envolvido no assunto hoje;
  • quem será responsável pelas ações críticas, como coordenar as respostas de perguntas corriqueiras;
  • como será o contato com a imprensa;
  • quais são as equipes internas que conduzirão os casos;
  • é necessário contratar equipes externas?

Também é preciso entender a participação do público executivo nestas questões, identificar aqueles que têm autonomia suficiente para atuar nas crises e estruturar uma comunicação sensível. Tudo isso dará poder de ação para as equipes e fará com que elas consigam conduzir os casos de vazamento de dados com eficiência.

Uma importante ferramenta que dá poder às equipes é o Data Mapping. Ele é um dos principais pilares de implantação de um programa de privacidade, valioso não só para entender a estruturação, mas também para avaliar de onde determinados dados expostos saíram.

Assim, as ações que serão priorizadas se tornam mais claras, além de ajudar na coleta de evidências, evitar duplicações de dados, entender o tracking, encontrar logs de rastreabilidade e revisar permissões de acesso.

Toda essa estruturação e gama de informações também ajuda a entender se o vazamento de dados será tratado de maneira pontual ou extensiva.

Este tratamento de cenário não ocorre só dentro da organização, pois há órgãos públicos que também vão querer esclarecimentos. Tudo precisa estar alinhado, incluindo o fato de que será necessário justificar e provar que a empresa seguia boas práticas e tinha uma política privacidade. Também é preciso informar qual é o potencial de danos aos titulares e quais são as medidas tomadas.

A ferramenta mais relevante e importante para tudo isso dar certo é a comunicação consistente entre a equipe no momento de resposta ao incidente de vazamento de dados.

“Este é um dos pontos que parecem mais simples, mas é um dos mais desgastantes. Definir quem pode dar respostas ao público, qual é o discurso alinhado, quais informações devem ser divididas e daí em diante”, frisa Kahvedjian, com atenção especial a empresas que enfrentarão cenários com mais de um regulador.

A comunicação e transparência como grandes aliadas

Quando se fala internamente sobre alguns assuntos com a sua equipe, o entendimento de alguns termos pode ser mais fácil. Porém, ao contatar um órgão regulador, algo como a explicação do que é hacker, por exemplo, pode gerar ambiguidades.

Geralmente, a ideia que se tem do termo é que ele trata de alguém externo. No entanto, o vazamento de dados pode ter acontecido pelas mãos de um agente interno.

Além de estruturar e conhecer a melhor maneira de se comunicar com os órgãos reguladores, o cliente também precisa do melhor contato possível, afinal, os seus dados foram vazados.

Por isso, pensar em como atingi-lo da melhor maneira, conhecer o seu público de fato e saber como ele gosta de interagir é essencial para lidar com vazamento de dados.

Em casos grandes, como o da própria Netshoes, mais de 2 milhões de pessoas possivelmente afetadas foram contatadas. Certamente, isso requer planejamento.

E não pense que é só o conteúdo o alvo deste planejamento. Saber o custo e os horários certos das ligações, por exemplo, são fatores que afetarão diretamente a empresa. Otimizar os dispositivos automáticos também é essencial, pois, na maioria das vezes, o contato é ignorado se for muito robotizado.

“Entender as suas métricas de Customer Relation pode entrar no hall de atividades preventivas também, pois quando o incidente acontece, haverá tempo apenas para agir”, ensina Kahvedjian.

Antes de tudo isso entrar em prática, testes devem ser realizados com uma frequência, pelo menos, anual. De acordo com Kahvedjian, quando um vazamento de dados acontece, não há tempo para reler, repensar e discutir todas as medidas que foram estruturadas.

A importância dos testes gira em torno da simulação da crise e do enraizamento de todo o projeto na mente dos envolvidos.

“O Table Top Exercise é uma das práticas mais utilizadas pelas empresas. É justamente simular uma situação de crise e tentar resolvê-la, usando as respostas e os passos a serem dados pelo menos uma vez ao ano, mesmo que os integrantes do grupo sejam os mesmos neste período”, conclui Kahvedjian.

Programas de gestão de risco

  • liderança forte, participativa e que financia estes momentos;
  • documentos pré-estabelecidos para as pessoas terem um guideline a seguir;
  • análise de risco para levantar o planejamento de ações de remediação, medindo qual é a profundidade e o controle que ela deve ter, além de treinamento e monitoramento dos riscos;
  • intensificar o contato com órgãos reguladores, referente à profundidade dos dados transitados;
  • comunicação transparente com as equipes internas, lembrando que devem ser as primeiras a dar a notícia das crises;
  • revisão de todos os processos de controle para garantir que havia o mínimo de segurança adequada perante o vazamento e que são tomadas todas as medidas necessárias para resolução do caso;
  • preparar áreas que tenham contato com o público externo para que qualquer questionamento seja respondido de maneira adequada.

A sua empresa já passou por algum vazamento de dados? Conte para a gente como foi a condução da situação.

Também não perca a próxima edição do Data Privacy Master Class, que acontece este ano em São Paulo, nos dias 26 e 27 de junho. Para saber ainda mais sobre este e outros assuntos relacionados ao tema, confira a programação e garanta o seu ingresso!

Autor

Barbara Marques

Barbara é graduada em Jornalismo pela FIAM-FAAM, atua profissionalmente há cinco anos, tanto em conteúdo factual, quanto para empresas. É especialista em produções relacionadas à tecnologia, fraude, business e marketing, entre outros. Além de vasto conhecimento em cobertura de eventos, palestras e coletivas.