Gestão de Risco nos Terceirizados

Logo após ter anunciado publicamente que foi alvo de um ciberataque que afetou seus sistemas, a Atento S.A. interrompeu as conexões com os clientes a fim de prevenir novos riscos. O incidente com a empresa fornecedora do mercado de contact center serve de alerta sobre como respostas rápidas são fundamentais em casos de invasão, sequestro ou vazamento de dados envolvendo um terceirizado (operador).

Os controladores (contratantes) precisam agir com eficiência, sem se precipitar, e lembrar das seguintes providências:

• Obter junto ao terceirizado as informações mais detalhadas possíveis para averiguar se houve violação de dados pessoais que envolva perda, exposição e/ou acesso não autorizado por terceiros.
• Reunir quais medidas já foram tomadas para neutralização do evento e mitigação de eventuais danos.
• Solicitar ao terceirizado as evidências sobre o restabelecimento do grau de segurança do ambiente, para permitir a continuidade da prestação de serviço ou, diante da insatisfação com a tratativa, analisar se vai ser necessário, pela perda de confiabilidade, a troca de fornecedor.
• A partir das informações coletadas, alinhar com o fornecedor se é o caso de aplicar o dever de report do artigo 48 da LGPD, caso haja elementos suficientes que justifiquem, em uma matriz de análise de gravidade quantitativa e qualitativa, que teve risco ou dano relevante para os titulares. Então, caberá ao controlador também reportar à Autoridade Nacional de Proteção de Dados (ANPD) o incidente. Importante destacar que isso só deve acontecer se as duas partes estiverem alinhadas quanto a decisão.

Em situações de ataque de sequestro virtual (ransomware), é importante analisar caso a caso. Isso porque, em muitos cenários, a base fica criptografada, mas não significa que ela foi exposta. Ao analisar as evidências e as medidas necessárias para reestabelecer o ambiente é possível definir se foi um incidente de segurança ou uma violação de dados pessoas. A atualização dos contratos entre fornecedor e operador é indispensável, a partir de cláusulas de proteção de dados pessoais, bem como SLA de resposta a incidentes para tratar a ocorrência de maneira a organizar o fluxo de informação e capacitar a tomada de decisão. É recomendado, ainda, ter um protocolo de respostas a incidentes que auxilia na condução das atividades e evita agir com imprudência e sem orientação.

Por Patricia Peck com contribuição do Núcleo DPO – Hotline de Respostas a Incidentes, que tem como gestores os sócios Caroline Teófilo e Henrique Rocha