Capa do Ebook gratuito LGPD e Segurança da Informação: controles técnicos e organizacionais que sustentam conformidade

LGPD e Segurança da Informação: controles técnicos e organizacionais que sustentam conformidade

Novo curso

16 páginas
Todos os cursos > Informática ( TI ) > Segurança da informação ::

Resposta a incidentes envolvendo dados pessoais e critérios de comunicação

Capítulo 14

Tempo estimado de leitura: 15 minutos

+ Exercício

O que é resposta a incidentes envolvendo dados pessoais

Resposta a incidentes é o conjunto de processos, papéis, decisões e evidências usados para lidar com eventos de segurança que afetem dados pessoais, desde a detecção até a recuperação e a comunicação com as partes interessadas. O objetivo é reduzir impacto, conter a propagação, preservar provas, restaurar operações e cumprir obrigações de comunicação quando houver risco ou dano relevante aos titulares.

Na prática, “incidente envolvendo dados pessoais” não é apenas um ataque externo. Pode ser também um erro humano (envio de planilha para destinatário errado), falha de configuração (bucket exposto), perda de dispositivo com dados, acesso indevido por colaborador, indisponibilidade causada por ransomware que impeça o atendimento de direitos do titular, ou vazamento por terceiro. O ponto central é: houve comprometimento de confidencialidade, integridade ou disponibilidade de dados pessoais? E isso pode gerar risco aos titulares?

Evento, incidente de segurança e incidente com dados pessoais

Para evitar ruído e atrasos, é útil diferenciar:

  • Evento: sinal ou ocorrência que pode ser normal (ex.: múltiplas tentativas de login) e precisa de triagem.
  • Incidente de segurança: evento confirmado que viola política ou controle (ex.: credencial comprometida, malware ativo).
  • Incidente com dados pessoais: incidente de segurança que envolve dados pessoais e pode afetar titulares (ex.: exfiltração de base de clientes, acesso indevido a prontuários).

Essa distinção ajuda a definir quando acionar o time de privacidade/DPO, quando iniciar contagem de prazos internos e quando preparar comunicação externa.

Critérios para decidir comunicação: foco em risco ao titular

Nem todo incidente exige comunicação externa, mas todo incidente com potencial de envolver dados pessoais deve ser avaliado com critérios consistentes. O eixo de decisão é o risco ou dano relevante aos titulares, considerando contexto, tipo de dado, volume, facilidade de identificação, possibilidade de uso malicioso e medidas de mitigação já aplicadas.

Continue em nosso aplicativo

Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

ou continue lendo abaixo...
Download App

Baixar o aplicativo

Fatores práticos de avaliação de risco

  • Natureza dos dados: dados financeiros, credenciais, dados de saúde, biometria, localização e dados de crianças tendem a elevar risco. Dados cadastrais básicos podem ter risco menor, mas combinados com outros elementos podem aumentar impacto.
  • Escala: número de titulares afetados e abrangência geográfica.
  • Exposição efetiva: houve apenas acesso potencial (ex.: permissão aberta sem evidência de acesso) ou acesso confirmado? Houve exfiltração, publicação, venda, ou apenas indisponibilidade?
  • Identificabilidade: dados estavam em texto claro? Estavam pseudonimizados? Havia separação de chaves/segredos que impeça reidentificação?
  • Capacidade de exploração: dados permitem fraude, phishing direcionado, sequestro de conta, discriminação, extorsão?
  • Mitigações imediatas: revogação de credenciais, reset de senhas, bloqueio de acesso, invalidação de tokens, monitoramento reforçado, comunicação preventiva aos titulares.
  • Contexto do incidente: ataque direcionado, insider, erro operacional, falha de terceiro, perda física.
  • Impactos secundários: interrupção de serviços essenciais, impossibilidade de atender solicitações de titulares, risco de engenharia social por exposição de dados de contato.

Exemplos de aplicação dos critérios

Exemplo 1: envio de e-mail com anexo errado. Um colaborador envia uma planilha com nome, e-mail e telefone de 200 clientes para um destinatário externo não relacionado. Mesmo sem dados sensíveis, há risco de phishing e uso indevido. Critérios: exposição confirmada, identificabilidade alta, mitigação possível (solicitar exclusão e confirmação), risco moderado. Pode exigir comunicação aos titulares dependendo do contexto e da capacidade de mitigação.

Exemplo 2: base criptografada com chave não comprometida. Um backup contendo dados pessoais é copiado indevidamente, mas está criptografado e não há evidência de comprometimento da chave. Critérios: exposição do arquivo, mas baixa explorabilidade se a criptografia e a gestão de chaves estiverem adequadas. Pode reduzir ou eliminar necessidade de comunicação aos titulares, mantendo registro e monitoramento.

Exemplo 3: credenciais e hashes de senha vazados. Mesmo com hash, se o algoritmo for fraco ou houver risco de cracking, o impacto é alto. Critérios: possibilidade de sequestro de contas, fraude e reutilização de senha. Em geral, exige comunicação rápida, reset de senhas e orientação aos titulares.

Estrutura mínima de um processo de resposta a incidentes (com papéis claros)

Um processo eficaz depende de papéis definidos e acionamento rápido. Em incidentes com dados pessoais, além do time técnico, é essencial envolver jurídico/privacidade, comunicação e áreas de negócio afetadas.

Papéis e responsabilidades (modelo prático)

  • Líder de Incidente (Incident Commander): coordena decisões, prioriza ações, controla cronograma e status.
  • Segurança/Infra/DevOps: contenção técnica, coleta de evidências, erradicação e recuperação.
  • Privacidade/DPO: avalia impacto a titulares, orienta critérios de comunicação, garante registro e coerência com obrigações.
  • Jurídico: valida comunicações, riscos regulatórios e contratuais, interação com autoridades quando aplicável.
  • Comunicação/PR: prepara mensagens externas e internas, Q&A, alinhamento com atendimento ao cliente.
  • Atendimento/CS: recebe dúvidas de titulares, aplica scripts, registra solicitações e evidências de contato.
  • Gestão de terceiros: aciona fornecedores envolvidos, coleta relatórios e evidências, coordena responsabilidades.

Passo a passo prático: do alerta à normalização

A seguir, um fluxo operacional que pode ser adaptado ao porte da organização. O foco é garantir velocidade com controle, evitando decisões improvisadas e comunicações inconsistentes.

1) Detecção e triagem inicial (primeiros 15–60 minutos)

  • Registrar o alerta: data/hora, origem (SIEM, usuário, fornecedor), sistema afetado, sintomas.
  • Classificar severidade preliminar: impacto potencial, criticidade do sistema, suspeita de dados pessoais.
  • Acionar o time: segurança + líder de incidente; se houver suspeita de dados pessoais, acionar privacidade/DPO desde o início.
  • Preservar evidências: evitar “limpar” logs ou reiniciar sistemas sem orientação; coletar snapshots, logs, hashes de arquivos relevantes.

2) Contenção imediata (primeiras horas)

Objetivo: interromper o dano em curso e limitar propagação.

  • Isolar ativos: remover máquina da rede, bloquear IPs, desabilitar contas suspeitas.
  • Revogar acessos: reset de senhas, invalidação de tokens, rotação de segredos, revogação de chaves expostas.
  • Bloquear exfiltração: regras temporárias em firewall/WAF, bloqueio de egress, suspensão de integrações suspeitas.
  • Preservar cadeia de custódia: documentar quem coletou o quê, quando e como; armazenar evidências em repositório controlado.

3) Análise e escopo (primeiro dia)

Objetivo: entender o que aconteceu, quais dados foram afetados e qual a extensão.

  • Linha do tempo: quando começou, como foi detectado, ações do atacante/erro, pontos de persistência.
  • Vetor de ataque/causa: phishing, credencial vazada, falha de configuração, vulnerabilidade, erro operacional, terceiro.
  • Dados pessoais envolvidos: categorias, campos, volume, titulares, se há dados sensíveis, se há crianças/adolescentes.
  • Exposição confirmada vs. potencial: evidência de acesso (logs), download, consultas anômalas, publicação externa.
  • Ambientes afetados: produção, homologação, backups, data lake, ferramentas internas.

4) Avaliação de risco ao titular e decisão de comunicação (primeiro–segundo dia)

Com base nos fatores de risco, o time de privacidade/jurídico conduz uma avaliação estruturada. Recomenda-se usar uma matriz simples (baixo/médio/alto) com justificativas objetivas.

  • Determinar probabilidade de uso indevido: dados em texto claro, dados de contato, credenciais, dados financeiros.
  • Determinar gravidade do impacto: fraude, discriminação, danos reputacionais, exposição de saúde, extorsão.
  • Considerar mitigação já aplicada: reset de credenciais, bloqueio de cartões (quando aplicável), invalidação de sessões, monitoramento.
  • Decidir estratégia: comunicar autoridade, comunicar titulares, comunicar parceiros/terceiros, ou manter apenas registro interno (com justificativa).

5) Erradicação e recuperação (dias seguintes)

  • Remover persistência: contas criadas indevidamente, chaves implantadas, tarefas agendadas, backdoors.
  • Corrigir causa raiz: ajuste de configuração, correção de falha, revisão de permissões, ajustes em pipelines.
  • Restaurar serviços: validar integridade, testar funcionalidades críticas, reforçar monitoramento.
  • Verificar ausência de recorrência: indicadores de comprometimento, varreduras, alertas e validações.

6) Registro, evidências e lições aprendidas (sem encerrar o tema)

Mesmo quando não há comunicação externa, o incidente deve ser documentado com clareza: o que ocorreu, impacto, decisões e evidências. Isso sustenta auditorias, defesa em questionamentos e melhoria contínua.

  • Relatório do incidente: resumo executivo, linha do tempo, sistemas, dados, impacto, ações.
  • Decisões de comunicação: critérios usados, avaliação de risco, aprovações.
  • Plano de ação: itens técnicos e organizacionais, responsáveis e prazos.

Critérios e boas práticas de comunicação: autoridade, titulares e outros públicos

Comunicação em incidentes com dados pessoais deve equilibrar transparência, precisão e utilidade. Mensagens apressadas e vagas (“houve um incidente, estamos apurando”) podem gerar desconfiança; mensagens detalhadas demais podem expor fragilidades exploráveis. O ideal é comunicar o necessário, com fatos confirmados, e atualizar quando houver novas informações relevantes.

1) Comunicação à autoridade competente

Quando a avaliação indicar risco ou dano relevante, a comunicação deve ser preparada com informações verificáveis e consistentes. Um modelo prático de conteúdo inclui:

  • Descrição do incidente: o que ocorreu e quando foi identificado.
  • Categoria do incidente: acesso indevido, vazamento, indisponibilidade por ataque, perda de dispositivo, erro humano.
  • Dados pessoais envolvidos: categorias e volume estimado; se há dados sensíveis.
  • Titulares afetados: estimativa, perfis (clientes, colaboradores), regiões.
  • Medidas de contenção: ações já executadas e data/hora.
  • Medidas de mitigação: redução de risco aos titulares (ex.: reset de senhas, monitoramento de fraude).
  • Riscos e impactos: análise objetiva do potencial dano.
  • Plano de resposta: próximos passos, prazos e pontos de contato.
  • Canal de contato: responsável e meios para retorno.

Boa prática: separar o que é confirmado do que é hipótese em investigação, evitando afirmações absolutas sem evidência.

2) Comunicação aos titulares: quando e como

Quando a comunicação aos titulares for necessária, ela deve permitir que a pessoa se proteja. Isso significa orientar ações concretas e explicar, em linguagem simples, o que aconteceu e o que a organização já fez.

Elementos essenciais:

  • O que aconteceu: descrição clara, sem jargão técnico excessivo.
  • Quais dados podem ter sido afetados: listar categorias (ex.: nome, e-mail, telefone; ou dados financeiros; ou credenciais).
  • O que a organização fez: contenção, bloqueios, reset, investigação.
  • O que o titular deve fazer: trocar senha (se aplicável), ativar autenticação adicional, desconfiar de contatos, monitorar extratos, cuidado com links.
  • Como obter suporte: canal dedicado, horários, FAQ.
  • Como reconhecer golpes relacionados: exemplos de mensagens fraudulentas e o que a empresa nunca solicita (ex.: senha completa).

Exemplo de orientação prática: se houve exposição de e-mail e telefone, orientar o titular a desconfiar de contatos pedindo confirmação de dados, a não instalar aplicativos por solicitação de terceiros e a verificar remetentes. Se houve risco de credenciais, orientar troca de senha e não reutilização em outros serviços.

3) Comunicação interna e alinhamento operacional

Incidentes geram dúvidas internas e podem vazar por canais informais. Um comunicado interno bem feito reduz ruído e melhora a execução.

  • Mensagem para colaboradores: o que podem e não podem comunicar externamente; canal oficial para dúvidas.
  • Script para atendimento: respostas padronizadas, critérios de escalonamento, registro de contatos.
  • Alinhamento com áreas de negócio: impacto em operações, prioridades de recuperação, mensagens para clientes corporativos.

4) Comunicação com terceiros e cadeias de fornecimento

Quando o incidente envolve fornecedor, integrador ou operador, é necessário coordenar informações e prazos, evitando versões conflitantes.

  • Solicitar relatório do fornecedor: linha do tempo, escopo, dados afetados, medidas adotadas.
  • Definir porta-voz e narrativa única: quem comunica o quê, para quem, e em qual momento.
  • Verificar obrigações contratuais: prazos de notificação, cooperação em investigação, preservação de evidências.

Modelos práticos: checklists e matrizes para uso imediato

Checklist de avaliação rápida (dados pessoais)

  • Há evidência de acesso não autorizado a sistemas com dados pessoais?
  • Há evidência de extração, cópia, download ou publicação?
  • Quais categorias de dados estão envolvidas (inclui sensíveis)?
  • Os dados estavam protegidos de forma a reduzir explorabilidade (ex.: criptografia efetiva)?
  • Quantos titulares podem ter sido afetados (estimativa)?
  • Há risco de fraude, sequestro de conta, phishing direcionado, discriminação ou extorsão?
  • Quais mitigações já foram aplicadas e qual a eficácia?
  • É possível contatar titulares de forma confiável (base de comunicação atualizada)?
  • Há obrigação de notificar parceiros/cliente corporativo?

Matriz simples de decisão (exemplo)

Use uma matriz 3x3 (probabilidade x impacto) para orientar decisão e priorização. Exemplo de critérios:

  • Probabilidade baixa: sem evidência de acesso; dados protegidos; mitigação forte.
  • Probabilidade média: acesso possível; logs incompletos; dados parcialmente expostos.
  • Probabilidade alta: acesso confirmado; exfiltração; publicação; credenciais comprometidas.
  • Impacto baixo: dados limitados, pouco sensíveis, baixo potencial de abuso.
  • Impacto médio: dados de contato + contexto; risco de phishing e incômodo significativo.
  • Impacto alto: dados sensíveis, financeiros, credenciais; risco de fraude, discriminação, extorsão.

A saída da matriz deve gerar uma recomendação: comunicar titulares (sim/não), comunicar autoridade (sim/não), e quais medidas adicionais de mitigação são necessárias.

Erros comuns e como evitá-los durante a resposta e a comunicação

1) Atrasar o acionamento de privacidade/jurídico

Quando privacidade entra tarde, a organização pode perder prazos internos, deixar de coletar evidências relevantes e tomar decisões técnicas que dificultem a avaliação de risco. Solução: gatilho automático de acionamento sempre que houver suspeita de dados pessoais.

2) Comunicar sem fatos confirmados (ou omitir incertezas)

Mensagens que afirmam “nenhum dado foi acessado” sem evidência podem se tornar um problema se a investigação mostrar o contrário. Solução: declarar o que é conhecido, o que está em apuração e quando haverá atualização.

3) Focar apenas em “quantos registros” e ignorar contexto

Um incidente com poucos titulares pode ter impacto alto (ex.: dados de saúde). Solução: avaliar natureza do dado, perfil do titular e potencial de abuso.

4) Não preparar atendimento e canais de suporte

Após comunicação, o volume de contatos aumenta. Sem script e triagem, a experiência piora e a mensagem se fragmenta. Solução: criar FAQ, scripts e canal dedicado antes de disparar notificações.

5) Não registrar decisões e evidências

Mesmo decisões corretas ficam frágeis sem documentação. Solução: manter um dossiê do incidente com linha do tempo, evidências e aprovações.

Exemplo completo (simulado) de fluxo com comunicação

Cenário: um sistema de atendimento ao cliente apresenta atividade anômala. Logs indicam que uma conta de suporte foi usada fora do horário e exportou relatórios contendo nome, e-mail, telefone e histórico de solicitações de 8.000 titulares.

Aplicação do passo a passo:

  • Triagem: alerta confirmado; suspeita de credencial comprometida; aciona líder de incidente e privacidade.
  • Contenção: desabilita conta, revoga sessões, bloqueia exportações temporariamente, preserva logs e arquivos exportados.
  • Escopo: identifica período de acesso, IPs, relatórios exportados, quantidade de titulares e campos presentes.
  • Avaliação de risco: dados de contato + histórico de solicitações elevam risco de phishing direcionado; exposição confirmada por exportação; impacto médio/alto.
  • Decisão: comunicar autoridade e titulares; preparar orientação anti-phishing; reforçar monitoramento de tentativas de fraude.
  • Mensagem aos titulares: descreve o incidente, lista dados, orienta cuidados com contatos, informa que a empresa não solicita senhas por telefone, oferece canal de suporte.
  • Recuperação: revisa permissões de exportação, adiciona aprovação para relatórios massivos, reforça detecção de comportamento anômalo.

Artefatos recomendados para padronizar resposta e comunicação

  • Playbook de incidentes com dados pessoais: gatilhos, papéis, matriz de risco, modelos de comunicação.
  • Modelos de notificação: para autoridade, titulares, clientes corporativos e comunicação interna.
  • Formulário de registro do incidente: campos obrigatórios (linha do tempo, sistemas, dados, evidências, decisões).
  • Lista de contatos e escalonamento: plantões, substitutos, contatos de fornecedores críticos.
  • Repositório de evidências: controle de acesso, trilha de auditoria, retenção definida para investigações.
// Exemplo de campos mínimos para registro (estrutura sugerida)  incident_id: string  detected_at: datetime  detected_by: string  systems_affected: [string]  incident_type: string  personal_data_involved: boolean  data_categories: [string]  estimated_subjects: number  exposure_confirmed: boolean  containment_actions: [ { action: string, at: datetime, owner: string } ]  risk_assessment: { likelihood: string, impact: string, rationale: string }  notification_decision: { authority: boolean, subjects: boolean, rationale: string }  communications: [ { audience: string, channel: string, sent_at: datetime } ]  evidence_locations: [string]  next_steps: [ { task: string, owner: string, due: date } ]

Agora responda o exercício sobre o conteúdo:

Ao decidir se deve comunicar um incidente envolvendo dados pessoais, qual deve ser o principal eixo de decisão?

Você acertou! Parabéns, agora siga para a próxima página

Você errou! Tente novamente.

Correto: a decisão de comunicação deve se basear no risco ou dano relevante aos titulares, avaliando tipo de dado, escala, exposição confirmada ou potencial, identificabilidade, capacidade de exploração e mitigações aplicadas.

Próximo capitúlo

Preservação de evidências, registro de decisões e prontidão para auditoria

Arrow Right Icon
Aprenda Segurança da informação

AprendaSegurança da informação

Proteja todo conteúdo importante, descubra como utilizar a segurança da informação a seu favor e para que serve. Cursa.app separou um curso grátis pra você

 Aprenda Informática ( TI )

AprendaInformática ( TI )

Cursos online gratuitos de Informática, TI e programação com certificação gratuita. Oferecemos cursos de Excel, programação e muito mais. Aproveite agora!
Baixe o app para ganhar Certificação grátis e ouvir os cursos em background, mesmo com a tela desligada.
QR Code - Baixar Cursa - Cursos Online

Baixe nosso aplicativo pelo QR Code ou pelos links abaixo:.

Disponível no Google Play Disponível no App Store