A Comunicação de Incidente de Segurança
Por: brunnabudoia • 25/7/2022 • Trabalho acadêmico • 635 Palavras (3 Páginas) • 93 Visualizações
(adicionar nome e logotipo da organização)
Relatório - Comunicação de Incidente de Segurança
[Adicionar Mês/Ano]
[Adicionar Cidade/Estado]
Narrativa do Incidente de Segurança
Narrativa detalhada do fato ocorrido com os dados pessoais do titular na qual a empresa exercia tratamento ou a função de operador de dados. Nesta descrição recomenda-se que existam informações gerais sobre o fato, como: Endereços IPs, servidores, meios físicos, logs de acesso, dinâmica dos fatos, como ocorreu, quem foi o ator, como foi conduzido o processo.
Observação: Em caso de demora na comunicação do incidente (comunicação não imediata ao ocorrido), adicionar um parágrafo neste item contendo os motivos da demora.
Titulares envolvidos
Número de titulares envolvidos: [Adicionar um número exato ou aproximado de titulares envolvidos no incidente] (esta informação é obrigatória perante a lei).
Em parágrafo separado, descrever a natureza dos dados pessoais que estavam relacionados com o incidente (pessoais, de menor ou dados sensíveis), em quais bases legais estavam sendo tratados e outras informações relevantes sobre os dados pessoais envolvidos.
Medidas para mitigação dos riscos e revisão das medidas técnicas e de segurança
Descrever o nível de proteção tecnológica que a empresa possui no que tange a Segurança da Informação, principalmente relacionadas com os dados envolvidos nos incidente (equipamentos e softwares de proteção).
Alguns Exemplos: Relatórios de atualização dos serviços e softwares, Relatórios de SCAN das vulnerabilidades, Software Antivírus, DLP, Firewall, Proxy, entre outros.
Perceba que aqui entram as medidas técnicas que se relacionam diretamente com a Segurança da Informação. Descrever uma dinâmica técnica, requer que a empresa tenha um nível de aderência consistente, ou então essa parte do comunicado ficará vaga, superficial e sem sentido, de forma que a ANPD poderá solicitar complementos e dados adicionais.
Não tenha dúvidas que se esses critérios forem vagos, a ANPD entenderá que a organização que sofreu um incidente de segurança, não possua gestão de tecnologia e medidas de proteção típicas da Segurança da Informação.
Descrever medidas de Gestão de Segurança que são adotadas pela empresa para proteção dos dados pessoais. Alguns exemplos: Comitê de Segurança, Campanhas de Conscientização, Processos de Segurança, Sistema de Gestão de Segurança da Informação, Políticas de Segurança e Proteção de Dados Pessoais, entre outras atividades.
Riscos e potenciais riscos relacionados com o incidente de segurança
Adicionar os resultados de análise de risco realizada sobre o incidente de segurança em questão, qual a sua probabilidade de ocorrência, impactos para a organização e principalmente impactos que podem acontecer ao titular, como por exemplo, utilização de dados vazados para compras ou para difamação do titular.
Medidas adotadas após o incidente de segurança
Descrever de forma detalhada as medidas que foram realizadas após o incidente para minimizar os danos aos titulares e a organização, como por exemplo: Correção das vulnerabilidades técnicas encontradas, comunicação ao titular para troca de senha de algum sistema.
...