O ano de 2025 acabou de começar e a sua sala de crise está pronta para o que der e vier, certo? Sim? Não?
Bem, se ainda não está – ou não existe – ainda se pode incluir a aquisição de algum recurso no orçamento emergencial, afinal, é uma “sala de crise”, e estruturar a da sua empresa é muito importante. A contratação de bons treinamentos para os membros da sala de crise e de plataformas seguras para a gestão de incidentes, por exemplo, devem ser vistas como ações urgentes.
E o que é uma sala de crise? É uma reunião emergencial que se realiza quando ocorre um incidente de segurança. E aqui estamos tratando especialmente de segurança da informação contendo dados pessoais.
A Lei Geral de Proteção de Dados Pessoais, Lei 13.709/2018, não exige que as empresas mantenham em sua estrutura a tal sala de crise, ou comitê de respostas a incidentes ou IT war room, como queiram chamá-la, até porque a sua natureza é efêmera, mas é importante que se olhe com atenção para o capítulo VII da LGPD.
Esse capítulo discorre sobre as medidas de segurança, boas práticas e governança que as corporações devem adotar, como a comunicação de incidentes à Autoridade Nacional de Proteção de Dados (ANPD), que deve ser realizada seguindo critérios técnicos avaliados pelo Encarregado de Dados (DPO), especialmente o prazo e a qualidade dos dados pessoais afetados.
Se um incidente cibernético ocorre numa empresa, por exemplo, e uma IT war room se reúne sem incluir o DPO, corre-se o risco de comprometer essa avaliação técnica criteriosa e até perder o prazo estabelecido pela Autoridade.
É comum convocarem as salas de crise restritas aos responsáveis de TI e do Jurídico, além do CEO e do CFO – afinal, alguém precisa pensar nas finanças.
Mas, independentemente do segmento e do porte de cada organização, é fundamental que na composição da sala de crise exista alguém que vai analisar e responder pelos seguintes assuntos relacionados ao incidente, seja do pessoal interno ou de uma consultoria contratada:
- – Recursos Humanos;
- – Jurídico;
- – TI;
- – DPO;
- – Assessoria de Imprensa;
- – Auditoria;
- – Financeiro;
- – Marketing;
- – Área(s) de negócio(s) diretamente envolvidas, se houver.
E o DPO, numa sala de crise, tem responsabilidades fundamentais e que só ele, como Encarregado, pode cumprir, tais como: avaliar se a tríade da Segurança da Informação (CID) afetou os dados pessoais; a autenticidade dos dados foi mantida? Houve dano relevante aos dados? Houve mitigação técnica? Há operadores envolvidos? Há suboperadores? E um dos mais importantes: há necessidade de comunicar à ANPD?
No fim das contas, é fundamental que os membros de uma war room estejam a postos porque incidentes de SI acontecem e vão acontecer. Eles precisam estar aptos a cumprir os seus papéis como numa brigada de incêndio.
Para compreender a importância de uma sala de crise tal como uma brigada, é só lembrar o que aconteceu no Hospital Infantil Pequeno Príncipe em Curitiba – PR na manhã de 31 de outubro de 2023, noticiado pelo próprio hospital: “A atuação da Brigada de Emergência do Hospital foi novamente decisiva na explosão. A resposta rápida da equipe garantiu que as chamas não se espalhassem. O Corpo de Bombeiros foi acionado e quando chegou já não havia mais riscos.”
Garantir que as chamas não se espalhem – é sobre isso.
