A organização de um comitê de crise para tratar de um incidente de segurança deve ser pensada de forma multidisciplinar e, preferencialmente, definida em um momento prévio ao incidente (por meio de uma Política de Incidentes de Segurança) para que o grupo seja convocado imediatamente assim que a empresa tomar ciência da situação.
O objetivo principal desse comitê é providenciar uma resposta ágil e estruturada, acompanhando o desdobramento do evento por meio de relatórios periódicos.
Abaixo estão as diretrizes de como organizar a composição e as responsabilidades desse comitê:
1. Composição do Comitê (Quem deve participar) A equipe deve reunir representantes de diferentes departamentos estratégicos para lidar com todas as facetas de um vazamento ou ataque. Recomenda-se que o comitê contenha profissionais das seguintes áreas:
-
Tecnologia e/ou Segurança da Informação: essenciais para a investigação técnica, contenção de danos, avaliação da vulnerabilidade explorada e preservação de evidências.
-
Jurídico e/ou Compliance: Responsáveis por avaliar as obrigações legais, medir os riscos regulatórios e elaborar as estratégias de defesa e contenção.
-
Comunicação e/ou Relações Públicas (Marketing): Responsáveis por mitigar danos reputacionais e preparar a comunicação para a mídia e para o mercado.
Além da formação base, a depender da natureza dos dados comprometidos, outras áreas deverão ser acionadas para compor a mesa de crise:
-
Atendimento ao Consumidor (SAC): Fundamental caso os dados vazados pertençam a clientes, necessitando da elaboração de scripts para responder aos questionamentos e medos dos consumidores.
-
Recursos Humanos: Deve ser envolvido se o incidente comprometer os dados pessoais dos próprios colaboradores da organização.
2. Atribuições do Comitê de Crise Uma vez formado e acionado, as responsabilidades do comitê incluem:
-
Gestão da Resposta: Acompanhar toda a evolução do incidente de forma documentada.
-
Definição de Comunicações: Deliberar sobre a necessidade de notificar a Autoridade Nacional de Proteção de Dados (ANPD), os titulares dos dados, seguradoras (respeitando os prazos rigorosos das apólices) e terceiros, como bancos ou autoridades policiais.
-
Gestão de Imagem: Elaborar “Notas Reativas” voltadas à imprensa ou ao mercado para o caso de o incidente se tornar público.
-
Avaliação Final (Post-mortem): Após a contenção do ataque, o comitê deve realizar uma avaliação final do ocorrido. O objetivo é extrair as “lições aprendidas” e desenhar um plano futuro de adequação, corrigindo fragilidades organizacionais que permitiram o incidente e atualizando as defesas para prevenir novos problemas.
