Documentação e relatórios de conformidade

A fase final assegura que todas as conclusões e ações são devidamente registadas e comunicadas.

1. Documentação do incidente: a documentação adequada é um componente fundamental da resposta pós-incidente. Deve incluir registos detalhados da cronologia do incidente, a natureza da violação, as medidas tomadas para responder e os processos de recuperação. Serve vários objetivos: ajuda a compreender o impacte do incidente, apoia a conformidade legal e regulamentar e fornece uma base fatual para análises e auditorias pós-incidente.
2. Relatórios de conformidade: muitas organizações estão sujeitas a estruturas regulamentares que exigem a comunicação de determinados tipos de incidentes de segurança, que pode incluir regulamentos como o Regulamento Geral sobre a Proteção de Dados (RGPD) ou outros específicos do setor. O relatório de conformidade inclui a notificação dos órgãos reguladores relevantes de acordo com os prazos e formatos estipulados. Habitualmente, exige que a organização descreva a natureza do incidente, os dados afetados, o potencial impacte nos indivíduos e as medidas tomadas para mitigar e evitar futuras violações.
3. Comunicação com os stakeholders: a documentação eficaz e os relatórios de conformidade também envolvem uma comunicação transparente com os stakeholders, incluindo clientes, trabalhadores e parceiros. Dependendo da natureza do incidente e dos requisitos regulamentares, as organizações podem ter de informar as partes afetadas sobre a violação, que dados foram comprometidos e como estão a lidar com a situação. 
4. Manutenção de registos para referência futura: toda a documentação e relatórios devem ser armazenados e organizados de forma segura para referência futura. Inclui a manutenção de registos de incidentes, transcrições de comunicações, processos de tomada de decisão e registos de conformidade. Estes registos são essenciais para futuras auditorias de segurança, inquéritos legais ou inspeções regulamentares.
5. Revisão e atualização dos procedimentos de documentação: após o incidente, é vital rever e atualizar os procedimentos de documentação para garantir que permanecem eficazes e em conformidade com as leis e regulamentos em vigor. Tal pode envolver a atualização de modelos, a melhoria dos processos de recolha de dados ou o reforço das medidas de segurança para proteger os registos de incidentes.
6. Formação e sensibilização: assegure que todo o pessoal relevante recebe formação sobre a documentação e os procedimentos de comunicação da conformidade. Sessões de formação regulares podem ajudar a compreender a importância de uma documentação exata e atempada e garantir a familiarização com os requisitos de conformidade e os processos de comunicação.

Figura-9

(Fonte: https://fastercapital.com/content/Compliance–Compliance-Made-Easy–A-CPA-s-Guide-to-Regulatory-Requirements.html)