Sou professor de pós-graduação
na UFRJ no Curso de Segurança de Informação. Ano após ano, tenho visto as
turmas "encolherem", juntamente com o mercado e trabalho, cada vez
mais direcionado para estratégias de virtualização e computação na nuvem, cujos
fornecedores apontam para uma solução de economia consistente com o uso e
escalabilidade, sem imobilizar investimentos em hardware e software.
Entretanto, essa
"economia" fazia as empresas acreditarem que os provedores de
serviços (Azure, Google, Amazon...sejam quais forem) seriam também responsáveis
pela manutenção da segurança no ambiente corporativo.
Mero engano!
Estes provedores de serviço
garantem a segurança da infraestrutura, mas (a princípio) não podem gerenciar o
ambiente de seus clientes, por inúmeras razões, dentre as quais destacamos o
fato de cada ambiente possuir características de negócios específicas, sistemas
e aplicativos próprios, cuja gestão externa poderia acarretar uma falha ou
indisponibilidade.
Como resultado, estamos vendo
um crescimento orgânico pela demanda de profissionais de Segurança de Informação,
cada vez mais necessários para garantir o ambiente de negócios, seja local ou
na nuvem, de forma que as ameaças (reais ou virtuais) sejam mantidas à
distância.
Para melhorar ainda mais este
cenário, vimos ano passado o início da GDPR e em janeiro deste ano a LGPD,
cujos requisitos de privacidade exigem um ambiente protegido por, pelo menos,
oito itens da Norma ISO 27000, fora as boas práticas assimiladas pelo CobIT e
ITiL.
Passados oito meses desde o
que a Lei Geral de Proteção de Dados (LGPD) começou a vigorar, a maioria
absoluta das empresas ainda têm muito trabalho a fazer, para atender aos seus
requisitos de conformidade.
Seja por não acreditar muito
no discursos do Governo, esperando uma nova prorrogação do prazo de vigência,
seja por preferirem arriscar o pagamento da multa de 2% sobre o faturamento
anual, ou ainda, estarem dispostas a sofrer uma fiscalização pelo MPDF
(Ministério Público do Distrito Federal) ou, no futuro em breve, pela ANPD
(Autoridade Nacional de Proteção de Dados), ao invés de investir esforços e
recursos para conformidade.
O que estas empresas não
percebem é que existem grandes vantagens comerciais a serem obtidos pela
conformidade com a LGPD: Desde a atração de novos clientes (sim, privacidade é
um diferencial competitivo, especialmente juto a empresas da Comunidade Europeia)
e a retenção de clientes existentes, ao aproveitamento da conformidade com a
LGPD em termos de marketing, acredito que os benefícios justificam os
investimentos.
Talvez a necessidade de
melhorar o controle sobre dados pessoais possa ser obtido através do melhor uso
dos recursos de segurança encontrados em sistemas de controle de acesso ou na
elaboração de um PCN (Plano de Continuidade de Negócios) "de
verdade", testado e acompanhado. Isso pode levar a uma infraestrutura de
TI mais segura em geral? Novamente, a resposta aqui é "sim", mais
ainda se esses recursos de segurança forem aplicados em toda organização, não
se limitando apenas aos dados pessoais.
Pode uma infraestrutura de TI
mais segura se tornar um ponto de marketing positivo, mais que da concorrência?
Claro que sim! Especialmente se eu souber como divulgar isso.
Os benefícios da conformidade
com a LGPD chegam a:
1. Proporcionar um controle
melhor sobre os dados. Isso pode ser alcançado através:
a. Da criação de uma função do
Encarregado de Dados (o responsável nomeado pela LGPD);
b. Identificando os
respectivos proprietários para cada tipo de dado (RH, Compras, Logística,
Marketing, etc.);
c. Definindo claramente quem
pode criar, acessar e modificar conjuntos de dados específicos (uma função dos
proprietários dos dados);
2. Proporcionar melhor
proteção de dados (físicos e eletrônicos) pela:
a. Criação de um registro de
ativos de dados;
b. Manutenção da limpeza de
dados para eliminar a duplicação, criando consistência dos dados e
identificando/removendo cópias ilícitas dos dados;
c. Implementando controles de
acesso adequados à finalidade, como a aplicação rigorosa do princípio da
"necessidade de conhecer";
Avaliações regulares de
impacto na proteção de dados (DPIAs).
3. Evidência de "due
diligence":
a. A capacidade de 'provar' a
devida diligência na conformidade com o LGPD se torna valiosa no caso do pior
acontecer, havendo um vazamento de dados pessoais em que acarretasse a
aplicação de quaisquer das penalidades previstas.
4. Oportunidades de marketing:
a. A oportunidade de criar uma
mensagem de marketing positiva como consequência de poder "provar" a
conformidade e a devida diligência.
Como uma empresa comprova a
conformidade com a LGPD, para aproveitá-la em termos de marketing? Através de
publicidade: são necessárias declarações públicas sobre levar a LGPD à sério,
seja no website da empresa ou de sites especializados em segurança/privacidade,
ou no material impresso da empresa, por exemplo - mas que também precisam ser
apoiadas pela exibição das certificações (ISO, CobIT, ITil, outras) obtidas
durante o processo de conformidade.
Embora as políticas e
procedimentos relacionados à coleta e manuseio de dados pessoais,
principalmente nos processos manuais, sejam importantes para a conformidade com
a LGPD, o papel da TI e da segurança da TI é igualmente, se não mais
importante, no processo de proteção de dados pessoais.
Um excelente ponto de partida
é o "Gap Analysis" (Diagnóstico Situacional) que temos proposto ao
mercado como ponto de partida: sem isso, a organização poderá dar início à
várias ações descoordenadas que correm o risco de se perderem, realizadas
isoladamente.
A pesquisa na Internet e a participação
em cursos ministrados por profissionais reconhecidamente capazes, proporcionam
suporte e capacitação dos colaboradores que devem ser envolvidos no processo de
conformidade. Temos visto o surgimento de cartilhas e guias, publicados por
entidades reconhecidamente "neutras" (sem fins lucrativos), que
merecem ser consultadas.
Sugerimos muito cuidado ao
acessar material de empresas que nunca trabalharam com segurança de informação
ou gestão de processos/projetos, antes da criação das Leis de Privacidade: em
momentos como este, surgem muitos oportunistas dispostos a faturar sobre a
falta de conhecimento, que o mercado tem sobre o tema.
Adicionalmente ao Diagnóstico
Situacional sobre o cenário da LGPD, podemos iniciar uma auditoria prévia sobre
conformidade aos itens da ISO 27001. Para empresas menores, é recomendável
realizar uma autoavaliação de governança do IASME, que inclui perguntas sobre
"Cyber Essentials" e a GDPR.
Uma autoavaliação de
governança com base no IASME é um excelente ponto de partida para qualquer
organização, independentemente de seus planos de conformidade à LGPD.
De qualquer forma, é
fundamental registrar que a conformidade à Leis de Privacidade, seja a GDPR ou
a LGPD, está intimamente ligada à boa estrutura da segurança da informação, ao
apoio da alta gestão e à uma revisão de procedimentos operacionais pelas áreas
de negócios, não se tratando de um assunto limitado ao Jurídico ou à TI, sendo
multidisciplinar e holístico, na medida em que envolve uma percepção do
relacionamento entre os participantes de todo ambiente corporativo.
Meu nome é Fernando Marinho,
sou consultor de empresas especialista em Continuidade de Negócios, Privacidade
& SI, Gestão de Riscos e de Crises. Professor de Pós Graduação na UFRJ,
UniRIO, Escola de Guerra da Marinha e outros, além de participar de três Grupos
de Trabalho na ABNT (Riscos, Continuidade de Negócios e Segurança), também
publiquei três livros sobre o que faço.
Linkedin: linkedin.com/in/fernandomarinhobcp
Fonte: Perfil de Fernando Marinho no Linkedin
Nenhum comentário:
Postar um comentário