Seis meses a mais para definir e executar a estratégia de compliance à Lei Geral de Proteção de Dados, cuja vigência passou de fevereiro para agosto de 2020, pode até aliviar um pouco a pressão sobre todas as áreas relacionadas. Mas nas organizações que já tomaram ciência dos desafios, os profissionais de Jurídico, RH, comercial ou TI já sabem que um prazo mais tranquilo está longe de significar um prazo folgado.
A partir da experiência nas organizações mais avançadas nesta jornada, verificamos como se pode aproveitar esse tempo extra para tornar a transição mais estável e atenuar o impacto operacional e financeiro de adequação às regras de proteção de dados.
01 – Discovery, onde estão e por onde entornam os dados críticos
Já é consenso que o velho conceito de “perímetro” é insuficiente na infraestrutura de rede (não basta proteger a LAN) e a mesma regra se aplica à camada de dados. É óbvia a prioridade de proteger os grandes repositórios, os dispositivos de armazenamento e os bancos de dados. Isso também é evidente para os agressores, que buscam “comer pelas beiradas” e pescam informações em end points, serviços em cloud e até mesmo em servidores fora do data center (em filiais, por exemplo). E mesmo após a implementação das novas políticas de compliance, controlar os dados que escorrem entre diversas aplicações e processos de negócios será uma prioridade contínua. Nos seis meses a mais para procurar, certamente muito mais vai se achar.
02 – Muita conversa com muita gente para definir o escopo do uso de dados
O pecado da gula, quando os “gênios do big data” veem uma oportunidade de capturar aniversário, endereço e outros dados na hora de vender uma aspirina, agora pode ter uma penitência mais pesada. É claro que conhecer o cliente para personalizar o atendimento ou fazer uma oferta relevante é um diferencial determinante em muitos casos. Em outros, a chave pode ser apenas vender mais barato e aí o gasto espúrio com captura ou armazenamento passa a ser acompanhado de um risco possivelmente prescindível. Não é uma discussão banal, à medida que envolve visões diferentes do Comercial, do Financeiro e outras áreas relacionadas.
03 – Escalonar os investimentos conforme o risco
É implausível que alguém prometa 100% de segurança com um clique. E isso não é só questão de tecnologia. A partir do diagnóstico de impacto de incidentes contra a privacidade (DPIA), serão necessárias medidas incrementais (como ajustes de configuração) e implementações que tendem a começar pelo pior caso para minimizar os riscos com maior potencial de danos.
04 – Revisão do relacionamento com fornecedores e prestadores de serviços
Em um dos casos mais ilustrativos de recuperação de imagem institucional, credibilidade e condições de manter sua operação global, a Uber demitiu sumariamente cerca de 700 fornecedores, quando a área de segurança e compliance se sobrepôs às resistências das áreas de negócios. A partir da visibilidade de como os dados circulam no ecossistema de negócio, avisar, exigir, dar prazos e eventualmente substituir parceiros que agreguem riscos à operação.
05 – Comunicação, treinamento e mitigação de ameaças internas
O índice de incidentes provocado por usuários mal intencionados é preocupante por suas consequências, mas não chega a abalar nossa crença na honestidade pessoal da maioria dos funcionários. O problema, quando se trata de privacidade de dados, é que além dos usuários comprometidos (vítimas de malware, engenharia social etc.), as novas normas implicam mudanças de conduta e na própria cultura do ambiente de trabalho. E essa “reprogramação” levam mais tempo do que reconfigurar firewall ou qualquer outra intervenção técnica.
06 – Evitar um “ransoware light” contra si mesmo
Criptografia já deixou de ser um termo exclusivo das comunidades técnicas e já é popular entre todos que pensam em confidencialidade e segurança. Mas toda grande solução traz pequenos problemas. É importante lembrar que se o mesmo dado for criptografado duas vezes é óbvio que as versões criptografadas não serão iguais entre si. Como consequência, torna-se inviável a deduplicação, com todos os seus efeitos tanto no custo de armazenamento quanto no risco operacional de se trabalhar com informações desencontradas.
07 – Privacy by design, como fazer certo da primeira vez
Os grandes desafios da jornada à LGPD, naturalmente, estão na reconfiguração da tecnologia legada, assim como nos ajustes do desenho dos processos de negócios. Não faz sentido, portanto, produzir mais “legado”, o que geraria mais retrabalho em um futuro bem próximo, além de deixar brechas que podem ser vedadas desde já.
08 – Privacidade não é tudo na Segurança da Informação
Como ensina o mestre Miyamoto Musashi, maior esgrimista de todos os tempos, foco é uma grande distração. Por se tratar de uma tarefa mandatória, com prazos e sanções determinados, a conformidade à LGPD será uma prioridade comum a praticamente todas as organizações ao longo deste ano. Mas os cibercriminosos continuam a dedicar tempo e recursos a ataques à infraestrutura, à disponibilidade dos dados (ransonware) e a novas vulnerabilidades como as redes de IoT. Nesse contexto, o açodamento e a atenção à agenda da LGDP pode ser uma oportunidade para facilitação de outras modalidades de ataque.
09 – Não se forma um DPO da noite para o dia
O prazo de vigência da LGDP ficou para o dia 16 de agosto de 2020. A atribuição de formular e garantir a execução de uma política de compliance envolve conhecimento em várias disciplinas. Não há otimismo que justifique deixar tudo isso para o dia 15 de agosto.
10 – Massa crítica para entender o Fator Humano da
Segurança da Informação Contextualizar, compreender e antecipar os desdobramentos das intenções de quem lida com dados críticos é o caminho para se ter uma Proteção Adaptativa ao Risco e se proteger efetivamente das ameaças conhecidas, desconhecidas e por vir. As ferramentas de UEBA (análise comportamental de usuários e entidades) já contam com mecanismos para contextualizar o que faz ou não sentido em cada situação de acesso e uso dos dados. Contudo, quanto mais a plataforma de segurança “aprende” o jeito de cada empresa ou usuário trabalhar, mais precisa será a identificação e mitigação dos desvios mais sutis.
Agende conosco uma avaliação do seu ambiente de dados!
Você precisa estar em compliance!
