Os processos decisórios relacionados à Segurança da Informação exigem do CISO um destravamento interno. Peter Drucker, considerado o pai da administração moderna, afirma que “sempre que nos depararmos com uma empresa bem-sucedida, é porque alguém, algum dia, tomou uma decisão corajosa”. Com essa citação, Marcos Sêmola, partner da EY, provocou uma profunda reflexão durante do Congresso Security Leaders sobre o papel dos líderes de Segurança em processos decisórios que envolvem não apenas aspectos de SI, mas também de privacidade e proteção de dados.
“Minha proposta é ajudar a destravar o líder que existe dentro do CISO, do DPO e dos profissionais que atuam na comunidade de Segurança, dando uma visão mais precisa da dimensão do problema e dos riscos envolvidos no processo de conformidade com a LGPD. Quando o líder tem uma boa compreensão do cenário em que ele atua, a tomada de decisão é corajosa, não segue a manada minimizando os efeitos da não conformidade, mas sim, de reconhecer que o investimento é necessário, que as equipes precisam ser multidisciplinares e que estamos tratando de um tema perene”, destaca.
Na visão do executivo, o brasileiro tem um perfil cultural averso à prevenção, com características imediatistas e sem o desenvolvimento necessário de habilidades para projetar cenários futuros. Em tomadas de decisão empresarial, principalmente quando envolvem temas relacionados a privacidade, proteção de dados e segurança cibernética, é importante que os líderes evitem os vetores de influência e não sejam levados pelo primeiro julgamento da situação. “É aí que mora o perigo pois CISOs, DPOs e líderes de SI devem avaliar bem um processo decisório”, diz.
Ele lista sete etapas nessa jornada como identificar o problema, coletar informações e dados para avaliação, elaborar alternativas de solução, analisar as evidências, escolher a melhor opção, implementar alternativas e revisar a decisão tomada. “O importante é esse grupo de líderes que atuam diretamente com privacidade e proteção de dados entender a natureza do problema, caso contrário, o risco de tomar decisões equivocadas é muito grande”, acrescenta.
O problema por trás da LGPD
Outro ponto que dificulta o processo de tomada de decisão com olhar para privacidade e proteção de dados é a jornada de conformidade da LGPD no Brasil. Por mais que a ANPD já esteja estabelecida, com integrantes capacitados, as regras de uso de dados pessoais ainda estão sendo estabelecidas entre controladores, operadores, empresas e titulares. “Certamente esse ajuste é um dificultador para o líder que faz o entendimento do problema e precisa tomar decisões em cima de regras que ainda estão sendo construídas”, pontua Sêmola.
O executivo também destaca a importância dos envolvidos eliminarem os ruídos e influências prejudiciais no processo de entendimento do problema. “O líder empresarial convive com muitos ruídos sugerindo que LGPD não tem tração, que talvez sem fiscalização não haja punição e, sem punição, não existe a necessidade de investimento ou adequação”, ressalta.
Sêmola destaca em sua palestra sobre a necessidade de o líder de Segurança estar antenado e atualizado constantemente para obter informações atuais e desenvolver sua visão sobre os riscos e os processos de tomada de decisão. Isso porque, um levantamento do escritório Opice Blum Advogados apontou que incidente de segurança é tema de 7 em cada 10 decisões judiciais relacionadas a LGPD, direitos dos titulares e proteção de dados.
Hoje, a conformidade com a LGPD é cobrada pelo mercado, que começa a enxergar maior valor nas empresas capazes de demonstrar maturidade, tração e conformidade com regulações como um diferencial competitivo. “Ainda estamos lidando com uma lei jovem, que ainda vai sofrer ajustes de conduta, de novas regulamentações e uma harmonização com outras leis e regulamentos. E a Segurança da Informação é um alicerce da adequação à LGPD”, finaliza Sêmola.
A palestra do executivo está disponível na íntegra no canal da TVD no Youtube.
