O roteiro da Lei Geral de Proteção de Dados (LGPD) define uma série de personas dentro e fora das organizações, como o Data Protection Officer (DPO), responsável pela arquitetura de dados e, muitas vezes, um executivo que pode não ser da área de segurança da informação à frente dos comitês de proteção de dados. Diante desse cenário, qual o papel dos CISOS e CSOs?
Durante o Security Leaders, realizado em Brasília, a consultora Francimara Teixeira Garcia Viotti, da TC&P, defendeu ser agora a vez do gestor de segurança mostrar o valor de sua atividade que, na realidade, a LGPD apenas chancela o que já ele faz há anos, mas sempre foi visto com figurante das principais decisões de negócio. Ou seja, aquela figura que era informada sobre os projetos inovadores depois que já estavam rodando e acionados na hora que o incêndio já estava se formando. E, ainda, brigava por investimento sem muito sucesso.
O que mudou de fato é que a transformação digital está avançando a toda velocidade e as decisões sobre infraestrutura e segurança têm que deixar os gestores cientes do contexto consequente com os riscos que essa revolução traz. “O que mudou na segurança de fato? Até um tempo atrás víamos as pessoas como elo fraco da segurança, eu tinha um colega que dizia: TI é um sucesso que estraga o usuário. Se não tivesse usuário, TI seria um sucesso. Porque usuário mente! Está fazendo bobagem e ele mente, falando que a culpa é sua”, destaca Francimara.
Na visão da executiva, a principal mudança é que hoje o CISO deve olhar para o usuário com carinho porque ele é o centro da segurança porque ele é o dono da informação. Diante disso, o novo perfil desses gestores é dividir as responsabilidades com as áreas usuárias. Isso significa que ele não precisa ser um ninja nem o bode expiatório dos problemas de segurança. Por outro lado, o que não mudou no roteiro do CISO é continuar trabalhando com ética porque é um conceito comunitário e isso independe de legislação.
Apesar disso, a LGPD tem tirado o sono dos CISOs e CSOs porque aparentemente traz uma série de regras que, na verdade, já eram ou deveriam ser praticadas nas empresas. Se antes havia uma grande dificuldade para colocá-las em prática, agora é a oportunidade para o plano de ação entrar em operação, o que revela que a lei não mudou muita coisa na vida dos gestores de segurança.
Um quinteto desafiador em cena
Embora exista certo medo da regulamentação que vem por aí, na verdade a LGPD apenas colocará em conformidade tudo aquilo que contribuirá para o reconhecimento do trabalho que o CISO realiza ou sempre quis implementar. Francimara elenca cinco grandes desafios para a segurança no contexto da LGPD:
– Identificação de agentes: a lei exige essas figuras que antes não se ouvia falar com tanta frequência, como os agentes de tratamento dos dados e o Data Protection Office. Nesse contexto, surgem dúvidas sobre quem é quem e onde está a figura do CISO ou CSO.
– Auditoria de dados: Na prática, o mercado está acostumado com auditorias internas e a regulamentação traz o holofote para algumas áreas e agora é a vez da segurança reportar aquilo que já faz, dentro das bases da LGPD.
– Elaboração de mapa de dados: isso sempre foi uma luta entre as áreas de desenvolvimento e as áreas de suporte a segurança ou CSO, uma vez que o que foi desenvolvido é o que pediram para entregar com os níveis de liberação de acesso. Nesse sentido, essa definição já era feita e o que o CISO ou CSO faz é identificar quais são os atributos. “Apenas mudamos a nomenclatura do já conhecido dicionário de dados”, lembra Francimara.
– Revisões das Políticas e Normas de Segurança: As revisões das Políticas e Normas da Segurança é o arroz com feijão do responsável pela segurança. Portanto, ele tem que revisar todo dia. “Acredito que para nós, no Brasil, a LGPD garante uma tranquilidade porque se espelha no modelo europeu, já considerado maduro e permite exercer práticas que já foram feitas lá fora. O que nós temos agora é uma formalização desse processo”.
– Relatório de impacto de privacidade: todo gestor que não relatório, que não acompanha, não sabe o que está acontecendo, principalmente em tempos do boom das redes sociais e o impacto da internet.
Princípios da LGPD
Diante dos princípios da LGPD, muitas ações na verdade apenas mudam de nomenclatura daquilo que já era praticado. Um exemplo é o que trata a lei quando diz que a segurança requer responsabilização, livre acesso e qualidade de dados. Trocando em miúdos, Francimara traduz isso em confidencialidade, disponibilidade e integridade.
“A lei conta com uma parte pesada onde aponta que se você tiver um vazamento precisa comunicar, além de uma série de protocolos envolvidos”, observa. A integridade da informação também é muito importante porque se esse dado que foi repassado para um terceiro de forma distorcida, pode gerar um problema maior. E a disponibilidade, que trata a informação para quem precisa dela na hora que é requisitada e que tem direito a ela. “Então, acredito que a lei não mudou em nada as nossas necessidades e as nossas angústias”.
Outro ponto tratado na Lei Geral de Proteção de Dados é a classificação dos dados e um dos conceitos sensíveis é o anonimato. “Quem nunca trabalhou com o conceito de classificar a informação, confidencial, restrita, pública – que evidencia qual dado é sensível – e quem não atuou com o mascaramento de dados para o pessoal do desenvolvimento não pegar o seu cliente e manipular as informações?”, questiona Francimara quando aponta ser esse um cenário que deve haver um grande diálogo entre as áreas de auditoria que virão e os processos a serem adotados na anonimização sem quebrar a integridade do dado.
A lei também contempla os direitos do titular. Se antigamente o usuário já desenvolvia projetos, os implementavam e somente depois os comunicava para o gestor de segurança, hoje em dia ele é quem manda na informação. Por isso, agora é a hora de construir relações próximas dentro das empresas porque rodar uma aplicação sem obedecer políticas, normas e requisitos de segurança representa um risco enorme. E o impacto dos incidentes representarão multas para o negócio.
“Hoje precisamos dar acesso de como essa informação é tratada, responsabilizar quem cuida dela e a clareza desse dado para que o cidadão saiba o que está sendo captado. No entanto, vale lembrar que qualquer pessoa que pesquisar seu nome no Google encontrará várias informações pessoais vazadas na internet. Nosso papel é garantir, registrar e controlar do início ao fim. Mas isso mudou? Não! Era assim que tinha que ser. Deveríamos ter feito isso desde o começo”.
Outro princípio da LGPD é a exigência dos relatórios de segurança. No entanto, essa atividade já era uma lição de casa conhecida pelos gestores, uma vez que já olhavam para a rede, identificando as vulnerabilidades, possíveis brechas para vazamento, avaliação de risco. Porém, o diferencial agora é olhar a informação num contexto além de enxergar as informações estáticas.
E, ainda, a lei exige os registros de operação de tratamento de dados que, na verdade, deveria ser parte do dia a dia. “Anos atrás, estava trabalhando pra fazer LOG de acesso às informações e as áreas de desenvolvimento naturalmente não faziam nada disso. Por isso, tínhamos que buscar no mercado e muitas vezes não existia. E os requisitos de segurança que nada mais são as declarações de política de segurança”, lembra Francimara.
Os princípios que a Lei traz também o Privacy by Design. Nesse sentido, Francimara lembra que isso também não mudou. A LGPD converge na ISO 27001 e ISO 27002, relacionadas aos dados digitais ou sistemas de armazenamento. .