Por Juan Carlos Cerrutti
Recentemente, um grande vazamento na Internet, expondo dados pessoais de uma grande parcela da população brasileira movimentou uma discussão – já antiga – nos meios empresariais sobre porque este tipo de coisa ainda acontece, uma vez que as tecnologias de segurança digital estão cada vez mais eficientes e, em tese, este tipo de incidente não deveria acontecer.
Pelo menos, em tese, porque esta não foi a primeira vez que vazamentos aconteceram e que informações pessoais de cidadãos foram subtraídas de sistemas de dados de organizações que, por obrigação, deveriam cuidar bem do ambiente de informação e fazer de tudo para que esta modalidade de crime não aconteça.
No entanto, não podemos ficar aqui apenas discutindo qual seria a empresa que foi invadida e tentando colocar a culpa nos outros. Devemos, sim, olhar para a nossa própria casa e pensar no que podemos fazer para que os dados dos clientes não sejam vazados. Afinal, os negócios dependem de informações protegidas nos diversos sistemas que utilizamos e armazenados em bancos de dados, e-mail ou sistemas de arquivos, entre outros. Sem os dados pessoais não há negócio, sem a proteção a eles não há negócio seguro.
Mas, se os dados são vitais para os negócios, o que as empresas precisam fazer para se adequar à nova realidade? Entendemos que, primeiramente, é saber quais dados a empresa possui, onde eles estão guardados em seus sistemas, e quais deles devem ter atenção especial sob a luz da GDPR e LGPD, entre outras normas regulatórias, e quais devem ser imediatamente descartados. Levando-se em consideração as novas regras, saber exatamente o que se tem em mãos é mandatório. Caso aconteça um vazamento, que não sejam afetados os dados valiosos ou altamente confidenciais, uma vez que a localização desse tipo de dados era conhecida e protocolos de segurança adequados estabelecidos.
Definindo o escopo dos dados pessoais
As novas leis de proteção de dados possuem uma definição em comum que é a exigência de que todas as organizações sejam responsáveis pela proteção dos dados pessoais de seus clientes internos e externos. Assim, é importante ter muito bem claro quais os tipos de dados e sistemas de informação compõem o escopo relacionado às novas regras. As empresas que possuem seus dados não estruturados irão sofrer mais para poder atender às novas regras e poderão ser surpreendidas com possíveis vazamentos, o que poderá colocar o seu negócio em risco.
O processo pelo qual as organizações estabelecem onde diferentes tipos de dados podem ser guardados é frequentemente chamado de “mapeamento de dados”, que pode ser realizado por meio de uma ampla variedade de técnicas e, para ser realmente eficaz, precisa ser abrangente e tende a descrever como uma organização atua; e como tal, reflete a melhor percepção dos processos e fluxo de dados pelas partes interessadas. Esta abordagem ocupa um papel importante no processo de proteção de dados e pode ser considerada a primeira etapa para uma empresa seguir rumo à adequação às novas regras da LGPD e GDPR.
E quais seriam os passos seguintes?
Após o mapeamento, que se torna a pedra angular de diferentes práticas de segurança, privacidade, jurídicas e de conformidade, as organizações poderão seguir com um conjunto de ações pró-ativas, como a classificação dos dados e outras técnicas de segurança para proteger adequadamente seus dados valiosos e confidenciais.
Determinando o valor dos dados
Nem todos os dados têm o mesmo valor e nem precisam da mesma classificação, mesmo que todos necessitem ser protegidos. Aqueles dados que não precisam ser mantidos devem ser imediatamente descartados. Não apenas porque servem apenas para criar volume, mas porque custa caro ter um ambiente de armazenamento para coisas que não precisamos. A lixeira é o melhor lugar para dados inúteis. Neste tópico, utilizamos o conceito do termo ROT (redundante, obsoleto, trivial) – para descrever dados que não fornecem valor comercial.
Minimizando a quantidade de dados: possuir dados além do necessário faz mal aos negócios, por vários motivos, pois aumenta o risco de acesso às informações críticas e àqueles que estão sob o olhar da legislação. Quanto maior a quantidade de dados retidos sem necessidade, maior poderá ser o problema com eles. Depois de mapear seus dados, você pode excluir ou colocar em quarentena os dados que não fornecem valor comercial.
Por este motivo, a governança de dados deve ser contínua e não adianta pensar em fazer isso apenas porque a Lei manda. O saneamento de dados sempre foi um assunto debatido nas organizações, mesmo antes das novas regras entrarem em vigor, mas com esta necessidade de adequação, as organizações conquistam mais confiança do seu cliente e do mercado, o que será benéfico para todos.
*Juan Carlos Cerrutti, Diretor da ActiveNav para América Latina.