Com o GDPR firmemente instalado na Europa e o LGPD do Brasil prestes a entrar em vigor, é vital que o Data Professional Officer e o Chief Information Security Officer trabalhem juntos.
O CISO examina questões de segurança do ponto de vista de negócios e operações. Ao reforçar a postura de proteção cibernética de uma organização, esse profissional trabalha para garantir que todas as informações da empresa sejam processadas de maneira segura.
Ao contrário do exemplo acima, que está focado em proteger os interesses de segurança da organização, o DPO se preocupa principalmente com a forma em que a organização lida com dados pessoais. Suas preocupações incluem comunicação com os titulares dos dados, gerenciamento de direitos, minimização de armazenamento, coleta, processamento e minimização de dados.
Minimização de dados
Um dos principais objetivos do DPO é garantir que nenhum dado desnecessário do cliente seja processado, mas, caso aconteça, ele não deverá ser mantido além de uma determinada data (conforme o compromisso mencionado na política de privacidade), e os clientes deverão ser informados sobre a natureza do processamento dos dados.
Com a minimização de dados, menos informações pessoais são armazenadas, o que diminui a superfície geral do ataque. Este é um ponto importante quando se trata da colaboração entre os dois profissionais. Com o DPO ajudando a minimizar a quantidade de dados coletados, o CISO é capaz de manter um nível mais alto de segurança.
Transparência, comunicação e gerenciamento de direitos
Enquanto o CISO está preocupado com a transferência segura de dados de um lugar para outro, e o DPO está focado na legalidade da transferência, garantindo que os clientes aprovem o movimento de seus dados e estejam cientes do que exatamente a organização pretende fazer com eles.
Criando um registro de atividade
Ao criar um registro, o DPO pode ajudar o CISO a monitorar os vários fluxos de dados dentro da organização. Um registro de atividade eficaz responderá perguntas como “Onde exatamente essas informações estão sendo usadas?”, “Quem as está usando?” e “Para quem esses dados estão sendo transferidos?”. Mais uma vez, o CISO está interessado nessas informações do ponto de vista de segurança e o DPO tem preocupações com a privacidade.
Proteção de dados por design
Outra maneira na qual ambos profissionais podem trabalhar efetivamente juntos é durante o desenvolvimento dos produtos. Ao trabalhar em estreita colaboração com os desenvolvedores de uma organização, o DPO e o CISO podem, proativamente, incluir proteção de dados em seus produtos.
Lidando com quebras e violação de dados
Outra ocasião de trabalho conjunto seria no caso de violação de dados ou de privacidade. Aliás, esses eventos costumam ser díspares. Por exemplo, talvez um cliente receba um formulário de contato e seu número de telefone seja usado posteriormente para vender um produto a ele. Se não houvesse um link para a política de privacidade no formulário de contato, isso seria uma violação da privacidade, mas não uma quebra. Outro exemplo seria se ocorresse uma violação de dados; no entanto, apenas um código fonte foi roubado. Este seria um caso de violação de dados que não é uma violação de privacidade.
De qualquer forma, para avaliar a natureza da situação, deve haver uma estreita colaboração entre os escritórios do DPO e do CISO. Isso é especialmente importante durante uma violação, pois podem ocorrer multas se as autoridades não forem informadas sobre um incidente a tempo.
Avaliação de impacto
Após uma violação, as organizações devem realizar uma avaliação de risco, durante a qual o DPO atua em uma função consultiva. Além de auditar a infraestrutura de segurança existente do CISO, o DPO deve oferecer conselhos para o futuro. Com a ajuda do CISO, o DPO pode responder a perguntas como: “Um incidente como esse pode acontecer em outro lugar?”, “Como podemos nos proteger contra esse avanço?” e, o mais importante: “Deveríamos estar coletando esses dados pessoais em primeiro lugar?”.
Os dois executivos podem abordar proativamente possíveis problemas de privacidade de dados trabalhando juntos. Ao fazer isso, o DPO pode ajudar o CISO a proteger os dados com mais eficiência. Com a orientação do DPO, a transferência de dados de um lugar para outro pode ser feita de forma segura e legal. Isso reduz a chance de uma violação de segurança e economiza tempo e dinheiro das organizações.
*Rajesh Ganesan, Vice Presidente da ManageEngine