É hora de considerar com detalhes quais práticas ajudarão a elevar o nível da segurança da informação
Ainda que a sua empresa não esteja baseada em território Europeu, o Regulamento Geral de Proteção de Dados (GDPR), que entra em vigor em maio de 2018, influenciará em algum nível a forma como lidar com as questões de privacidade. De maneira mais direta, se a sua empresa tem operação naquele continente ou se processa dados de cidadãos europeus, o regulamento já se aplica. Com a globalização, não é um cenário improvável que um de seus clientes tenha origem estrangeira. Portanto, não se preparar para lidar com essa nova realidade, pode causar perdas financeiras e, o que parece ainda mais prejudicial, perda da confiança dos clientes.
Outro nível de influência é o debate que o GDPR suscita. Quais razões levaram este grupo de países a aderirem? Como os indivíduos passarão a se comportar após a vigência e resultados do regulamento? E, mais importante, como se preparar para atender às regras e estar em conformidade com o regulamento? Todas essas perguntas orientarão mudanças nas políticas de segurança e compliance das empresas.
A despeito do GDPR, o tema do cuidado com a privacidade não é novo. No entanto, diversos casos recentes de vazamentos de dados apontam para um ultimato. Não é apenas o prazo de vigor do GDPR que se aproxima: é o alerta para as empresas de que é hora de considerar com detalhes quais práticas ajudarão a elevar o nível da segurança da informação. O regulamento europeu é apenas consequência do contexto atual da cibersegurança.
E esse tema também não é inteiramente novo em terras brasileiras. O Marco Civil da Internet prevê uma série de deveres relativos a proteção de dados pessoais e comunicações privadas, além do armazenamento seguro e sigilo dos registros. Mas, o regulamento europeu já versa sobre aquilo que o Marco Civil brasileiro ainda pode avançar: transparência.
Com esta demanda no escopo, toda empresa precisará implementar novos procedimentos administrativos, políticas e controles de segurança que assistam na necessidade de gerir corretamente os dados de clientes. Porque não há privacidade e transparência sem segurança. A notificação obrigatória de falhas, que facilitará o mapeamento de responsabilidades, também oportunizará a adoção de tecnologia para previsão de vulnerabilidades, correção e mitigação de riscos. Por outro lado, a governança de dados, que é crucial para proteger clientes, também envolve segurança desde o escopo. A partir destes requerimentos, emergirá um novo conceito corporativo de qualidade e confiabilidade.
Para endereçar os requisitos de conformidade, muitas empresas deverão passar por uma revolução em termos de quais tecnologias deverão ser adotadas. O desafio vai além da coleta e do armazenamento dos dados. Como e onde armazenar, quais controles de segurança serão implementados, qual a abrangência de cenários de ameaça e de risco são endereçados por estes controles, quais critérios orientarão a gestão dos dados. E ainda mais importante, que tecnologia a empresa pode adotar para desempenhar duas missões: gerir a aderência de todo o ecossistema às regras de conformidade da norma em questão; e a capacidade de reportar os registros armazenados.
Em todo caso, o mindset corporativo precisará respeitar a segurança da informação. Essa será a grande transformação promovida pelo regulamento. Para prover privacidade de dados e ser transparente, será finalmente mandatório encarar a tecnologia de cibersegurança como uma grande aliada capaz de proteger infraestruturas, dispositivos, usuários e dados corporativos de forma mais abrangente.