32
Ínicio
>
Dicas
>
Direito Digital
>
Lançamentos
DICAS
DIREITO DIGITAL
LANÇAMENTOS
Segurança e governança de dados
Patrícia Peck Pinheiro
03/02/2021
É inegável que passamos por uma transição para uma sociedade digital. A indústria e os serviços estão se transformando. Até setores mais tradicionais da economia brasileira, como a agropecuária e a indústria extrativa, estão se digitalizando com uma velocidade incrível. E nesse contexto já começamos a ver a materialização de preocupações da sociedade em torno do tratamento de dados, em especial os pessoais, por essas organizações. Exemplos nítidos são as Leis de Privacidade (como a LGPD, a GDPR, o CCPA) ou regulações setoriais na área de saúde e no setor financeiro.
Cuidar e proteger a informação é uma prioridade para o setor de Tecnologia da Informação (TI), que vem amadurecendo há décadas. Com a transformação digital de todas as outras organizações do País, é interessante observar como as boas práticas e os conceitos de segurança e governança de dados do setor de TI passam a ser “importados” para esses outros setores.
Nesse sentido, este ensaio se propõe a abordar de maneira introdutória alguns conceitos e boas práticas do setor de TI acerca de segurança e governança de dados. Num primeiro momento, serão abordadas as diferenças entre processos e aplicações presentes nas organizações de TI (e, cada vez mais, em todas as organizações), mostrando as dificuldades e os pontos que merecem atenção para um efetivo trabalho de conformidade com as legislações de dados, em especial a LGPD.
Num segundo momento, apresentamos as boas práticas de segurança e governança da informação do setor de TI, em especial a família ISO 27000. Grosso modo, entendemos que há todo um conjunto conceitual de proteção e governança de dados presente nas boas práticas do setor de TI que transborda para regulações e boas práticas estipuladas ou estimuladas por governos no Brasil e no exterior. Todas as organizações, não somente as do setor de TI, têm nessas boas práticas um importante referencial para navegarem de maneira segura e confiável nessa nova era digital e, sem dúvida, ajudam na jornada de conformidade com as novas leis e regulações que miram as práticas organizacionais na era digital.
O terceiro eixo deste ensaio diz respeito às técnicas e conceitos de “Proteção por camadas”. Trata-se dos conceitos usados no setor de TI para a elaboração e implantação de uma estratégia de segurança sistêmica que procura combinar a proteção de ativos (dados) por meio da adoção de táticas que visem às infraestruturas físicas e virtuais.
Com o processo de digitalização das organizações e, em especial, da combinação de suas existentes infraestruturas físicas com as nascentes estruturas virtuais, temos um importante aporte para uma transformação digital mais madura e segura das organizações na proteção dos seus dados.
Por fim, o quarto eixo temático trata sobre as ferramentas digitais para uma boa governança e segurança de dados, as quais, com a digitalização e o alto volume de dados, tornam-se impossíveis de ser realizadas por seres humanos.
Entra em campo a necessidade premente de ferramentas digitais para tarefas essenciais, a saber: a detecção e prevenção de falhas e ataques, a gestão de acessos a dados e aos sistemas e o monitoramento das nuvens.
Acreditamos que as organizações fora do setor de TI que se apropriarem desse “ferramental” de boas práticas largarão na frente em suas jornadas em conformidade com as leis e regulações de dados, sejam as existentes ou as futuras. Esperamos que os leitores tenham aqui um pontapé inicial para seguirem, explorando esse campo nascente e frutífero da segurança e da governança de dados.
Processo x aplicação
Talvez o ponto-chave no processo de adequação de empresas de tecnologia da informação seja exatamente o mapeamento de dados ou data mapping. Esse processo, comum a qualquer outro ramo de atividade, consiste em identificar sempre que, na execução do negócio, dados pessoais são coletados e tratados.
A princípio, parece uma atividade simples, porém existem algumas ciladas nessa análise. Talvez a primeira delas seja a distinção entre processo e aplicação. Na maioria dos casos, empresas de tecnologia utilizam aplicações (softwares, programas de computador) para resolver seus problemas de negócio. Podemos elencar alguns exemplos: faturamento, que consiste basicamente na emissão de uma nota fiscal. Para isso, certamente, há um software que desempenha essa função.
Nesse cenário, processo e aplicação são basicamente a mesma coisa. Há uma necessidade de negócio (processo) que significa emitir fatura de produtos ou serviços vendidos e há um sistema que desempenha essa função (aplicação).
Logo, no mapeamento de dados, basta olhar para quais dados são coletados para esse fim e essa etapa do trabalho estaria concluída. O problema reside nas variantes desse contexto. Vejamos.
Quando um processo de negócio se dá parcialmente dentro de uma aplicação. Por vezes, aquele mesmo processo de faturamento depende de um controle periférico que não é coberto pelo sistema. Nesse caso, há de identificar todo o processo, quais dados são tratados na aplicação e quais dados são tratados fora dela. Um exemplo claro dessa situação são as atividades desempenhadas pelos times de marketing no cadastramento de contatos. Mesmo com um sistema estruturado para a gestão dessas informações, o input delas nem sempre vem do próprio titular.
Normalmente, as equipes de marketing coletam esses dados em eventos, que são consolidados em fichas manuscritas ou planilhas eletrônicas. Aqui há nitidamente um “pedaço” do processo que está fora da ferramenta.
Nesse caso, é muito importante se atentar a esse aspecto, pois, no exemplo anterior, justamente aquela parte do processo que poderia ser desconsiderada no mapeamento é a mais vulnerável a um possível vazamento.
Outra situação comum de confusão é quando um mesmo processo utiliza várias aplicações ou, o contrário, uma mesma aplicação suporta diversos processos. No primeiro exemplo, podemos considerar um processo de gestão de incidentes. Caso essa gestão de incidentes esteja acoplada ao Configuration Management Database (CMDB), e de lá consiga disparar a aplicação das correções para os incidentes reportados.
Aqui, o processo em si é o de gestão de incidentes. E a eventual coleta de dados pessoais ocorre para atender a essa necessidade. No entanto, esses dados pessoais (como nome do usuário, telefone, e-mail) podem fluir para outros sistemas como CMDB ou até alguma outra ferramenta de aplicação de correções. Nota-se que aquela lógica da aplicação suportando o processo se complica, uma vez que haveria mais de uma aplicação tratando os mesmos dados com igual processo.
Por sua vez, o segundo exemplo é quando há um mesmo sistema ou aplicação, porém ele suporta vários processos de negócio. Talvez o exemplo mais claro para essa condição sejam os sistemas de Enterprise Resource Plannings (ERPs), os quais, por natureza, realizam a gestão de inúmeros processos de negócio. Isso significa que um mesmo dado pessoal, quando dentro do sistema, pode ser utilizado para fins distintos. Exemplo: um cliente foi cadastrado para permitir que seus produtos fossem faturados, porém esse mesmo cadastro é usado para prospecção de novas vendas.
Se a empresa não se atenta a essas nuances, pode dar o enquadramento errado a um determinado tratamento (no caso supramencionado, a base legal para faturamento certamente será diferente da base legal para prospecção de novas vendas).
Gostou deste trecho do livro LGPD Aplicada? Então clique aqui para saber mais sobre a obra!
O ano de 2020 ficará para sempre marcado na História da humanidade por ter sido o ano da pandemia da Covid-19. E, no caso do Brasil, ainda trouxe consigo a entrada em vigor de uma das regulamentações mais importantes dos últimos anos: a Lei 13.709/2018, Lei de Proteção de Dados Pessoais, também conhecida por LGPD.
Nesse contexto, esta obra, elaborada por 24 renomados autores, dentre os quais os coordenadores Ana Paula Moraes Canto de Lima, Marcelo Crespo e Patricia Peck Pinheiro, trata das aplicações e desafios da Lei em diferentes setores econômicos: nas empresas, no marketing, nas esferas de serviços ou de produção.
É uma importante referência para quem precisa entender, avaliar e executar as melhores práticas de gestão e governança. A terceirização do tratamento de dados, a adequação do e-commerce, do marketing e das startups à LGPD, a proteção de dados no setor financeiro, na educação, na saúde, na indústria farmacêutica e no setor automobilístico são alguns dos aspectos tratados pelos autores.
Cada vez mais o foco precisa ser a mudança de cultura e uma atuação multidisciplinar e multidepartamental nessa jornada a caminho da conformidade com a LGPD.
LEIA TAMBÉM