Em um dia de debates aprofundados com especialistas no tema, durante o EXAME Fórum Segurança da Informação, na última semana, em São Paulo, três pontos foram apontados como fatores chave para um projeto de segurança da informação de sucesso: pessoas, processos e tecnologia.
O consenso é que, a curto prazo a mudança de cultura e de processos será dolorosa, mas a médio e longo prazos será uma vantagem: as empresas brasileiras, quando estiverem adaptadas às regras da GDPR europeia e à sua variante brasileira, a LGPD, serão mais competitivas no mercado global.
A nova Lei Geral de Proteção de Dados (LGPD) terá, ao menos, 9 consequências afetando diretamente os ambientes corporativos, veja quais são:
1. Fortalecimento do setor
O setor de segurança da informação está crescendo. As vendas e os orçamentos estão aumentando, as empresas estão contratando mais, mas o problema é que não existem profissionais suficientes para suprir a demanda. As indústrias que mais devem investir nessa área são as de Saúde, Bancos/ Finanças, Produção/ Manufatura. Segundo o Gartner, até 2020, mais de 70% das empresas no mundo monitorarão de maneira constante incidentes com dados sensíveis.
2. Fator decisório
Segundo uma pesquisa norte-americana, metade das empresas busca um novo sistema de segurança por estar investindo proativamente nesse tema, enquanto a outra metade só começa essa movimentação como uma reação a incidentes de segurança específicos.
3. Segurança x tecnologia
A principal disrupção é entender que segurança da informação e tecnologia da informação não são a mesma coisa. Um papel descartado de forma indevida não tem nada a ver com tecnologia da informação, mas tem tudo a ver com segurança da informação.
4. As regras valem para todos
A LGPD vai mudar muito a forma como as empresas coletam e tratam os dados de seus clientes. Em relação à coleta, será preciso respeitar alguns princípios, e o principal deles é o consentimento. Também haverá novas regras técnicas para o armazenamento das informações, em ambientes cada vez mais seguros. E isso valerá para empresas de todos os tamanhos e setores.
5. Fiscalização
Quando a LGPD foi sancionada, o governo não aprovou a criação de uma agência fiscalizadora. A importância de haver um órgão especializado é uma unanimidade entre os especialistas, especialmente pela dinâmica da mudança nessa área. Mas na ausência dessa autoridade, as empresas devem contar com os órgãos tradicionais, como os ministérios públicos ou as unidades estaduais do Procon.
6. O perigo
Primeiro, olhar para a organização como um todo e mapear quais dados pessoais estão envolvidos no negócio. Depois, analisar cada etapa da coleta e tratamento de dados e entender quais as bases legais estão apoiando essas informações. Não coletar dados que não se vai usar é o básico. Isso passa a ser não só ilegal, como também perigoso.
7. Fornecedores e terceirizados
A responsabilidade sobre a segurança dos dados é da empresa que os coletou, independente de onde eles estejam armazenados. Ou seja, todos que estão na cadeia têm responsabilidade, mas quem contrata responde legalmente sobre o seu contratado.
8. Informação sigilosa
Grande parte da comunicação interna das empresas, incluindo a troca de dados sigilosos, acontece em ferramentas de terceiros não monitoradas, como o WhatsApp. Isso produz dados não estruturados – logs, informações e históricos de conversas que não necessariamente estão guardados em um banco de dados. Quase todas as empresas hoje têm alguma estratégia de nuvem e passam por processos de transformação digital, sendo que, em média, 50% dos dados que produzem são sensíveis. Muitas empresas não têm a preocupação devida com a manipulação destes dados. Estima-se que, em 2018, 38% das empresas terão algum problema de violação de informações.
9. Governança
Todas as áreas da empresa devem estar envolvidas no tema de segurança da informação, não só TI. É preciso que exista uma preocupação cultural com esse assunto: treinar as pessoas para que entendam que não é segurança para a empresa, é para o próprio funcionário e deve começar no seu e-mail .
