Empresas da área financeira precisam garantir a privacidade de seus clientes muito mais do que diversos outros setores. Quando uma instituição financeira deixa de se prevenir contra vazamentos de informações, dados pessoais, como números de cartões de crédito, podem vazar e submeter os clientes a fraudes e clonagens, além de deixar as vítimas expostas.
Adicionalmente à importância intrínseca das empresas em prover segurança de informação a seus stakeholders, a partir de agosto deste ano, as empresas que não estiverem em conformidade com a LGPD (Lei Geral de Proteção de Dados) podem sofrer sanções, que vão de multas a bloqueio do tratamento de dados. Por isso, é imprescindível mesmo para empresas de médio e pequeno porte investir em processos, pessoas e ferramentas para que os dados de clientes e usuários sejam protegidos e não sejam utilizados para fins não autorizados.
Um dos pilares da LGPD é a transparência, ou seja, a garantia aos titulares de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento de dados e os respectivos agentes deste tratamento. Seguindo o fluxo de transparência, vemos a figura do Data Protection Officer (DPO), o profissional indicado pela empresa para analisar todo o fluxo de dados e atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Segurança de informações como pilar estratégico
Alinhada com esse momento, no 27/08 a CEO da CoSafe LATAM, Ana Flavia Bello, organizou um evento ao vivo com a participação da Gerente de Segurança da Informação e DPO da iugu, Kenia Carvalho, sobre como é possível pensar em gestão de crises, segurança da informação, LGPD em startups, fintechs e instituições de pagamento.
Saiba como foi a LIVE em 27/08
Como observado por Kenia, a área de segurança da informação é cada vez mais estratégica dentro das empresas. A parceria com todos os departamentos é essencial e, principalmente, com acesso à alta administração, contando com o CEO, CTO, TI, Jurídico, Compliance e RH, com o propósito de conhecer a fundo a empresa e colocar em prática o planejamento alinhado à sua realidade. Existe a necessidade da conscientização e engajamento da alta liderança em relação à segurança de informação e de gestão de riscos.
“Em instituições de pagamento, startups e fintechs, a definição dos departamentos responsáveis por dados normalmente é um processo natural”, conta Kenia.
Segundo Kenia, quatro pilares são necessários para criar uma estrutura de planejamento de segurança de dados:
- Framework – documentação, política de segurança e classificação da informação
- Gestão de acesso à identidade
- Programa de incidentes
- Programa de educação
“Com líderes preocupados em cumprir as leis, muitas empresas não percebem a enorme oportunidade que trazer uma cultura de segurança de informação agrega para o negócio, ajudando na continuidade, sustentabilidade e reputação das empresas”, completa Ana Flavia.
Perfil do DPO
Kenia acredita que essa posição é nova, e os ajustes dentro das estruturas das empresas se dará aos poucos, porque nenhuma implementação ou processo se dá em 24 horas. A ANPD (Agência Nacional de Proteção de Dados) será responsável por implementar e ajustar as diretrizes para pequenas, médias e grandes empresas.
Para uma empresa de pequeno ou médio porte a recomendação de Kenia é checar o inventário de software e hardware, contratos, plataforma de dados, fornecedores, parceiros e, não havendo um recurso especializado, o mais recomendado é trazer um profissional com conhecimento e vivência de perfil mais genérico.
Não existe ainda nenhum perfil específico definido pela lei para a função de DPO, e a decisão da escolha pelas empresas passa hoje pela experiência em outros níveis, como por exemplo em visão estratégica, ou bom relacionamento com as outras áreas. Essas primeiras decisões ainda não estão definidas, nem serão definitivas, aponta Kenia.
O objetivo do profissional DPO é de funcionar como uma ponte de comunicação entre a ANPD, o titular de dados e os profissionais das empresas. É importante ter conhecimento técnico em segurança da informação, para incluir privacidade dentro dos programas. Para Kenia, a parceria com o jurídico também é fundamental, por ajudar a interpretar a lei, estabelecendo uma troca rica entre a parte técnica e o linguajar jurídico para o grande público. Existem empresas com equipes de proteção de dados, e outras trabalham com representantes em parcerias com outras áreas.
“Aconselho as pequenas empresas a identificar dentro do business o que é aplicável na lei, ou contratar uma consultoria para ter um norte, para fazer por exemplo revisão de contratos e mapeamento de dados”, diz Kenia.
Ações em um incidente com dados
Sobre como testar as respostas para uma crise envolvendo vazamento de dados, Ana Flavia citou que “em cenários de crise dos mais variados, desde vazamento de dados, incêndio, inundação, etc. há a possibilidade de fazer um simulado de crise enquanto organização. Um incidente crítico tem impactos em muitos públicos, e se faz necessária uma atuação conjunta dentro da organização. Por meio do simulado, é possível exercitar com a equipe todos os desdobramentos da crise”.
Um exemplo de caso onde a resposta precipitada ao incidente sem identificar a causa raiz gerou ainda mais ruído foi o “apagão do CNPq”, no final de julho deste ano. De acordo com uma história que circulou nas redes sociais, o problema teria resultado na perda de dados de cientistas e pós-graduandos brasileiros da Plataforma Lattes e outros sistemas, e o ocorreu porque o CNPq não mantém um backup das informações. Em resposta oficial, o apagão dos sistemas teria sido provocado pela queima de um dispositivo em um equipamento que tem a função de controlar os servidores onde as plataformas ficam hospedadas. Isso ocorreu durante a migração dos dados para um novo servidor. O fato é que o acesso completo da plataforma Lattes foi estabelecido somente no início de agosto.
Ainda há um longo caminho para uma adoção mais generalizada das atividades de proteção de dados pelas empresas. Mesmo com a vigência da LGPD, ainda existe resistência por parte de organizações presas a processos antiquados e falta a adoção de atividades mínimas, mesmo por parte de órgãos públicos, como manter backups em lugares inadequados.
É necessária a compreensão de que proteger a informação é uma tarefa que afeta toda a organização, reforça Kenia.