0
0
Primeiro, preciso fazer uma advertência: este não pretende ser uma receita do bolo, bala de prata, o fim dos seus problemas de Proteção de Dados e Privacidade. Na verdade, o artigo vai conter perguntas, reflexões, talvez um toque de sarcasmo, ironias e acidez para alguns. Mas, lembre-se isso é apenas um breve resumo, de uma visão geral de alguns cenários encontrados, não reflete necessariamente a sua realidade, logo se não lhe afeta, seja grato apenas, pois a 7 meses para entrada em vigor da lei, você é um privilegiado ou sortudo.
O ano de 2019 foi intenso. Não escrevi muito aqui, na verdade, dei uma pausa nos artigos, mas participei de vários eventos, construí várias apresentações, me dediquei mais aos estudos, compartilhamento de experiências e intensifiquei os trabalhos, e com isso conheci novas pessoas, projetos, produtos, enfim, novas realidades e cenários, mas, uma coisa em comum, muita gente perdida, falsas promessas de soluções com ferramentas mágicas, processos sem profundidade ou falta de conhecimento de causa, profissionais com conhecimentos rasos ou limitados (por fatores diversos), mas quase todos cobrando absurdos e prometendo adequação completa a LGPD (Lei Geral de Proteção de Dados), GDPR (Lei Geral de Proteção de Dados Europeia), literalmente um mercado.
Veja, todos tem sua forma de trabalhar, precisam fazer negócios, e nada, absolutamente nada contra isso. O meu questionamento é a banalização do mercado, a forma ” a la brasileira” de comercializar tudo, sem explicar as entrelinhas. O que fica evidente, é que virou um “vale tudo e qualquer coisa” para vender, ganhar dinheiro a custa do medo, e da adequação, muitas vezes (mas nem sempre) superficial.
Outra palavra tem ressurgido, é a “Governança”, mas, isso nada mais é do que controle. Porém, como você controla o que você não mede? e como você mede o que não conhece pela falta de definições de padrões de entrada, saída, processos ou modelos padronizados? E quando falo isso, me refiro ao que é adequado as necessidades de negócios e mercado, inerentes ao contexto de cada empresa, e para tanto temos vários níveis, modelos de referencia que devem ser observados e escolhidos de acordo com as restrições e peculiaridades de cada empresa e seus respectivos reguladores.Não isso não é novo, na verdade é antigo, mas, foi deixado de lado, pois foi visto como “não ágil” por algumas empresas.
Como solução mágica algumas empresas e claro pessoas começaram uma busca por uma bala de prata, uma solução “tabajara, do tipo seus problemas acabaram”, e acharam que comprando uma caixinha especial de soluções, estarão magicamente em “Compliance com a Lei”. Tenho observado um pouco de tudo, desde a venda por tipo de documento, por mapeamento de processos, de ferramentas prometendo proteger, gerir, adequar as empresas e seus processos 100%. Mas a minha pergunta é: como você vai adequar sua empresa a LGPD? Será do jeito mais correto, em profundidade, com papeis e responsabilidades definidos, construindo a base de uma cultura real de segurança da informação e proteção de dados? Ou para “Inglês ver”, uma das especialidades brasileiras? Vai fazer com entregáveis, milestones, projetos e ondas definidas? ou vai ser nos últimos 45 minutos do segundo tempo no modo EXGH (Extreme Go Horse)?
Existem exceções, claro, Mas, a maioria das micro, pequenas e médias e até em alguns casos grandes empresas, principalmente, mas não exclusivamente, as familiares e brasileiras, nunca levou Segurança da Informação a sério ou pelo menos não a enxergaram de forma estratégica, apenas um custo, um gasto, uma “paranoia”, um exagero ou excesso de pessimismo, sem um ROI definido, a não ser claro que uma ameaça explorando uma de suas vulnerabilidades ou riscos se materializasse resultando em um incidente, causando problemas, impactos e perdas.
Quando falamos de multinacionais ou empresas brasileiras habituadas a fazer negócios com essas empresas, a maioria absorveu sua cultura de “Processos Padronizados”, Frameworks e Boas Práticas de Mercado. Caso contrário, perderiam bons clientes ou boas oportunidades de negócios. Logo, era uma questão adaptar-se ou correr o risco de não se manter no mercado. Assim não é regra, mas quem já estava acostumado com padrões e boas práticas internacionais, tem um trabalho menor ou menos “penoso” no contexto de adequação a Lei Geral Brasileira.
Mas, qual a novidade até agora? Onde Eu Quero chegar? E o para Inglês ver?
Tem empresa querendo compra um caixinha chamada ISO 27001 (Controles ISO 27001:2013 na imagem), ou pelo menos achando que ela é uma caixa fechada, pronta, achando que vai ser sua salvação, como se fosse somente isso, ou ainda, como se fosse uma caixa que você compra pronta e põe dentro da empresa e tudo está resolvido, bem, não funciona assim. Este padrão, assim como outros como o NIST, servem de base, de referencial teórico e embasamento prático, mas não fazem milagres, não sozinhos, não sem envolver pessoas, investir na educação, qualificação e treinamento dos envolvidos, seja em níveis operacionais, táticos e até estratégicos.
Todos sem distinção estão sujeitos a golpes eletrônicos, virtuais ou ate reais, vide todo o caso “Telegram”. Logo, o elo mais fraco, sujeito a ameaças e riscos mais comuns e cada dia mais sofisticados com as questões das deepfakes, Bots, Vishing etc, são os seres humanos, o “man in the Middle”. A questão da cibersegurança é tão gritante que continua dentre os Top 10 e Top 5 Riscos apontados pelo World Economic Forum em 2019 e 2020, ou seja, uma “guerra virtual” ocorre todos os dias, e ainda tem empresa olhando para lei e tentando fazer um ” De – Para” em seu processo de “adequação”, pensando a segurança somente para atender a Lei, sem pensar na sua continuidade de negócios, em sua estratégia de negócios ou se quer uma resposta a incidentes ou prevenção de golpes internos ou externos se aproveitando da sua fraqueza na gestão de terceiros, componentes externos entre outros fatores.
Na a imagem acima não é uma receita de bolo, não é bala de prata ou infalível, sujeito a melhorias e correções, mas, uma forma que encontrei de organizar e explicar porquê comecei pela segurança da informação, pois, ela deixou de ser de “TI”, para ser da “Informação”, e hoje a informação ultrapassou os antigos perímetros e camadas tradicionais (OSI e TCP), temos um mundo VUCA muito mais amplo e complexo com BYOD (Bring Your Own Device – Pessoas utilizando seus devices particulares para o trabalho), uma gama de redes WI-FI, WAN, SDWAN, Hot Spots, infraestruturas Hibridas ou Cloud Publica, Serveless, AI, Machine Learning, Blockchain entre outras, mas, o que considero mais importante, o intangível, são as Pessoas. Estas são ativos valiosos de informações hoje, como olhar para segurança pensando só naquilo que você coloca num cofre, um alarme, um seguro, um data center, e aquilo que você não pode controlar?
Se você começa um processo de adequação pela Privacidade apenas, já começou capenga, uma vez que esta decorre da Proteção de Dados, que decorre da Segurança da Informação. Então, se a sua base for construída no “de -para” apenas para lei, sem embasamento, aprofundamento, investimentos na capacitação, educação e conscientização dos envolvidos direta ou indiretamente, sinto informar: vai ser um “queijo suíço”, cheio de buracos, e em alguns caso, seria como “Construir sob a areia”, pois apenas se preocupou em atender a lei, e não em melhorar seu negócio, seus processos, não apenas pela lei, mas para buscar formas mais eficientes e eficazes de fornecer produtos e serviços a seus clientes externos e internos.
A lei fala de um programa de governança da Privacidade e surge então a recém- traduzida para o Português ISO 27701. Pronto, agora para tudo e muda o rumo, o vento soprou, mudou a direção, muda a caixinha, compra essa aí, que vai ser “sucesso” com a Lei. Sinto informar, se você escolheu o framework ou padrão ISO para começar a se adequar e educar sua estruturação interna, bem, 27701, tem duas seções específicas, uma para o Controlador e outra para o Operador. Além disso, ela adiciona requisitos específicos de proteção da informação e privacidade em todos os controles de ISO 27001, exceto o 6.14. Logo, ela sozinha não faz o trabalho todo é preciso a base, a fundamentação, e esta base, vem da ISO 27001 ou NIST ou o modelo que preferir, mas, enfim se refere ao endereçamento e gestão adequada da Segurança da Informação, não tem atalho, exige compromisso e trabalho.
Para quem gosta da Sopa de letrinhas em Inglês seria o IPMS se for ISO, ou DPMS se for do EXIN, em Português SGPI se for a ISO ou SGPD pensando no EXIN. Mas veja, se foi feito a Brasileira para “Inglês ver”, seu sistema de governança vai ter inúmeras inconsistências, que podem vir a gerar falhas nos seus processos que alimentam o seu “Escritório de Privacidade” montado para atender a lei, e como feito superficial, num momento crítico, de pico ou crise, se mostrar ineficiente para responder as demandas geradas após a entrada em vigor da lei.
Em tempos de “mindset agil” falar de segurança parece coisa antiga, pois sempre foi vista como um “gargalo, cotovelo”, “os caras do não, que cortam os acessos” a internet, num mundo onde o risco cibernético vem sendo apontado como preocupação, onde uma “sequência de batalhas” virtuais se desenrolam todos os dias, utilizar uma abordagem e estratégia “DevSecOps” e pensar num “AIOPS” é mais do que essencial, deve fazer parte do DNA de “Transformação Digital e Ágil”, incorporar a reposta a mudança, ou seja, é preciso fazer de fato a “Jornada Security by Design, Privacy by Design e Default” e “Data Protection by Design e Default” estar presente na veia do projetos, processos, pessoas, serviços, produtos e negócios envolvidos, do início ao fim, não é mais o “problema de quem trabalha na segurança” agora todos são uma parte deste grande “quebra cabeça” que se tornou a Segurança da Informação e Proteção de Dados.
Então, pense bem como vai conduzir o processo de adequação na sua empresa.São várias peças, elas precisam se encaixar, cada controle da ISO simboliza uma peça, você também pode adotar outros modelos como o do EXIN, ou ainda pegar os white papers do NIST ou SANS para temas específicos como Gestão de Identidade e Controle de Acesso, Containers, OWASP Top para Web, API ou Mobile, enfim, existem várias fontes para buscar informações para começar a se adequar, resta saber quem vai orquestrar isso? e quem vai buscar a melhor forma de encaixar e engajar dentro das empresas?
O trabalho é grande, envolve diferente especialidades, logo o recomendado são áreas trabalhando em conjunto, com um caminho critico de atividades que possuem dependências, e/ou ainda times multidisciplinares, o importante é definir sua motivação: Para atender a Lei ou Para Manter a Sustentabilidade e Perenidade de sua Empresa? e o modo de fazer: “Modo Root na mão e na raça”, “Nutella cheio de ferramentas fantásticas para tudo”, a “Brasileira para Inglês ver contratando alguma marca de nome para parecer importante, e que foi feito com due care e due dilligence”, “Baby Steps e One Piece Flow, em pequenos pedaços, aumentando e incrementando a complexidade uma camada de cada vez, entregando partes que vão se encaixando organicamente”, enfim, tem para vários gostos e sabores.
Essa foi minha gota e contribuição para o dia Internacional da Proteção de Dados. Com exceção da primeira imagem que contém a referência, todas as outras são frutos do trabalho que tenho desenvolvido, de autoria própria, então se quiser utilizar, dê os devidos créditos, e se quiser entender o modelo proposto, a logica seguida, sugerir, criticar, enfim, interagir, pode entrar em contato, eu sempre respondo.
A imagem acima, é um overview de um breve modelo utilizado para Security e Privacy by Design e By Default. Não é restrito apenas ao on-line, tem muitas nuances que se aplicam ao off-line, não é apenas para software ou produtos tecnológicos, eu espero trazer mais artigos discutindo ponto mais específicos de adequação pensando nas jornadas by design e by default.
E você, como esta pensando sua adequação? Vai ser a Brasileira do jeito bom ou não tão bom assim?
AUTORA: Alessandra Monteiro Martins VP IBRASPD – Instituto Brasileiro de Segurança Proteção e Privacidade de Dados | DPO | Governance Privacy Sec D1 | AIOPS
FONTE: LINKEDIN