Tripé da proteção de dados: pessoas, processos e tecnologia

Para dar cer­to, um pro­je­to de pro­teção de dados deve começar com a escol­ha das pes­soas cer­tas envolvi­das e quan­do existe o entendi­men­to sobre a importân­cia da segu­rança dos dados pes­soais para a empre­sa, clientes e o negó­cio, prin­ci­pal­mente quan­do se deve levar os rig­ores da Lei Ger­al de Pro­teção de Dados (LGPD) e a importân­cia do mapea­men­to dos proces­sos no trata­men­to de dados.

Para avançar com o pro­je­to de segu­rança de dados, ini­cial­mente cada empre­sa deve des­ig­nar as pes­soas que lidam com grande vol­ume de dados den­tro da orga­ni­za­ção e que neces­si­tam saber o que faz­er com eles. No entan­to, não devem con­sid­er­ar a LGPD como o fim de uma jor­na­da de gov­er­nança de dados, sim­ples­mente, mas pen­sar na pro­teção de dados como parte do seu negó­cio, inde­pen­den­te­mente do seu taman­ho ou seg­men­to de mer­ca­do. E isso inclui as startups.

Ao cri­ar uma estru­tu­ra con­fiáv­el de dados, é necessário envolver a inte­gração entre proces­sos, pes­soas e tec­nolo­gia. Com isso, as empre­sas serão capazes de garan­tir uma con­fi­ança na gov­er­nança de dados e ir além do que deter­mi­na as novas regras. E isso é, em últi­ma instân­cia, bom para os negó­cios, uma vez que a pro­teção dos dados pos­si­bili­ta man­ter a rep­utação da mar­ca e ele­var a con­fi­ança do cliente.

As empre­sas que tra­bal­ham com um grande vol­ume de dados são exata­mente aque­las que podem enfrentar mais difi­cul­dades em relação à ade­quação à LGPD, jus­ta­mente porque, quan­to maior o vol­ume de dados a serem descober­tos, clas­si­fi­ca­dos e ade­qua­dos às novas regras, mais com­plexo será esse tra­bal­ho. É nes­ta hora que a tec­nolo­gia pode aju­dar a iden­ti­ficar os dados que estão em poder da orga­ni­za­ção, realizar a sua clas­si­fi­cação de acor­do com a importân­cia real que eles pos­suem. Não adi­anta, por exem­p­lo, “tran­car” os dados com uma solução de DLP e não saber exata­mente que tipo de dado a empre­sa pos­sui, o que ele sig­nifi­ca e se ele pode ou não ser guardado.

A neces­si­dade do com­pli­ance leva muitas empre­sas a bus­carem sis­temas de soft­ware que cri­ar bar­reiras para qual­quer pos­si­bil­i­dade de vaza­men­to de dados e garan­tir que não sejam penal­izadas por algum tipo de inci­dente. Nem sem­pre isso poderá ser resolvi­do se os proces­sos de negó­cios que envolvem os dados não estiverem cor­re­ta­mente ajus­ta­dos. A LGPD vem deixan­do muitos gestores pre­ocu­pa­dos, mas o que eles devem ter em mente é que a segu­rança não depende ape­nas de algu­ma fer­ra­men­ta especí­fi­ca que ajude na ade­quação às nor­mas, que poderão ter bons resul­ta­dos a par­tir da com­bi­nação entre proces­sos, pes­soas e tecnologias.

Pes­soas: a capac­i­tação necessária 

Ambos os espe­cial­is­tas são unân­imes em afir­marem que as fal­has na capac­i­tação das pes­soas podem rep­re­sen­tar o elo mais fra­co na cadeira da pro­teção dos dados. Isso porque, segun­do eles, não há tec­nolo­gia capaz de impedir os erros humanos e é muito impor­tante garan­tir a qual­i­dade dos dados em uma cul­tura orga­ni­za­cional que leva em con­ta a con­fi­ança e o com­pro­mis­so de todos com as políti­cas de segu­rança da infor­mação. As empre­sas nun­ca podem esque­cer da capac­i­tação e edu­cação das suas equipes.

Os dados: petróleo ou urânio?

Há algum tem­po, os dados têm sido con­sid­er­a­dos “o novo petróleo”. Mas, ele pref­ere definir como sendo “urânio”. Isso porque, em sua análise, este urânio pode ser uma “ener­gia limpa” ou uma “bom­ba atômi­ca” para os negó­cios. Por isso, os dados pre­cisam ser bem cuida­dos para não con­t­a­m­i­nar a empre­sa. Antes mes­mo da LGPD, muitas empre­sas perce­ber­am isso e pas­saram a cuidar mel­hor des­ta riqueza, tomaram as medi­das cer­tas e ago­ra pos­suem a maturi­dade para saber o que faz­er e já pos­suem, um plano de ação definido para tra­bal­har daqui para a frente.

Con­cluin­do, as orga­ni­za­ções devem encar­ar a pro­teção dos dados como uma van­tagem com­pet­i­ti­va e evi­tar prob­le­mas desnecessários com os clientes e autori­dades regulatórias.

*Adri­ano Mendes, advo­ga­do espe­cial­iza­do em Dire­ito Dig­i­tal e que atua como DPO para com­pan­hias de médio e grande porte.*Jaime Muñoz, dire­tor da Help­Sys­tems, fornece­do­ra glob­al de tec­nolo­gias de segu­rança dig­i­tal para o mer­ca­do corporativo.

Fonte: https://www.cisoadvisor.com.br/security-room-posts/tripe-da-protecao-de-dados-pessoas-processos-e-tecnologia/