Proteção de dados e cyber security regados a muita transformação digital

Quando questionado sobre as tendências 2019, logo penso em Segurança da Informação – principalmente na Proteção de Dados – como uma crescente realidade. Temos visto empresas brasileiras e estrangeiras no sufoco para se adequarem, rapidamente, à GDPR (General Data Protection Regulation) e à sua “versão brasileira” LGPD (Lei Geral de Proteção de Dados). Sem dúvida, a corrida para estar em conformidade será uma das tônicas de 2019, mas a busca por Continuidade dos Negócios e Cyber Segurança não ficam para trás.

Apresentei a palestra “O Lado B do Marketing: quando a sua estratégia precisa ir além dos leads e ROI, envolvendo TI na parada”, na 9ª edição do Expo Fórum Digitalks em São Paulo. A oportunidade de conversar com profissionais de Marketing, Tecnologia e Transformação Digital sobre Gestão de Riscos, Segurança e Cyber Segurança, foi bastante interessante. Atuando há mais de 20 anos em consultoria de Gestão de Riscos, geralmente, conversamos diretamente com as diretorias, e, raramente, temos contato com outras equipes que lidam, diretamente, com o bem mais valioso das empresas: os dados. No evento recebi várias perguntas: “Tenho MAC devo me preocupar?”, e outras do tipo “Meu negócio vai quebrar se eu não me adaptar?”, e ainda outras como “Estamos seguros? Privacidade é coisa do passado?”. Todas as perguntas foram importantes e relevantes e demonstraram:

  1. O interesse no tema é muito grande e crescente;
  2. Temos que falar mais sobre isso e propor painéis e discussões nos eventos e fóruns que existem;
  3. As pessoas comuns e suas famílias merecem orientação;
  4. Seu negócio não vai acabar, mas sem Gestão de Riscos, no centro da discussão, pode ser que não sobreviva tanto!

 

O próximo ano promete muitas emoções, começando pelo comando do país e o comportamento da economia frente a isso. Para os empresários, isso será um fator crucial de negócios e comportamento, mas independente disso, ajustar seus processos, tecnologia e cadeia de suprimentos à nova Lei Geral de Proteção de Dados não poderá ficar para 2020. Começar é preciso e necessário, e as multas podem ser pesadas.

Mesmo não estando, diretamente, sob a GDPR (lei europeia), muitas empresas estão na cadeia de suprimentos e de Valor e podem sofrer com multas de até 20 milhões de euros. E acredite, melhorar a Gestão de Segurança da Informação e adotar boas práticas em Cyber Segurança são o caminho mais adequado e recomendado para cumprir a LGPD ou atender à GDPR. Gostei dessas leis que protegem a Privacidade (muito ameaçada nesse momento), pois trouxeram todo mundo para a MESA de novo, ou seja, os velhos e cansados comitês de Gestão de Riscos ou Segurança estão tendo quórum novamente.

A última Pesquisa Nacional de Segurança da Informação, realizada em 2018, pela DARYUS, confirmou a importância do investimento em SI e Cyber nas empresas. Entre as ameaças mais temidas, os ciberataques ocupam o primeiro lugar (70%) e a proteção de dados lidera a lista de prioridades de investimento para os próximos 12 meses (48%). A Gestão de Riscos também foi muito citada e demonstra que as empresas estão revendo, reestruturando e se interessando em mudar a Governança, a Gestão de Riscos e as práticas de conformidade, pois os modelos atuais estão ficando obsoletos.

Em nossa pesquisa, quase 50% das empresas respondentes não possuem um Plano de Continuidade de Negócios e 63% nunca realizaram a BIA (Business Impact Analysis) – talvez até desconheçam esses termos – além disso, 50% nem sequer fizeram uma Análise de Riscos! Fato é que no Brasil, hoje, 60% das empresas vão à falência em seus primeiros cinco anos, por não estarem preparadas para enfrentar situações de crises ou desastres, que podem ser desde um recall, questões econômicas, fraudes, ciberataques ou, simplesmente, erros de posicionamento de produtos e serviços nas redes sociais.

Num evento recente, um painel apresentou uma “Carta pesadelo ao compliance”. Uma carta fictícia de um cliente solicitando inúmeras informações sobre como seus dados pessoais estão sendo utilizados por uma determinada empresa de acordo com tópicos da nova lei brasileira. Abaixo, cito um pequeno trecho para ilustrar o quão assustadora essa demanda pode ser para TI, Jurídico, Marketing/CRM e Diretoria:

a)“Desejo confirmação se vocês estão ou não processando meus dados pessoais. Se sim, por favor forneçam as categorias de dados pessoais que vocês têm sobre mim em seus arquivos e banco de dados.

  1. b) Por favor digam o que vocês têm sobre mim nos seus sistemas de informações, mais especificamente, o que está contido nos bancos de dados, incluindo e-mails, documentos em suas redes e/ou voz ou qualquer outra mídia.

  2. c) Adiciona-se a isto um pedido de informações sobre em quais países os meus dados pessoais estão armazenados ou são acessados. Neste caso, se você se utiliza de serviços de nuvem para armazenar e processar meus dados pessoais, informe também em quais países estão localizados os servidores onde os meus dados estão armazenados ou foram armazenados nos últimos 12 meses.

  3. c) Forneça-me uma cópia ou um acesso aos meus dados pessoais que vocês têm ou estão processando.”

 

Se algum cliente solicitar informações como essas, hoje, quem estaria de fato preparado para responder? E indo além, estendo a pergunta aos profissionais do marketing: na “caça aos leads” de todos os dias, como fica a proteção e privacidade dos dados colhidos? Qual o nível de conhecimento sobre o uso que é feito dos dados pessoais de cada lead? E como ficam as listas dos eventos? Esse é um aperitivo das “novas/velhas” preocupações que precisam ser pensadas e, principalmente, ser analisadas como questões sensíveis dentro da Gestão de Riscos e Compliance.

Portanto, para todos aqueles que foram contagiados pelo espírito empreendedor e desejam abrir novos negócios, a maior dica é ter atenção aos riscos e, principalmente, fazer um Planejamento considerando um bom Plano de Continuidade de Negócios. Por fim, a palavra de ordem: resiliência, resiliência e resiliência. Haja o que houver no mercado, tendo ciência dos riscos a que se está vulnerável, com um bom PCN em mãos e se mantendo resiliente, as empresas sobreviverão. Ninguém sai inteiro de uma grande crise, mas o importante é conseguir sair e continuar a caminhada. Essa é a dica para 2019!

Fonte: Digitalks

Segurança da informação e a reviravolta da LGPD

Nos últimos meses os termos GDPR e LGPD ficaram sob os holofotes. Isto porque são regulamentações que impactam negócios e consumidores. Ou seja, a sociedade como um todo está sob suas diretrizes.

O GDPR, lei de proteção de dados da União Europeia, entrou em vigor em maio de 2018 e serviu de base para inúmeras outras regulações em todo o mundo. Inclusive para a Lei Geral de Proteção de Dados (LGDP) brasileira, a qual adiciona características locais.

Aprovada em agosto do último ano, a LGDP é um avanço. Entretanto, ao se tratar de Brasil e segurança da informação, deve-se ter em mente que apenas a adoção de soluções de ponta não garante a adequação à lei, bem como a proteção das ameaças.

Sendo assim, com a Lei Geral de Proteção de Dados brasileira, todas as empresas de pequeno, médio e grande porte terão que investir em cibersegurança e implementar sistemas de compliance efetivos para prevenir, detectar e remediar violações de dados pessoais, já que a lei prevê que a adoção de política de boas práticas será considerada como critério atenuante das penas, que podem chegar a 50 milhões de reais.

De acordo com o advogado Renato Opice Blum, considerado uma das sumidades em Direito Digital, Proteção de Dados e Educação Digital no Brasil, “o consentimento do uso de dados deve ocorrer de forma livre, informada e inequívoca do indivíduo, expressando sua concordância com o tratamento de suas informações pessoais para uma finalidade determinada”.

“Tudo que for mais adequado para se proteger do ponto de vista técnico e contratual será levado em conta em uma situação de vazamento de dados”, elucida Opice Blum. Isto significa que mesmo fazendo tudo que estava ao seu alcance, houve o vazamento.

Já a utilização do processo de anonimização, técnica que afasta a possibilidade de associação ao indivíduo sem possibilidade de reversão, é uma alternativa prevista na LGPD. Esta pode ser utilizada para dispensar o consentimento do titular dos dados pessoais objeto de tratamento – neste caso, o indivíduo não tem um rosto, o que torna mais fácil proteger sua identidade.

Profissionais e Autoridade Nacional de Proteção de Dados

Dentro dessa nova realidade, caberá as empresas também nomear seu Encarregado de Proteção de Dados (DPO – Data Protection Officer), que terá como principal atividade o monitoramento e disseminação das boas práticas em relação à proteção de dados pessoais perante funcionários e contratados no âmbito da empresa, assim como será a interface com a Autoridade Nacional de Proteção de Dados (ANPD), criada em dezembro/2018.

A ANPD é constituída como órgão da administração pública federal integrante da Presidência da República. Dentre suas principais atribuições, destacam-se o estabelecimento de padrões técnicos, a avaliação de cláusulas e jurisdições estrangeiras no que tange a proteção de dados, a determinação para a elaboração de Relatórios de Impacto, a fiscalização e aplicação de sanções, atividades de difusão e educação sobre a lei, e demais atribuições que visam a correta aplicação da lei e os princípios da proteção de dados pessoais como um todo.

Por ter sido anunciada quatro meses após a LGDP, houve adiamento da data de vigência da regulamentação. De um lado é positivo, pois as empresas terão um prazo maior para traçar e implementar um programa eficaz de segurança cibernética.

*Waldo Gomes é diretor de marketing e relacionamento da NetSafe Corp

 

Fonte: ComputerWorld

Em audiência, presidente do Google é questionado sobre privacidade de dados e nega viés político na empresa

Em meio ao crescente escrutínio de empresas do Vale Silício que utilizam dados de usuário, Sundar Pichai, presidente do Google, se apresentou pela primeira vez diante de legisladores nesta quarta-feira (12).

Em audiência realizada pelo Comitê Jurídico da Câmara dos Deputados nos Estados Unidos, ele foi questionado sobre:

  • práticas de privacidade e violação de dados pessoais;
  • a maneira como a empresa lidou com campanhas de desinformação para influenciar eleições;
  • suposto viés político nos resultados de buscas;
  • interesse em voltar ao mercado chinês;
  • monopólio da plataforma
Sundar Pichai, presidente do Google, testemunha em audiência na Congresso dos Estados Unidos. — Foto: Jim Young/Reuters

Sundar Pichai, presidente do Google, testemunha em audiência na Congresso dos Estados Unidos. — Foto: Jim Young/Reuters

O executivo também foi questionado sobre violações de dados pessoais, depois que o Google anunciou que irá acelerar o processo de fechamento de sua rede social Google+, com a revelação de um erro que expôs dados de mais de 50 milhões de usuários. Pichai afirmou que o Google oferece um sistema que permite aos usuários ter controle e ajustar como seus dados são coletados pela empresa.

Apesar disso, grande parte da discussão entre Pichai e os congressistas se focou em acusações de que o Google usa sua rede de aplicativos e mecanismos de busca para suprimir vozes conservadores — uma alegação que o executivo negou com veemência. “Nós usamos uma metodologia robusta para refletir o que está sendo dito sobre qualquer tópico a qualquer hora. Posso assegurar que fazemos isso sem nenhum viés ideológico e político.”

Durante a audiência, que durou 3h30, os congressistas republicanos focaram em questionar Pichai sobre acusações de que o Google teria uma preferência em deixar sites conservadores mal posicionados nas buscas. Para isso usaram evidências, como vídeos e e-mails vazados, de que engenheiros e funcionários da empresa tinham preferência ideológica.

Outros legisladores, acusaram a empresa de dar suporte a iniciativas que convocavam eleitores latinos a votar em estados-chave. Pichai negou qualquer viés na ferramenta de anúncios, afirmando que ela é baseada em oferta e demanda.

Ele também respondeu a perguntas sobre a entrada do Google na China, um mercado que a empresa deixou em 2010. A preocupação dos congressistas é que a empresa jogue pelas regras chinesas e estabeleça censura nas buscas no país.

Pichai respondeu a essas perguntas afirmando que o Google é uma empresa que “nunca esqueceu suas raízes americanas”. Ele acrescentou que a empresa gerou, nos últimos três anos, US$ 150 bilhões para a economia americana, criando 24 mil vagas de trabalho.

Fonte: G1