No universo TI já existiram projetos com enormes impactos globais, como por exemplo, o “bug do milênio”, talvez o único inadiável na sua época.
Os sistemas consideravam somente a dezena do ano e a virada do milênio significava um problema quase intransponível. Todos os sistemas, no mundo inteiro, tiveram que ser reconstruídos e o gigantesco trabalho foi amplamente compensado pela modernização dos sistemas de suporte aos negócios.
Outro exemplo é o SPB (Sistema de Pagamentos Brasileiro), implantado em 2002/3 para suportar a movimentação financeira entre os agentes econômicos no Brasil. A nova estrutura propiciou ambiente mais eficiente e seguro para o mundo monetário.
Estes casos demonstram que, apesar das dificuldades, o resultado originou inúmeras vantagens: a depuração de falhas e fragilidades, o aprimoramento de processos, a introdução de novas tecnologias e melhorias nas gestões de riscos e segurança da informação. Surgiram, também, circunstâncias favoráveis para o crescimento profissional com o aparecimento de novos ofícios e atribuições.
Agora, bate à porta, a Lei Geral de Proteção de Dados (LGPD) com previsão de efetividade para agosto/2020. Qualquer empresa que ofereça serviços ao mercado brasileiro e/ou coleta, trata ou armazena dados de pessoas e/ou tenha algum estabelecimento aqui, terá que se adequar à LGPD.
Considerando sua vasta abrangência e os requerimentos necessários para que as organizações estejam aderentes à Lei, não há dúvida de que é uma “baita” preocupação para todos os executivos, gestores e “C-levels”.
A pergunta mais frequente é: o que deve ser cumprido, quando e a que custo?
A conformidade não é opcional. É obrigatória. Adicionalmente, são previstas altas multas para os descumprimentos.
Será que este “cardápio” de obstáculos à frente não tem nenhum “quitute”?
Claro que sim! Há muitos benefícios e progressos a serem adquiridos nas atividades a serem desenvolvidas para atingir a concordância com a Lei.
Sua aplicabilidade pressupõe o relacionamento com as gestões de riscos, segurança da informação, RH, jurídico, infraestrutura e desenvolvimento – um panorama que sugere diversas oportunidades para as organizações e profissionais.
É o momento para o aprimoramento e modernização dos processos de negócios além de propiciar intensa interação entre as áreas envolvidas.
Assim, fica clara a necessidade de uma prévia avaliação geral do ambiente para definir os procedimentos e informações críticas e para onde os esforços devem ser direcionados. Excelente oportunidade para o “upgrade” da empresa.
Paralelamente, devem ser conhecidos como os dados se originam, como eles fluem interna e externamente, como são armazenados, protegidos e como “chegam ao fim de sua vida útil”.
Nestes ciclos, os dados devem ser classificados quanto à confidencialidade e definidos como serão os diversos tipos de tratamento (criação, alteração, armazenamento, transporte, eliminação, etc.).
Estas atividades são partes do mapeamento dos processos. Facilitam a identificação de pontos chave de controle o que é uma grande oportunidade para a remodelação e melhor racionalidade das atividades.
A Lei estabelece, explicitamente, que os dados pertencem aos “Titulares” (ou responsáveis, no caso de menores). Então, as empresas devem se adequar à nova ótica e cuidar para que seus parceiros (internos ou externos) estejam sincronizados na obediência à Lei. Elas não são mais as “donas” dos dados.
Com os novos conceitos de “dado pessoal sensível” e “dado anonimizado”, é preciso garantir melhor proteção no tratamento dos dados através da disponibilização de produtos, técnicas e controles mais rigorosos.
Os benefícios se tornam mais evidentes através do aperfeiçoamento na identificação das ameaças, vulnerabilidades e riscos, no tratamento mais adequado das fragilidades, na harmonização da política de segurança da informação e na execução correta dos tratamentos previstos na legislação.
Além disso, devem existir facilidades para que, no caso de incidentes de segurança, suas ações sejam eficazes e tempestivas. Deste modo, os processos se tornam mais capazes e habilitados, propiciando a implementação da governança em privacidade de dados.
E, como “cereja do bolo”, o indispensável estabelecimento de programas continuados de educação e treinamento para garantir a conscientização e o comprometimento de todos os envolvidos.
Como queríamos demonstrar: grandes desafios repletos de grandes oportunidades.
Autor: Afonso Felício Kalil, III, CISA, CGEIT