Temos sido questionados, por nossos clientes e contatos, por que abordamos o tema segurança do ponto de vista de construção de uma política, não simplesmente de aplicação de um código legal, neste caso, a nossa (brasileira) Lei Geral de Proteção de Dados Pessoais, a LGPD.
Vale a pena uma breve, superficial reflexão sobre a precisa definição desta postura e, aqui, em termos de uma visão geral, iniciar uma discussão sobre o relacionamento com a estratégia.
Compreendemos uma política como uma forma de definir bases para as negociações – sobrevivência, respeito, convivência, entre outros aspectos – em que cidadãos se relacionam com o todo, com os demais cidadãos e com o ambiente em que coabitam. Assim pensando, a política descreve bases para que estas negociações, que serão desenvolvidas em práticas, projetos e planos, ocorram de forma ética, baseada nos valores daqueles cidadãos, produzindo orientações que servirão de alinhamento para que todos os demais instrumentos sejam escritos e, por decorrência, executados e cumpridos.
Numa política de segurança, valorizam-se os acervos de informação e dados de uma empresa, os procedimentos que lidam com estes acervos são definidos em termos de seus objetivos e, finalmente, os limites para que cada plano e aplicação de princípios sejam definidos – por exemplo, estabelecendo comportamentos de um colaborador que lida com clientes para com os dados e informações destes clientes. Numa política, por exemplo, podemos enunciar que:
“Os dados coletados de nossos clientes devem ser identificados, bem como os procedimentos que irão atuar sobre eles precisamente descritos, atendendo os limites de códigos legais que determinam como a empresa deve atuar neste relacionamento”.
Com esta definição em mente, quando formos descrever o que será feito efetivamente, na prática, com tarefas como coleta, emissão de relatórios, consolidações, validações, processamento e análise dos dados e informações colhidos dos clientes, manteremos a descrição da política como base elementar, como nossa definição de contexto para escrevermos os procedimentos, regulamentos e planos de operação da empresa. Assim, relacionamos uma política de segurança às práticas, proporcionando os fundamentos.
Com este relacionamento, o atendimento à LGPD, a lei que define parâmetros para a escrita da política, se tornam práticos, atuações de nosso dia-a-dia. Por isso objetivamos, considerando sempre nosso código legal como elemento indispensável, compor, junto aos nossos clientes interlocutores, uma política de segurança. Com esta política definida, elementos de proposição e gestão de projetos, planos de risco, rotinas de gerenciamento de recursos (humanos, financeiros, informacionais, operacionais, entre outros), seguirão por decorrência princípios bem definidos, pautados pela ética e respeito aos dados e informações de terceiros.
Por último, a estratégia.
A adoção de uma política, a início, não parece ser algo estratégico, mas sim de princípio ético, portanto obrigatório. Isso é plenamente correto. Entretanto, é estratégico garantir maturidade no tratamento de acervos de terceiros e, com esta maturidade, que só se consegue no trabalho rotineiro na empresa e com a devida atenção à melhoria contínua do ambiente produtivo, sob parâmetros bem definidos, teremos que a empresa poderá oferecê-la, a maturidade, como um diferencial progressivo aos seus clientes.
Além disso, ao servir como referência “moral” ao adotar a política, implementar em seus projetos e planos, a empresa se evidencia como líder neste aspecto, sendo este um adicional fator estratégico. Consequentemente, a empresa que tem uma política de segurança de informações amadurecida, irá progressivamente ser considerada por competidores de outros segmentos – como os de tecnologia da informação, comunicação, entre outros – como uma parceria preferencial, confiável, para que alianças estratégicas sejam definidas.
Portanto, a política nos serve mesmo para uma estratégia competitiva, embora sendo um item que está muito acima deste planejamento de negócios, situando-se no patamar ético, relevando a postura de uma organização.
Na Infoaction, nosso trabalho focaliza, principalmente, mas não exclusivamente, as definições de uma política de segurança de informação, que aplica os termos legais da LGPD na busca de um contínuo amadurecimento de nossos clientes ao lidar com as informações e dados da própria empresa e dos seus vários relacionamentos de negócios – clientes, fornecedores, agentes econômicos, consultores, entre outros.
Nosso trabalho tem relevância estratégica, atende aos preceitos éticos e, portanto, legais, definindo uma perspectiva constante de evolução para os nossos clientes.
Autor: Dr. George Jamil
