Nos textos anteriores nos referimos a como nosso trabalho se encaixa aos modelos de negócios, como permitem a maturidade no uso das informações e, principalmente, que buscamos definir uma política de segurança de informação para negócios. Com esta política, pretendemos dar o direcionamento referente à gestão da informação nas empresas.
Também buscamos relacionar a prática da política à ética empresarial, situando-a perante os valores organizacionais, àquilo que clientes, parceiros de negócios e o mercado em geral observam nas negociações com as empresas.
Para fechar essa “tríade” inicial, definiremos um pouco mais a oportunidade de se praticar uma política. Chamo a atenção para o fato que, no artigo anterior, observamos como o tema “consultoria de LGPD” pode parecer míope, por ser insuficiente promover a tentativa de adesão à um código legal sem promover a mudança substancial que dê perenidade, que torne esta mudança efetiva e “para sempre”. Este é o ponto que pretendemos desenvolver com observação prática, a seguir.
Uma política prescreve, portanto, base para o comportamento de todos que integram aquele ambiente, aquele contexto social. Em nosso caso, observamos prioritariamente uma empresa, como sendo este contexto. Desta forma, a política servirá de direcionamento geral para que estes “comportamentos” sejam exercidos.
Por exemplo, ao implantarmos uma nova ferramenta de tecnologia de informação, um novo sistema de dados analíticos, que atualmente servem-nos para, entre outras funções, realizar segmentação dinâmica de clientes, coletando dados instantâneos de acesso aos sites corporativos com um dinamismo inédito, teremos de nos referir à política de segurança. Nos documentos que definem esta política, encontramos orientações e determinações que nos dizem como os dados coletados podem ser tratados livremente ou não, quando deve ser feita identificação e classificação explícita destes dados, com ciência e autorização de seus donos e, num último exemplo, nos orientam a aspectos de exibição dos resultados, promovendo anonimização, agrupamento e geração da informação respeitando propriedade e identidade de quem os gerou. A política – neste caso, de segurança da informação – nos define regras gerais de comportamento e orientações para tudo que faremos com relação à esta tecnologia.
Também no comportamento executivo, a política orienta os procedimentos, trazendo a ética e o respeito ao mercado nas suas instruções para a prática. Por exemplo, ao participar de um evento aberto, um executivo de uma empresa poderá desejar demonstrar o sucesso de seu empreendimento, demonstrando atendimentos a clientes finais – identificando dados coletados de interações num recente “chatbot” implementado para atendimento robotizado aos seus clientes. A política orientará a forma como esta exibição pode ser feita, não expondo excessivamente agentes externos, não compartilhando conteúdos desautorizados e, por fim, mesmo fornecendo parâmetros que evitem que a própria fala do executivo incorra em problemas de excessiva exposição.
Por último, como tem ocorrido com frequência, casos de integração de sistemas. Por exemplo, quando uma empresa adquire o controle de outra. Suponhamos que a adquirida (talvez até tenha sido este o motivo da aquisição) possua uma tecnologia de IoT (Internet das coisas) relativamente bem implementada, onde eventos domésticos de usuários de equipamentos em uma região são monitorados com frequência. Ao se fazer esta negociação, a empresa que adquire o controle recorrerá à sua política de segurança da informação para verificar se o conteúdo adquirido – que é transferido com o controle da segunda empresa – não trará, consigo, comportamentos precários, em que os dados dos clientes produzem sensibilidade, informando sobre hábitos, comportamentos e ações dos clientes sem seu consentimento. Na absorção da empresa comprada, a que adquire, caso não observe sua política de segurança de informações, poderá trazer também descontrole e práticas não adequadas com os dados dos clientes para seus trabalhos e produções, incorrendo em problemas que não tinha até aquele momento (veja nosso artigo sobre “valuation” de startups e falta de política de segurança de informação, aqui mesmo no site da InfoAction).
Por isso nossa preocupação é a de construir, em conjunto com os clientes, os contextos de uma política de segurança de informações. No artigo anterior, apresentamos a política em termos de seu relacionamento com os demais conceitos empresariais, de como ela se alinha a planos, projetos e à estratégia. Com os exemplos citados acima, podemos verificar como se dá, na prática, a sua orientação, seu valor e exercício para os negócios, permitindo, por exemplo, aplicar os códigos legais, como a LGPD – Lei Geral de Proteção de Dados.
Assim, a InfoAction promove um atendimento de maior abrangência para os clientes, ligados a maturidade de suas capacidades de trabalhar com dados para a geração de informações e conhecimentos para a gestão estratégica empresarial.
Com uma política de segurança da informação, atingimos este nível.
Autor: Dr. George Jamil
