Em tempos de grandes transformações digitais, claro que a Segurança da Informação também seria impactada. Se antes, os profissionais dessa área eram mais reativos e viviam em um mundo mais isolado da tecnologia, hoje, se tornaram relevantes e peças fundamentais para manter os negócios seguros.
Se não bastasse a enxurrada de inovações, tecnologias e ideias disruptivas das áreas de negócio, os gestores da Segurança ganharam novos desafios para administrar: a Lei Geral de Proteção de Dados (LGPD). Desde o ano passado o cenário regulatório tem despertado importantes mobilizações internas nas companhias e essa responsabilidade, apesar de ser algo ligado diretamente ao jurídico, tem caído no colo da área de Segurança.
Por mais que os CISOs sejam os primeiros a reunir diretorias corporativas para tratar do assunto, muitos não se sentem os donos da implementação da LGPD. Entretanto, são eles que tomaram a iniciativa de reunir forças, contar com novos apoios e desenhar um plano de ação.
Para entender melhor essa jornada, o Congresso Security Leaders, com apoio da NTSec e VMware, reuniu um grupo de C-Levels de TI e Segurança em São Paulo a fim de debater os principais pontos desse cenário regulatório. Estiveram reunidos especialistas e executivos de empresas como APAS, Alpagartas, Assaí Atacadista, Assurant, Santa Casa, Pic Pay, Fast Shop, Onofre e Liquigás.
Todos concordam que a Segurança passou por diversas fases nos últimos anos e se deparou com complexidades como a própria transformação digital e conceitos como Shadow IT. Somando as demandas regulatórias, com imposições de como capturar, tratar, proteger e armazenar o dado pessoal, chegou o momento de revisitar todos os processos internos, rever parque tecnológico e redesenhar as estratégias para não sair da conformidade.
Não dá mais pra voltar atrás e fechar as portas, trancar todos os acessos e engessar o negócio, essa fase já passou e os gestores de SI sabem disso, muitos não têm boas memórias do tempo em que tudo era bem menos colaborativo. Hoje, tudo mudou. As empresas precisam ser ágeis, flexíveis e inovadoras e o papel da tecnologia, além da própria Segurança, é deixar tudo isso acontecer, mas com proteção adequada.
Para organizar melhor esses processos diante da LGPD, os executivos presentes no debate ranquearam 5 melhores práticas a fim de manter o equilíbrio da força interna. Ou seja, pode inovar? Sim, mas com segurança. Até porque, os holofotes estão todos voltados para proteção de dados, principalmente com a alta exposição de vazamentos de informações sensíveis, relatados nas mídias nos últimos meses.
1.Olhar para dentro. Antes de mais nada, é hora de revisitar processos, pessoas e tecnologias já existentes na companhia. O entendimento de como a LGPD vai impactar a empresa só virá quando os gestores fizerem uma verdadeira faxina nesses pontos.
2.Envolver todas as áreas. Uma missão antiga dos CISOs agora é mais importante do que nunca: trazer a responsabilidade para toda a organização, dos diretores ao estagiário e mostrar que o cuidado com a proteção dos dados é um dever de todos os colaboradores.
3.Desenhar o plano estratégico. Após a faxina e envolvimento dos departamentos nessa jornada, é preciso rever pontos importantes como processos e tecnologias, além de traçar um cronograma de ação.
4.Definir as lideranças. Quem será o responsável pela implementação da LGPD na companhia? Será uma equipe, comitê? Áreas como Segurança da Informação, TI, Recursos Humanos, Jurídico e Auditoria serão envolvidas? Muitas empresas estão exatamente nessa fase!
5.Investir em ferramentas tecnológicas. Agora sim é hora de a tecnologia mostrar para que veio e auxiliar em todo processo de classificação da informação, visibilidade, controles, resposta a incidentes e prevenção. Aqui, os executivos do debate destacaram soluções como Criptografia, DLP, gestão de identidades/acesso com dupla autenticação e firewall de aplicação como os principais.
Os debatedores destacaram que desses itens, um dos mais importantes é a resposta a incidentes. Com tantos vazamentos noticiados nos últimos meses, esse ponto é cada vez mais importante. Os bombeiros que fazem testes e ensinam o que fazer em casos de incêndio são ótimos exemplos, os gestores precisam testar equipes e áreas envolvidas para ensinar o que fazer diante de vazamentos de informações, melhores práticas e como agir, inclusive, se a Polícia Federal bater na porta da empresa.
As demandas são complexas, mas fazendo o básico bem feito, envolvendo diretores e equipes e identificando os GAPs, todos os processos ficarão mais fáceis de serem gerenciados e a tecnologia chegará para automatizar tudo isso. Não é uma tarefa fácil, mas é necessária. O tempo está correndo e agosto de 2020 está logo ali.
