Não adiantou — de forma direta ou indireta, a iminência da Lei Geral de Proteção de Dados (LGPD ou Lei nº 13.709/2018, como foi registrada) acabou sendo o foco das discussões mantidas durante o Mind The Sec São Paulo 2019, a 5ª edição da maior conferência corporativa sobre segurança da informação da América Latina. O evento ocorreu nos dias 17 e 18 deste mês, no luxuoso hotel Grand Hyatt, localizado na zona oeste da capital paulista.
Logo na cerimônia de abertura, Anderson Ramos, CTO da Flipside (responsável por organizar o MTS), explicou que a lei é um verdadeiro game changer na forma em que as empresas lidam com privacidade digital e com a proteção de dados dos consumidores. “Quem vai brilhar nesse momento é quem enxerga a situação como um caminho para transformar esse ciclo de investimento em oportunidade de negócio”, explicou.
Durante os dois dias de palestras — separadas em oito trilhas distintas —, os visitantes puderam ouvir palavras sábias de quem está acompanhando essa transformação de mentalidade desde os primórdios da internet. Um bom exemplo é Fernando Nery, sócio fundador da Módulo Security Solutions e que trabalha com segurança cibernética, riscos, governança e compliance desde a década de 90.
De acordo com Nery, nenhuma empresa de seus primeiros anos de carreira jamais lhe pediu um projeto relacionado com a proteção de dados pessoais de consumidores. Agora, com a LGPD, as companhias serão obrigadas a dar foco ao assunto visto que a própria população passará a dar mais atenção para isso.
“Quando você tem uma medida que é considerada apenas como uma boa prática, a empresa tem a opção de aplicá-la ou não ao negócio. Mas quando ela passa a ser cobrada pelo governo, é possível criar um planejamento real para executá-la dentro de casa”, apontou o executivo. O especialista ressalta ainda que não bastará estar seguro, mas sim provar e demonstrar essa segurança e capacidade de resposta perante o governo.
It's all about LGPD
Quem também deu dicas a respeito da LGPD foi Caio Lima, advogado associado da Opice Blum, Bruno, Abrosio e Vainzof Advogados. Falando especificamente sobre os desafios jurídicos no compliance com a lei, Caio citou a necessidade de se entender a fundo alguns conceitos-chaves do texto regulatório — incluindo a diferença entre dados pessoais e dados sensíveis, ou o fato de que a norma também engloba informações armazenadas em outros meios além do digital.
“A norma é referente a qualquer dado que tenhamos em nossa empresa, quer seja de consumidor, de um colaborador, de um prestador de serviços, coletados por meio da internet, de aplicativos, por telefone, por meio de um contrato”, explica. E adiciona: “Pode ter sido coletado em 1950 ou em 1940; pode ser até a carta de Pero Vaz de Caminha. Tanto faz. Se aquilo possui dados pessoais, é preciso adicioná-lo no escopo de implantação”.
Caio também ressalta a necessidade de fazer a correta gestão do consentimento, administrar as requisições do usuário com agilidade e ter um plano de respostas a incidentes diversos. Essas tarefas que cabem bem ao papel do data protection officer (DPO), que, embora sua obrigatoriedade tenha sido dispensada na última atualização da lei, ainda é uma figura essencial em qualquer corporação.
Essa visão é bem parecida com a de Rafael Zanatta, advogado da Pereira Neto | Macedo Advogados. Em uma bem-humorada palestra que demonstrava — de forma irônica — o que fazer para ser multado pela LGPD, Rafael citou exemplos de diversas marcas que já foram multadas pela similar Regulamento Geral de Proteção de Dados (GDPR), que engloba e afeta todo o território da União Europeia.
“Um caso recente é o da British Airways”, relembrou, ao apontar as consequências de não investir em segurança da informação e ignorar incidentes. “Um órgão regulador da Inglaterra detectou pobres investimentos em segurança da informação e uma vulnerabilidade que era passível de detecção […] o que culminou em uma multa de 183 milhões de euros”, comentou.
Para Rafael, também é essencial evitar a coleta excessiva e desnecessária de dados, tal como tomar cuidado com fusões e contratos com fornecedores, cujas políticas de segurança podem não ser tão rígidas quanto as suas. Como exemplo, temos o caso da rede hoteleira Marriott, que foi obrigada a pagar 100 milhões de euros por conta de um incidente ocorrido em um sistema antigo usado pelos hotéis Starwood, adquiridos pelo grupo em 2016.
Os desafios para o próximo século
Obviamente, sabemos que, nos dias de hoje, evitar um incidente de dados não é lá uma tarefa fácil — muito pelo contrário, ela está se tornando cada vez mais desafiadora. Juan Pablo, diretor de inovação tecnológica da Trend Micro, ressaltou em sua palestra que diariamente surgem cerca de 350 mil novas ameaças digitais e que as companhias acreditam que há uma chance de 80% delas sofrerem um ataque cibernético.
“Além disso, agora, a maioria das empresas são empresas de software”, observou, pontuando que a transformação digital está obrigando qualquer setor a “digitalizar-se”. Um exemplo bem adequado é o setor bancário, que está cada vez mais operando por meios digitais, utilizando aplicativos e até mesmo dispensando o uso de agências físicas.
Para piorar a situação, temos um apagão de talentos na área de segurança da informação — um problema, inclusive, que foi o tema central de um painel. Em determinados casos, executivos aguardam até seis meses para preencher uma vaga e são obrigados a escalar etapas por falta de mão-de-obra especializada.
“No Nubank, preferimos esperar para contratar do que contratar a pessoa errada. É melhor deixar a vaga em aberto”, afirmou Dilson Caproni, líder de riscos e segurança da informação da fintech mais famosa do Brasil. De acordo com ele e com os especialistas André Tritapepe (gerente global de SI e governança de TI na Braskem) e Thiago Musa (managing director LAC da Qualys), as companhias precisam “se ajudar” investindo em educação e capacitação de seus funcionários, incentivando assim a criação de mais talentos.
Man & machine
Nesse caso, garantir a segurança do software com varreduras constantes e adoção das melhores práticas de desenvolvimento seguro é algo crucial para garantir a segurança do consumidor, pontuou Chris “Weldpond” Wysopal, ex-membro do coletivo hacker l0pht e CTO da Veracode. Após exibir um aumento exponencial no número de “scans” por aplicativo ao longo dos últimos anos, Chris comentou que “DevSecOps está virando uma norma e um processo contínuo”.
O mesmo acontece na nuvem, infraestrutura cada vez mais usada para sistemas online e projetos de tecnologia, mas nem sempre com a devida preocupação com segurança. Henrique Vaz, CEO da CleanCloud (serviço que analisa ambientes cloud e provê orientações a respeito de eventuais vulnerabilidades), conversou conosco sobre o crescente número de buckets abertos no Amazon Simple Storage Service (S3).
“Um profissional de segurança está sempre lidando com incidentes e a Amazon Web Services,, por default, deixa portas abertas. Às vezes, essa pessoa cria um ambiente que por padrão está desprotegido e com a correria do dia-a-dia nem sequer percebe. O ambiente está mudando de forma constante e o profissional está focado nas novas soluções, sem tempo de parar e olhar para trás”, afirmou.
Investir em conscientização no fator humano, naturalmente, continua sendo imprescindível para proteger o elo mais fraco dessa relação. Em sua palestra, Priscila Meyer, CEO da Flipside, explicou que é necessário mudar a cultura popular de que “segurança da informação não é importante para mim pois não tenho nada a esconder”, visto que essa mentalidade acaba se refletindo no ambiente corporativo.
“As pessoas não percebem que deixam rastros, migalhas de informações que criam um perfil completo de você”, pontuou a executiva. “Gostos, personalidades etc., várias decisões são tomadas com base nisso e que afetam a sua vida”, conclui.
Para Priscila, uma campanha de conscientização ideal precisa levar em conta as particularidades de seu negócio, segmentar os públicos com os quais você pretende se comunicar, criar mensagens direcionadas, simular situações de risco para garantir a aprendizagem na prática e gerar métricas que otimizem o treinamento. É um processo contínuo, e não uma ação pontual.
Dados preocupantes, futuro promissor
De acordo com dados da 4ª Pesquisa Nacional Sobre Conscientização Corporativa em Segurança da Informação, divulgada justamente durante o MTSSP 2019, 52% dos eventos de segurança registrados dentro das empresas brasileiras foram causados por cliques em links maliciosos recebidos pelos colaboradores por email, SMS ou redes sociais — um número assustador e que atesta a eficácia do phishing para roubar dados sigilosos.
O relatório — fruto de entrevistas com gestores de segurança da informação das 200 maiores empresas do país entre agosto e setembro de 2019 — coloca o compartilhamento de senhas em segundo lugar na lista de comportamentos inseguros mais praticado pelos funcionários, simbolizando 47,52% dos respondentes. Outro problema muito comum é o uso de grupos de WhatsApp para a troca de informações corporativas confidenciais (32,68%).
A boa notícia é que, com a LGPD passando a vigorar em agosto de 2020, 87,5% dos gestores afirmam que a área de segurança da informação passou a ganhar uma atenção maior e consequentemente receber mais investimento para ações de educação. Isso significa que, apesar de todos os desafios e dificuldades, a previsão é de que o cenário em si melhore ao longo dos próximos anos.