Em tempos de isolamento social, com as pessoas ficando em suas casas, cresceu consideravelmente o número de treinamentos online nas mais diversas áreas, sendo alguns de maneira paga e outros, em sua grande maioria, disponibilizados gratuitamente. Na área de Segurança da Informação e Lei Geral de Proteção de Dados – LGPD, tem ocorrido o mesmo e, como em qualquer área, existem os treinamentos de grife ou sem grife e temos aqueles de excelente qualidade e outros nem tanto. Há também os alunos que buscam apenas um certificado e outros que estão atrás do conhecimento técnico. Para se tornar um DPO, o que é necessário?
Sem entrar no âmbito da discussão a respeito da qualidade e validade dos treinamentos oferecidos no mercado, é inegável que o oferecimento de tais alternativas e a procura pelo conhecimento por parte das pessoas, é algo bem visto pelo mercado e que deve gerar bons resultados em relação a maturidade no entendimento do tema.
No entanto, imagina-se que muitos profissionais, após concluírem seus treinamentos e obterem suas certificações, se deparem com a dificuldade que está mais relacionada a parte prática do processo de adequação em sua empresa.
Solução mágica para adequação LGPD?
A Zemus possui uma metodologia, que mesmo não sendo uma inovação, busca aplicar em seus clientes para obtenção de resultados que sejam mais adequados a realidade de cada um deles. Essa metodologia já foi aplicada em empresas de diversos segmentos e portes.
Tomamos como exemplos, empresas líderes em seu segmento na América Latina com mais de 2.000 funcionários, assim como também escritórios de advocacia e contabilidade com menos de 20 funcionários. A metodologia é a mesma, a complexidade naturalmente mudará, mas o principal é o ponto em comum dessas empresas, onde o nível de maturidade em relação à Segurança da Informação e adequação a LGPD é muito baixo.
Com know-how adquirido em Segurança da Informação e mais recentemente nas adequações a LGPD, temos nos deparado com vários cenários, onde o mais comum é aquele em que os Gestores ou DPO acreditam ou foram levados a acreditar em uma solução mágica para adequação LGPD.
É comum alguns acreditarem que é necessário apenas contratar adequações jurídicas e contratuais. Outros imaginam que a aquisição de equipamentos e aplicativos que analisam, identificam e protegem os dados que trafegam tanto na rede interna como externa resolverá o problema.
É possível identificar ainda, gestores que adquirem a solução Office 365 para poder implementar opções de confidencialidade em e-mails, textos e planilhas, esperando estar seguros que a partir disso as obrigações derivadas da LGPD estejam atendidas.
Se você acabou de se certificar como DPO ou outros cursos na trilha de Segurança da Informação e LGPD, já deve ter entendido que as adequações acima citadas fazem parte do processo, mas individualmente causam mais problemas que soluções, na medida que a falsa percepção de segurança é um dos maiores fatores de risco.
Então como alterar esse quadro em sua empresa? Por onde começar?
De acordo com o conhecimento acumulado ao longo de nossa jornada e pela experiência adquirida em diversos clientes, entendemos que o melhor caminho a ser seguido pelos DPOs ou profissionais preocupados com a Segurança, passa pelas seguintes atividades:
– Conscientização dos gestores – isso passa pela etapa de descrever a eles as leis e melhores práticas de Segurança da Informação apresentando quais resultados esperados, e principalmente, focar em ganhos que possam ser obtidos, além dos riscos que serão identificados e a partir disso tratados.
– Elaboração de uma fotografia inicial que possa ser comparada as melhores práticas e também com a evolução da própria organização. Com a realização desse diagnóstico, os gestores passam a conhecer tudo o que envolve uma adequação e que ela deverá ser suportada por pessoas, processos e tecnologia. E a partir do diagnóstico de segurança, elaborar um planejamento de adequação que seja factível para a organização, seja em relação a recursos financeiros, mão de obra ou outros.
É possível observar relatos de gestores e DPOs que contrataram alguns serviços de adequação e que ao final receberam uma relação de atividades que seriam inviáveis a curto e médio prazo. Tomamos como exemplo, uma das atividades principais de adequação: a implementação de uma ferramenta de atualização automática de softwares; se a empresa não possui inventário adequado de licenciamento e/ou possui grande parte de seus softwares sem licenciamento, não haveria sentido ter ferramentas de atualização automática, em um primeiro momento.
Claro que uma ferramenta de atualização de software é útil na medida em que grande parte das brechas utilizadas para atividades maliciosas, decorre da falta de atualização de sistema operacional ou outros aplicativos, mas essa adequação deve ser vista sob a perspectiva global da empresa.
Sugestões para um DPO de adequação
Vejamos alguns exemplos e sugestões:
– Grandes problemas de adequações, são melhores gerenciáveis quando dividido em pequenos problemas, dentre outros motivos porque pequenas vitórias motivam a equipe envolvida. Interprete essa sugestão como a famosa teoria dos “Passos de bebês”, onde os primeiros passos são os mais importantes, ainda que não sejam grandes passos. Você como DPO ou responsável pela Segurança, pode usar essa ideia para tirar sua empresa da inércia e correr menos riscos de não cumprir objetivos, que podem minar o processo como um todo.
– Um exemplo muito citado é a elaboração de Relatórios de Impacto a Proteção de Dados. Seria válido gastar uma energia significativa para elaborar um documento que poderá ou não ser exigido? Investir na criação ou melhoria da documentação que irá suportar esse Relatório não seria mais produtivo?
– Outro exemplo que trazemos: imaginando que em sua empresa a documentação de processos seja inexistente ou próxima disso. Valeria a pena investir tempo e dinheiro para a criação de um mapeamento que utilize as mais avançadas técnicas e softwares, cuja manutenção possivelmente irá gerar um custo razoável para sua empresa neste momento?
Talvez iniciar o processo de mapeamento com visões macro e com um nível de detalhamento que atenda às necessidades neste momento não seria o melhor a se fazer? Se a sua empresa tiver a possibilidade de realizar investimentos sem grandes impactos para o processo de adequação, é o melhor cenário.
Após os primeiros passos, qual a próxima etapa?
Após a realização do planejamento e estando de comum acordo com os gestores, é indispensável conscientizar os funcionários e demais envolvidos. É fundamental que todos entendam que mudanças serão realizadas mas que estas tem como objetivo a evolução dos requisitos de Segurança da Informação na organização.
Os funcionários precisam entender que a legislação mudou e trouxe novas obrigações para empresa e que esse processo de mudança será contínuo, onde todos deverão participar em maior ou menor grau. É necessário que vejam que mudanças em processos e procedimentos podem causar algumas insatisfações mas que o Comitê Gestor dessas adequações, Diretoria, etc., estará aberto para receber as críticas e sugestões, de maneira a facilitar essa caminhada para todos.
Também é importante deixar orientado, que os gestores apoiam esse processo e demonstrar que críticas e sugestões serão, ao menos, avaliadas, já que esse processo não é apenas parte de um setor ou de terceirizados, mas sim de todos e, portanto, o sucesso depende de todos. Se não houver engajamento dos funcionários não haverá investimento em Processos, Tecnologia e DPO ou profissional de Segurança da Informação que consiga elevar o nível de maturidade da empresa.
A importância de uma consultoria especializada
Com base nas ideias citadas acima, temos observado resultados mais consistentes quando uma organização realiza a contratação de uma consultoria, como os serviços oferecidos pela Zemus. Nossa consultoria serve para realizar grande parte das atividades iniciais anteriormente citadas e, a partir dessas etapas, realizar o acompanhamento mensal ou semanal do planejamento, auxiliando em dificuldades pontuais que com certeza ocorrem nesse tipo de atividade.
Principalmente quando a realização do Diagnóstico inicial, a isenção de uma consultoria externa proporciona resultados mais próximos a realidade, facilitando assim que o planejamento atinja os resultados esperados.
Para você DPO ou profissional da área de Segurança em sua empresa, que fez os treinamentos e/ou certificações, acompanhar esse processo inicial lhe dará conhecimento suficiente para executar os próximos diagnósticos e ações necessárias a melhoria, já que esse é um processo continuo.
Em nosso Blog temos diversos artigos que em sua maioria focam na parte prática e também são direcionados para pequenas e micro empresas. Você encontrará diversos temas que poderão ajudá-lo na implementação de medidas de adequação. Acompanhe-nos.