Segurança > Cibercrime

GDPR é desafio para responsáveis pela segurança de TI, na Europa e no Brasil

À medida que as empresas se preparam para estar em conformidade com a norma europeia, iniciar a classificação é o primeiro passo para proteção de dados

22 de Agosto de 2017 - 18h51

No meio empresarial é recorrente o debate sobre a proteção de dados dos seus clientes. Muitas dúvidas, aliás. No entanto, os mecanismos regulatórios estão surgindo acompanhando uma demanda cada vez maior da proteção da privacidade e da guarda correta das informações pessoais em poder das organizações em seus sistemas.

No Brasil, o Marco Civil da Internet deu um passo importante nesse sentido e regulamentou o uso da rede mundial e da computação em nuvem, estabelecendo direitos e deveres dos cidadãos e empresas com base nos princípios da neutralidade de rede, privacidade e registro dos acessos. A regra, já em vigor deste maio de 2016, terá a companhia a partir de maio de 2018 da Regulamentação Geral de Proteção de Dados (GDPR), que atingirá qualquer empresa ou organização que colete, processa, controla, hospeda ou compartilhe de alguma maneira os dados pessoais dos cidadãos da União Europeia. Assim, empresas privadas ou públicas — podendo ser instituições bancárias e financeiras, incluindo as fintechs —, que possuem relacionamento com clientes europeus no Brasil terão que respeitar o novo regulamento.

Algumas organizações, tanto na Europa como nos EUA, estão mais avançadas que outras quando o assunto é a proteção dos dados pessoais. Os dados mais recentes foram divulgados em janeiro deste ano, quando uma conceituada empresa global de consultoria pesquisou 200 corporações nos EUA, com mais de 500 funcionários, e descobriu que 92% apontaram a conformidade com a GDPR prioridade máxima de suas agendas de privacidade e segurança de dados neste ano. Mais da metade indicou a conformidade com a GDPR como principal prioridade e 38%, entre as principais prioridades. Claro, a conformidade não será barata e 77% dos pesquisados afirmaram que sua organização estava planejando gastar US$ 1 milhão ou mais na preparação para atender à GDPR.

No entanto, não basta ter conhecimento da nova regra e também não basta apenas guardar os dados em um servidor qualquer. As empresas terão que adotar políticas de segurança para que as informações possam receber o tratamento adequado. Por exemplo, a definição do nível de acesso que outras pessoas poderão ter a eles dentro e fora do ambiente corporativo. Para isso, a classificação das informações entra aqui como o instrumental apropriado.

A classificação de dados (data classification) envolve a combinação entre processos, políticas e tecnologias de segurança que provê a informação contextual para políticas de criptografia, DLP (prevenção e proteção contra a perda de dados), governança de dados, funções de archiving. Ela possibilita combinar também camadas locais da rede corporativa com os padrões regulatórios, além das demais políticas de transparência da informação pública, de proteção e privacidade dos dados do usuário. Como se vê, apenas usar a rede corporativa — on premises ou em nuvem — como repositório de dados em pastas e diretórios não consegue levar em conta uma série de processos necessários para a proteção dos dados dos clientes.

Dessa forma, a GDPR apresenta um desafio para os responsáveis pela segurança da informação, que precisarão criar as condições para garantir a conformidade em suas empresas. À medida que as empresas se preparam para a introdução da norma, iniciar a classificação dos dados como um primeiro passo permitirá que a estratégia de proteção e as soluções implementadas sejam construídas em torno dos tipos de dados que você possui e dos níveis de segurança que eles exigem.

*Jaime Munhoz é diretor para América Latina da Boldon James, fornecedora global de soluções de segurança e classificação de dados.