LGPD e a agenda do CIO, do CISO e demais linhas de defesa - Projetos de Transformação Vs Mudanças Cosméticas

A 4 anos atrás assisti uma palestra onde a CEO de uma grande empresa de tecnologia global colocou de forma muito firme: "Os CIOs e seus times em geral ainda não entenderam o impacto que as leis de privacidade terão em suas carreiras e mandatos, seja no ponto de vista de infraestrutura, de aplicações ou de gestão de conhecimento de seus times". A audiência não captou o que ela falava. A GDPR ainda não havia entrado em vigor na Europa e LGPD estava sendo gestada aqui.

Pois bem, hoje pesco estas sábias palavras e estendo não somente ao CIO, mas também ao CISO e demais linhas de defesa:

1.      De forma geral, o CIO, o CISO e seus times, não tinham na sua agenda 2020 prioridade sobre projetos de transformação considerando privacidade de dados e segurança. Salvo poucas exceções. A entrada da LGPD agora atropelou as agendas. Novamente, falo aqui de projetos de transformação. Mudanças cosméticas não vão endereçar a raiz do desafio;

2.      Com este atropelo, é alto o risco de ruptura no nível de serviços sustentados por TI ou altamente dependentes de Segurança da Informação ou de CyberSecurity;

3.      Em contraposição ao enforcement da lei, temos o consumidor exigindo cada vez menos fricção na relação de consumo ;

4.      Indubitavelmente, mudanças em tecnologia e segurança impactam diretamente o negócio, podendo gerar paralisação ou queda significativa no nível de serviço;

5.      Com a pandemia, empresas passaram a colocar cada vez mais dados pessoais de consumidor nas mãos de suas forças de vendas, sem a segurança e a tecnologia adequada. Exemplo: uso de whatsapp para oferta de produtos e serviços;

6.      Também com a pandemia, as empresas ficaram mais expostas a riscos de segurança, com seus funcionários e parceiros no homeoffice usando wifi doméstico com pouco nível de segurança e monitoramento, bem como com a necessidade de novas tecnologias que trazem também novos riscos de forma massiva (apps de videoconf, soluções em nuvem, suporte remoto de TI, assinatura de documentos digital, etc). O CISO está dormindo pouco nesta pandemia;

7.      Muitas empresas ainda não estão maduras no uso de soluções em nuvem. Por si só, estar na nuvem não resolve de pronto questões de segurança. Esquecem que na camada de aplicação de uma nuvem a responsabilidade é direta da empresa, e não do provedor da plataforma. Este deve cuidar da camada de infraestrutura.

8.      Por que tantas soluções em nuvem sem duplo fator de autenticação ativado? Por que tanto compartilhamento irrestrito de links públicos de relatorios e dashboards de BI contendo dados pessoais ? Por que tanta solução em nuvem não integrada com o RH ou com a base de gestão de terceiros para viabilizar o bloqueio automático quando este é desligado da empresa?

9.      O trisal DPO, Juridico e CISO ainda não resolveram sua DR e dilemas. Os papeis ainda não estão claramente definidos – porem sabemos que Privacidade, Compliance e Segurança são indissociáveis;

10.  As discussões sobre ferramentas e software não podem anteceder as questões de conscientização de pessoas e de mudanças em processos e procedimentos. Ferramentas e software devem ser aceleradores para estas mudanças.

11.  Não é por que não tenho uma ferramenta de Data Discovery que não vou realizar o inventario de dados. Não é por que não tenho ferramentas que não vou atender os direitos dos titulares.

12.  TI, CISO, bem como as demais linhas de defesa: Gestão de Riscos, Compliance, Controles Internos, Jurídico, Auditoria Interna, necessitam rever seu plano de trabalho, escopo e metodologias para os próximos 2 anos. Caso contrário, estarão trabalhando de forma alienada ou altamente descompassada com os riscos de negócios de suas empresas.

Equilibrar estes desafios e em paralelo continuar provendo serviços e tecnologia para o dia a dia da empresa (Produzir, Vender, Receber, Pagar, Controlar) não é simples. Não tem fasttrack e nem analgésico. Enfrentar frontalmente a questão é palavra de ordem.