Nesta semana aconteceu o Congresso Security Leaders Nacional 2022. Evento que reúne mais de 3.000 profissionais relacionados à TI e SI, o Security Leaders é uma plataforma de conteúdo e relacionamento que se realiza por meio de eventos e muita troca de experiência e informação, unindo a maior e melhor comunidade de segurança do Brasil.
Discussões sobre as sanções da LGPD que completaram um ano desde que entraram em vigor no Brasil e que está em fase final de regulação pela ANPD para definição da dosimetria da pena, quando da aplicação de multas e outras sanções em casos de infrações. Um pouco dessa transformação advinda da legislação é percebida quando a cultura de privacidade passa a ser uma questão prioritária na lista dos CISOs no país, principalmente quando os números do custo médio de uma violação de dados sofreu aumentou de 52% pós pandemia, segundo pesquisas. Mais detalhes sobre as discussões do painel estão aqui.
Quero destacar o debate sobre as dificuldades para os líderes de Segurança conseguirem estabelecer uma Cultura de Privacidade e Proteção de Dados na organizações, mesmo com os novos ditames trazidos pela Lei Geral de Proteção de Dados Pessoais, a nossa querida LGPD.
Neste contexto, tenho visto na prática que a temática sobre segurança e privacidade, mesmo com os incidentes e violações de dados divulgados diariamente na mídia, ainda é muito incipiente nas organizações públicas e privadas. É notório os avanços ocorridos em termos de documentação como a construção de políticas de segurança e privacidade, criação de comitês, grupos de trabalho entre outros.
Porém, entendo que é preciso avançar muito mais a nível de criação e/ou estruturação das áreas e do aprimoramento das competências dos profissionais de privacidade e segurança da informação no âmbito das organizações. Quando se chega nesse ponto, é aí que começam os problemas para que se invista no corpo técnico, que deve ser altamente capacitado (e o cenário exige isso), em quantidade suficiente, com ferramentas (hardware e software) adequadas e estruturas organizacionais voltadas à Cibersegurança, com competências para gerir a segurança em tecnologia da informação e comunicações, objetivando proteger sistemas, programas, equipamentos, redes e pessoas de ataques cibernéticos e crimes virtuais, garantindo a continuidade do negócio. Outra área essencial é a de Segurança da Informação, Privacidade e Proteção de Dados, que também deve contar profissionais de alto nível aptos a coordenar, implementar e manter Programas de Governança em Privacidade de Dados nos termos e diretrizes da Lei Geral de Proteção de Dados Pessoais, de normas e boas práticas consolidadas mundialmente. Mantendo um olhar transversal sobre a temática no âmbito da organização.
A existência dessas estruturas é imprescindível para o sucesso das ações no campo prático, pois sem que haja um olhar com foco exclusivo para essa temática, a questão se torna secundária e possivelmente volte à tona quando da ocorrência de incidentes de segurança que podem comprometer por completo a operação do negócio. E nesse sentido, os impactos podem ser irreversíveis.
Além disso, é preciso capacitar o capital humano da organização, por meio de ações educacionais eficazes e eficientes de forma continuada, para construir evidências do aperfeiçoamento dos funcionários, pois como sabemos, o ser humano é o elo mais fraco no contexto de segurança da informação e privacidade.
Assim, seguindo essas premissas, será possível disseminar técnicas e boas práticas para todos aqueles que se relacionam direta ou indiretamente com a organização, tais como funcionários, estagiários, prestadores de serviços terceirizados, parceiros e fornecedores.
Portanto, é passada a hora da alta gestão entender que direcionar orçamento para o tema é fundamental para a continuidade e sucesso do negócio. Aqui cabe aquele velho bordão, “em segurança não se gasta, se investe!”. O estabelecimento de uma Cultura de Privacidade e Proteção de Dados só será fomentada de maneira sólida nas organizações quando elas entenderem isso e focarem na estruturação das áreas e na capacitação continuada do seu capital humano.
A jornada é longa e não devemos esmorecer, pois há luz no fim do túnel!