Liderança em Privacidade de Dados, Segurança da Informação e Cybersecurity

O líder de Privacidade de Dados e Segurança da Informação, seja qual for o título (CSO, CISO, Diretor, Gerente, etc) é alguém que a organização deposita confiança para endereçar a estratégia corporativa de proteção das informações e mitigação de riscos, mantendo o negócio operando com máxima produtividade dentro dos parâmetros de gestão de riscos e governança aplicáveis tanto na forma regulatória quanto nas desejadas pela Alta Direção e que são vistas como atrativos de mercado.

Porém, ao colocar uma pessoa à frente desta responsabilidade, o que se espera dela? Quais são os requisitos desejados e, mais do que isso, quais são as atitudes e forma de condução da estratégia, da tática e da operação visando os resultados planejados?

Independente do nível hierárquico, quando há esta figura (ou em diferentes esferas, de forma matricial), o que cada líder deste segmento deve ter em mente é, de forma prioritária, a razão do negócio, ou seja, a forma como a organização se remunera e, consequentemente, se viabiliza.

Tendo isso como norte, as atitudes são mais facilmente alinhadas e direcionadas sem que haja divergências de idéias e posturas hostis, tão comuns em especialistas que tratam suas áreas como verdadeiros feudos e não olham para o todo e, de forma bastante ingênua, não se preocupam da própria viabilidade de sua área.

Desta forma, o que se espera de um executivo, antes de considerar sua área de atuação, é que ele tenha, como habilidades essenciais, o domínio do relacionamento, comunicação, alianças, resolução de problemas e cultura de hospitalidade, que é a atitude de acolher um problema e, mesmo não sendo o agente solucionador, encaminhá-lo fim-a-fim a ponto de deixar o seu cliente (interno ou externo) confortável e satisfeito.

Algo também importante neste papel é a conduta de analisar situações não apenas por uma, mas por várias perspectivas diferentes, cercando-se do maior número de detalhes e distanciando-se de decisões imparciais e, principalmente, tempestivas.

Um bom líder em Privacidade de Dados, Segurança da Informação, Cybersecurity e similares deve ter uma base muito sólida dos conceitos os quais trata, mas também deve se cercar de especialistas melhores do que ele em suas funções e deixar que as soluções e as demandas fluam pelas partes envolvidas e não pelo seu próprio viés e preciosismo.

Ele deve ainda ser preciso na venda de seu time como suporte ao negócio (e suporte ao suporte do negócio), no estabelecimento de alianças e um exímio negociador com todos os níveis da organização, sempre lembrando que o mais importante não é sua área, mas sim o negócio em si.

Vem aí a Lei Geral de Segurança Cibernética

Segundo a ONU, o Brasil ocupa atualmente o 66o lugar no ranking de maturidade em desenvolvimento de tecnologia da informação, nos colocando atrás de países como Barbados, por exemplo.

Isso somado ao fato de que somos um dos maiores mercados de telecomunicações do mundo e também à nova realidade de formas de guerra e espionagem, provocou o governo brasileiro a se posicionar e tomar medidas para que, enfim, tenhamos algo concreto neste segmento, a exemplo do que já existe há anos em nações desenvolvidas que, inclusive, elevam a segurança cibernética a secretarias e ministérios.

Como medida concreta, foi colocada em consulta pública pelo GSI (Gabinete de Segurança Institucional) a Lei Geral de Segurança Cibernética, inicialmente chamada de E-Ciber, onde premissas básicas como ter um órgão central de proteção digital (controlado pelo GSI) e que haja educação sobre o assunto no currículo das escolas públicas e maturidade no assunto.

Embora tenhamos cerca de 75% de residências conectadas à Internet, é considerado baixo o nível de conhecimento sobre os cuidados e proteção de dados por parte dos cidadãos, bem como os próprios órgãos governamentais que, pela sua natureza, possuem em sua maioria estrutura e conscientização precárias, colocando em risco o que se chama de IFCs (Infraestruturas críticas), que são compostos por setores financeiro, elétrico, telecomunicações e gestores de dados.

O GSI propõe que seja responsável pelas políticas e procedimentos de proteção cibernética do país, centralizando o comando (e também a inteligência) das ameaças consideradas críticas, agregando ao já existente CTIR Gov (Centro de Tratamento e Resposta a Incidentes de Governo e se alinhará aos aspectos legais, regulatórios, educacionais e culturais e, justamente por ser algo regulatório, isso não elimina ou incorpora outros instrumentos de proteção neste tema já existentes, como o ComDCiber (Comando de Defesa Cibernética), pois este é subordinado às Formas Armadas e, tal qual numa corporação, poderíamos fazer uma analogia onde, respectivamente, a nova Lei representaria as políticas e o ComDCiber a parte operacional.

Esta lei se integraria a outras regulações, como o Marco Civil e a LGPD, mas seu foco é exclusivo na parte cibernética e tem como premissas os seguintes itens:

• Fortalecer as ações de governança cibernética;
• Estabelecer um modelo centralixzado de governança no âmbito nacional;
• Promover um ambiente colaborativo, participativo, confiável e seguro, envolvendo o setor público, privado e sociedade;
• Elevar o nível de proteção do governo;
• Elevar o nível de proteção das infraestruturas críticas nacionais;
• Aprimorar o arcabouço legal sobre segurança cibernética;
• Incentivar a concepção de soluções inovadoras em segurança cibernética;
• Ampliar a cooperação internacional do Brasil em segurança cibernética;
• Ampliar a parceria, em segurança cibernética, entre setor público, privado, academia e sociedade;
• Elevar o nível de maturidade da sociedade em segurança cibernética

O que se percebe é que a lei busca centralizar e organizar o quadro da nova realidade que se apresenta, onde informações são ativos estratégicos e medidas e contramedidas devem ser organizadas de forma estruturada, abrangendo não apenas um viés, mas o todo.

Como tornar Privacidade e Segurança menos chato?

Se nos colocarmos do outro lado da organização, aquele que não estuda o GDPR e o LGPD para entender as bases legais, formas de consentimento e os meandros legais; aquele que não desenvolve planos de implementação das normas ISO 27001 e ISO 27701 com todos os controles e cláusulas, gestão de riscos e classificação da informação; e muito menos aqueles que priorizam seu tempo lendo políticas e padrões de Privacidade de Dados e Segurança da Informação, veremos que isso tudo é muito chato e pouco perceptível em uma primeira impressão, levando em conta as preocupações que as pessoas possuem em suas vidas pessoais e profissionais.

Contudo, não é uma opção deixar que estas impressões impeçam a concretização da estratégia definida pela organização e atingir os resultados desejados e, para isso, temos que implementar tanto a parte funcional quanto a de comunicação com as pessoas, e não apenas de modo institucional, mas tocando cada indivíduo e mostrando o sentido, as implicações e impactos que isso tudo compreende.

Para isso, raramente nossa área tem talento e, observando a vida corporativa, vejo que cada vez mais temos ou de nos qualificar ou nos aliarmos a áreas e profissionais da área de comunicação.

A identidade visual, a linguagem e a forma de se comunicar são elementos extremamente eficazes para se conseguir engajamento e, quando isso é feito de modo inadequado, o resultado pode ser indesejado, causando distanciamento ao invés de comprometimento com a causa.

Por este motivo, defendo que em organizações pequenas ou médias, os profissionais da área devem ser capacitados nestas habilidades e, em grandes corporações, deve haver total sinergia entre as áreas, com fluxos e discussões estabelecidos de modo recorrente.

O ponto primordial é buscar entender cada indivíduo e sensibilizá-lo de forma a cooperar não para a área de Privacidade e Segurança, mas adotando como hábito para sua vida.

Temas como comportamento humano, acessos não-autorizados e cuidados com disponibilização de informações pessoais não são constantes apenas no âmbito profissional e, por este motivo, tal qual toda a parte de educação, cultura e hábitos, pode ser desenvolvida, estimulada e suportada de forma orgânica, mesmo que por trás disso haja todo um aparato considerado chato, insosso e que não causam qualquer interesse.

TSG | Telefone Seguro Governamental

Desde o governo Dilma o tema Segurança da Informação e Cibernética entrou no radar do alto escalão dos políticos devido aos episódios de grampo e vazamentos da então presidente, passando ainda pelo seus sucenores onde, atualmente, o presidente Bolsonaro é conhecido por ser altamente relapso em relação aos cuidados com a privacidade, tendo sido vítima de vários vazamantos onde se constatou que decisões e informações estratégicas são frequentemente trafegadas via Whatsapp.

Em contrapartida, a ABIN (Agência Brasileira de Inteligência) e o SERPRO possuem um equipamento que visa atender a esta necessidade e o disponibiza aos nossos governantes, embora sua adoção seja baixa por conta da falta de compatibilidade com as ferramentas mais populares de troca de mensagens, documentos e outros.

Este equipamento é conhecido como TSG (Telefone Seguro Governamental), desenvolvido e implementado em 2009 em duas versões (TSG-NML, que se baseia em telefonia fixa com criprografia; e o TSG-M, voltado à telefonia móvel).

A tecnologia por trás disso anteriormente era baseada em Citrix, com utilização de tokens, mas por questões de segurança nacional (para não depender de fornecedores e fabricantes de mercado), um protocolo próprio foi desenvolvido, possibilitando funções similares aos dos smartphones convencionais, mas com criptografia nativa e aplicativos proprietários (até uma variante do Whatsapp foi criada: a Athena, também chamada de Whatsabin, desenvolvido com o apoio do ITA, em São José dos Campos.

O equipamento não permite a instalação de aplicativos, mantendo suas funções de dados e voz criptografados com tecnologia de Estado e sem a dependência (direta) de terceiros e regulada pela Portaria 85 do GSI, de 26 de Junho de 2017.

Contudo, a utilização do equipamento é opcional e, independente de tecnologia, a conscientização é fundamental para que incidentes sejam evitados ou minimizados e, se já é difícil implementarmos cultura de proteção de dados no mundo corporativo, imaginem a dificuldade no âmbito da Alta Administração do país.

Deepfake, Deeplearning, Deepsecurity

Em tempos de assistentes pessoais baseados em Inteligência Artificial e o retorno da franquia Terminator, os termos Deepfake, Deeplearning e também Deepsecurity passam a fazer parte do universo de reais preocupações das áreas de Privacidade de Dados e Segurança da Informação das corporações e também dos indivíduos em suas vidas pessoais.

Mas o que são estes termos? Inicialmente vamos conceituá-los de forma breve e superficial:

• Deepfake

O deepfake é uma forma de utilização da tecnologia de Inteligência Artificial que possibilita simulações extremamente convincentes de pessoas em ações que estas não cometeram, como por exemplo, vídeos pornográficos, discursos, decisões.

A base tecnológica disso é o machinelearning, onde não vamos nos aprofundar neste post, mas consiste em algo já feito há algum tempo pela indústria do cinema, mas agora tem sido democratizada e possibilita fraudes e situações desfavoráveis a quem é representado pelo produto final.

• Deeplearning

É a base tecnológica que possibilita, utilizando grandes bancos de dados e bibliotecas de códigos, imagens e recursos disponíveis tanto de forma pública (jogos em  redes sociais que coletam suas fotos, por exemplo – vide FaceApp) a criação de verdadeiras réplicas para fins de utilização de faces, vozes e outros aspectos biométricos, entre outros fatores.

Há, inclusive, aplicativos para celular que geram, em qualidade alta, estas falsificações.

• Deepsecurity

Já surgem corporações que se especializaram neste campo de atuação, combatendo (com uso de forense e outros recursos) situações onde pessoas e corporações são prejudicadas por este fator.

Quais são os riscos que as pessoas correm por uso de deepfake?

Utilização indevida de imagem, colocando a pessoa em situação de abuso, como em vídeos pornográficos, realizando comentários que não são de sua natureza (imagine que você possa ser vítima disso onde sua imagem e voz é utilizada para postar um vídeo onde você faz a pregação de anti-semitismo, nazismo, racismo e outras convicções que não são genuinamente suas) e geração de notícias falsas, levando o indivíduo a ter de responder por atos não cometidos e, eventualmente, ter sua vida devastada e sua reputação prejudicada e até destruída.

Como isso afeta as corporações?

Inicialmente os riscos mais visados são os de uso de aspectos biométricos para acesso não-autorizado (há relatos de uma pessoa que roubou um iPhone 4, tirou foto do antigo dono, imprimiu uma cabeça em uma impressora 3D e modelou esta foto, conseguindo realizar o desbloqueio por reconhecimento facial – algo que poderia ser feito para entrar em um Datacenter, em um servidor ou em qualquer recurso de missão crítica).

Impressões digitais também são muito visadas e facilmente falsificadas com esta mesma tecnologia e outros fatores estão em pleno desenvolvimento.

No campo regulatória há cláusulas tanto no GDPR quanto na LGPD que prevêem controles e sanções para uso automatizado de dados pessoais, que podem enquadrar este tipo de situação e proteger tanto corporações quanto indivíduos.

Como devemos nos proteger?

Restringir o acesso à imagem é algo fundamental, por mais utópico que isso possa parecer. Fotos de perfil em redes sociais dificilmente são suficientes para gerar um deepfake efetivo. Porém, vídeos e volume de diferentes situações de um mesmo indivíduo são matéria-prima para o deepfake utilizando-se de deeplearning.

Já no caso de tornar-se vítima disso, a divulgação passa a ser uma arma justamente para demonstrar que se trata de uma falsificação (claro que levando em consideração o teor da falsificação e como isso  afeta a vida da pessoa).

Já há estudos e testes de uma espécie de marca d’água em fotos e vídeos que dificultem o acesso dos algoritmos de deeplearning para a geração dos deepfakes, mas como em toda escalada, sempre haverá uma corrida de medidas e contramedidas, prevalecendo sempre a auto-preservação e o cuidado e bom senso na utilização de tecnologia, bem como sua constante vigilância por parte do portador dos seus próprios dados e informações.

Privacidade de Dados & Segurança da Informação| By the book x Abordagem humanizada

Atualmente as grandes corporações estão estruturadas de forma bastante sólida em termos de estratégia, gestão, processos e tecnologia.

Dirigentes com visão estratégica coerente com os temas de proteção de dados, profissionais especializados e competentes na aplicação das medidas necessárias e tecnologia de ponta são commodities e tem se mostrado, superficialmente, eficiente em termos de conformidade e concretização do que pensa a Alta Direção.

Contudo, no ambiente organizacional vemos algo destoante, onde a operação se vê distante disso e sem entrosamento com o que se pretende e sem entender o sentido do que a área propõe, atuando, majoritariamente, sob pressão e não por engajamento genuíno.

O que se percebe neste cenário é na necessidade de nós, gestores e profissionais de Privacidade de Dados e Segurança da Informação, nos voltarmos ao público-alvo final, às pessoas, e não nos focarmos em cumprimento de processos e demandas apenas.

É claro que o pensamento se torna utópico ao ponto em que há conflitos entre o que a organização determina e o que as pessoas querem, mas temos de centralizar esforços neste último componente, pois sem engajamento, uma real cultura baseada em proteção de dados jamais será, de fato, implementanda de modo sustentável.

Fatores como resistência, senso de pertencimento, falta de entendimento e queda de produtividade são totalmente factíveis na geração da falta de sucesso dos programas de conscientização e criação de cultura, mas ao mesmo tempo são perfeitamente contornáveis caso todos os níveis envolvidos em nossa área estejam voltados ao indivíduo, demonstrando o motivo e os ganhos (mesmo que passe por perdas e modificações momentâneas).

Para qualquer ser humano, algo deve fazer sentido e, sem isso, apenas tratamos nosso público como meros pets, premiando pela obediência e punindo pela rebeldia.

Oportunistas EAD

Com a explosão de demanda em Privacidade de Dados e Segurança da Informação, a exemplo do que ocorrera antes com o mercado de TI, surgiram muitas plataformas e treinamentos à distância (EAD) e, apesar da facilidade de realização, custo mais acessível e flexibilidade, é necessário tomar muito cuidado com a parte que está nisso apenas para lubridiar, e não para avançar no conhecimento acadêmico e preparar as pessoas para executarem suas atividades com excelência.

Em uma análise de plataformas e profissionais autônomos independentes vemos, na maioria, cursos idôneos e de qualidade, mas também aparecem, de forma sedutora, algumas aberrações, do tipo, como Torne-se um Hacker, Como Invadir o Email da Sua Namorada, Certificação em GDPR e LGPD, Coach em Segurança da Informação, Formação Inicial para você se tornar um DPO, dentre tantos outros.

É óbvio que todos os cursos listados acima possuem demanda e público, mas o conhecimento alcançado é raso e, muitas vezes, ineficaz ou até mesmo ilegal e não cumpre o propósito que se espera.

O que fica como reflexão é saber selecionar e ter discernimento ao adquirir e realizar qualquer método ou forma de adquirir conhecimento, não se deixando levar por propostas chamativas ou alusivas de modo a conseguir resultados ou vantagens incompatíveis com o fluxo normal das coisas.

Privacidade de Dados | Podcasts

Buscando referências gratuitas e acessíveis para este tema que tem agitado o mercado de Segurança da Informação e também o meio Jurídico, indico alguns podcasts que prezam pela qualidade e clareza, principalmente, nas questões da GDPR e LGPD:

• Segurança Legal;
• The Privacy Cast;
• Direito e Tecnologia;
• Negócios, TI & Direito;
• GDPR Beyound Borders;
• The GDPR Guy;
• GDPR Now!

É importante, além do conhecimento rígido das regulações, saber como as interpretações são feitas por pessoas especializadas, levando em conta os ambientes, a cultura e todos os demais aspectos que formam o entendimento e viabilizam a implementação e operação nos termos definidos pelas regulações.

DPO ou Encarregado | Função promissora ou furada?

É inegável que a onda de preocupação com privacidade de dados tem tomado conta do mercado e, com isso, vários adereços são lançados, como treinamentos, certificações, palestras, artigos (como este), vídeos, podcasts e uma infinidade de componentes que permeiam o real objetivo, que é a maturidade na proteção de dados e a conformidade com leis e normas.

Desta forma, um verdadeiro alvoroço foi criado em torno de cargos requeridos, principalmente, pela GDPR (DPO) e LGPD (Encarregado), dando a impressão de que uma nova carreira fora lançada no mercado e que isso significa que é uma opção viável para profissionais das mais diversas áreas.

Tanto na GDPR quanto na LGPD se discutiu (e caiu), em sua concepção, que esta função fosse ocupada, mandatoriamente, por profissionais com qualificação jurídica e com credenciais para tal.

Porém, por pressão das classes de outras funções, isso foi abrandado e, teoricamente, qualquer pessoa pode (desde que reúna condições qualitativas) ocupar este cargo.

As certificações da Exin já citadas por mim, bem como as da IAPP são, certamente, algo que elevam a qualidade de quem as obtém e, do ponto de vista acadêmico, direcionam o indivíduo a candidatar-se e pleitear esta posição nas organizações.

Mas uma questão tem sido feita por quem já está atuando no meio: Vale a pena ser um DPO ou Encarregado?

Isso é dito devido ao fato de que esta figura possui, em uma mão, toda a responsabilidade pelos atos de proteção de dados perante os órgãos reguladores, mas nem sempre possui autonomia necessária para mobilizar recursos e esforços neste sentido, o colocando em uma situação de fragilidade.

Enfim, como em  qualquer meio que se auto-regule, isso não ocorre desta forma e o que está efetivamenta ocorrendo é algo muito semelhante ao que no passado significava a posição de CISO, onde galgava-se alguém da TI ou mesmo alguém de confiança da Alta Direção (mesmo que fosse de outra área, como Administrativo ou Financeiro, por exemplo) para cuidar desta nova vertente.

O que preocupa é o equilíbrio entre oferta e demanda de mão-de-obra qualificada frente às questões políticas nas organizações, onde ainda devemos esperar que recursos internos sejam priorizados em detrimento aos novos profissionais que estão se qualificando e se atualizando na questão.

Portanto, a estes profissionais eu diria que continuem em sua qualificação e que estejam cada vez mais alinhados e antenados nos quesitos legais e de boas práticas, mas tenham consciência de que isso levará um tempo para que se equilibre e para que as corporações possam aborvê-los de forma adequada e sem vícios corporativos, inclusive o colocando em posição de autonomia plena neste assunto.

Privacidade de Dados e Segurança da Informação | Como inovar?

Leis, regulações, normas, melhores práticas, políticas, processos, procedimentos e os componentes que os cercam, como gestão de projetos, gestão de operação, auditorias, conscientização, gestão de crises e todos os demais aspectos que formam o cotidiano de nossa área nos dão a dimensão de que muito é feito.

Mas será que estamos conseguindo evoluir na inovação?

Particularmente acredito que não, pois somos consumidos por toda a estrutura a que somos submetidos e também por vezes criada por nós mesmos e entramos em um ciclo infinito de resolução de demandas e entrega de projetos, sem podermos nos preocupar em pensar estrategicamente e com perspectiva além do dia-a-dia.

A implementação de uma lei ou de uma norma, como GDPR, LGDP e ISO 27001 não são, necessariamente, inovações, pois podem vir de uma necessidade do negócio previamente definida, mas itens como um novo processo de comunicação, uma nova forma de pensar como demandar e ser demandado e questões que visam facilitar o trabalho e a convivência do nosso público-alvo em atendimento aos requisitos da área podem ser de grande valia e ter um retorno enorme em termos de visibilidade, aderência, quebra de resistência e sucesso na maturidade de uma cultura focada em proteção de dados.

Vejo que uma das formas de tornar isso viável é institucionalizar e segmentar a área, definindo, seja de qual modo for, questões operacionais e questões de inovação (isso pode ser segregado por sub-áreas, pessoas, tempo dedicado ou período alocado), viabilizando um ambiente propício para a análise macro e detalhada do cenário o qual estamos inseridos, o mercado, eventos, tendências e, finalmente, fomentação de idéias e sua consequente implementação.

Enfim, é necessário priorizar a inovação, pois caso contrário não conseguiremos evoluir como área e como profissionais.