Recentemente, redes de computadores de empresas e organizações ao redor do mundo saíram do ar depois que uma atualização de um produto de segurança de TI da Crowdstrike afetou o funcionamento de seus sistemas. Companhias aéreas tiveram que voltar a emitir cartões de embarque em papel, enquanto outras empresas foram obrigadas a paralisar seus serviços enquanto o problema não fosse resolvido. O episódio mostrou não só a dependência que nossa sociedade tem da tecnologia como a importância do tema da segurança e privacidade na internet.
A questão da cibersegurança ganhou destaque nos últimos 10 anos por três razões principais: (1) o aumento dos incidentes de vazamento de dados; (2) a adoção de políticas de proteção de dados pelas organizações e empresas; e (3) a adoção de leis e regulamentos de proteção de dados em vários países, com previsão de sanções para os controladores e operadores de dados pessoais.
No Brasil, a Lei Geral de Proteção de Dados (LGPD) entrou em vigor em agosto de 2020 e, desde então, muitas organizações buscam se adequar à legislação. O processo, porém, é gradual e bastante lento.
Uma auditoria do Tribunal de Contas da União (TCU) para elaborar diagnóstico acerca dos controles implementados pelas organizações públicas federais para adequação à LGPD mostrou que 17,8% delas se encontravam com nível de adequação inexpressivo, 58,9% com nível inicial, 20,4% com nível intermediário e apenas 11% com nível aprimorado.
Já segundo a pesquisa IT Trends Snapshot 2023, da consultoria multinacional de tecnologia Logicalis, apenas 36% das empresas ouvidas informaram estar aderentes à LGPD, enquanto 43% têm iniciativas concretas, 16% se encontram em fase de projeto e revisão de processos e 6% não têm iniciativas específicas.
Esse cenário de lentidão na adequação das organizações públicas e privadas à LGPD chama a atenção, pois a Agência Nacional de Proteção de Dados (ANPD) já se encontra em plena atividade para receber denúncias e requerimentos de titulares de dados que se sintam prejudicados com o tratamento de suas informações pessoais pelas organizações e empresas.
De acordo com o segundo Relatório do Ciclo de Monitoramento (RCM) da ANPD, referente ao primeiro semestre de 2023, "considerando apenas as petições de titular que continham os requisitos mínimos de admissibilidade, os setores mais demandados foram o de Telecomunicações, com 14 petições, seguido do setor de Plataforma Digital - Comércio Eletrônico, com 11 petições. Logo após observa-se o setor de Educação, com sete petições, seguido dos setores: Entretenimento; Bancos, Financeiras e Administradoras de Cartão; e Condomínios, com seis petições cada". E, examinando somente as denúncias "que continham os requisitos de admissibilidade para serem processadas, nota-se que a preponderância de requerimentos relacionados aos setores Público, Financeiro e Agregadores de Dados tem se mantido".
Cenário desafiador
Se considerarmos que as partes interessadas no negócio das organizações não admitem prejuízos com sanções oriundas de leis e regulamentações provocadas por erros e omissões dos gestores e demais colaboradores, como podemos melhorar esse cenário?
Um ponto chave para assegurar a proteção de dados pessoais é entender que a organização precisa ter uma visão mais ampla dessa questão, e que será muito improvável atingir a proteção de dados pessoais se a organização sequer consegue proteger os seus próprios dados corporativos. É preciso implantar uma política mais abrangente de segurança da informação e cibersegurança.
A segurança da informação visa proteger os valiosos recursos de informação da organização por meio da seleção e aplicação de salvaguardas apropriadas que ajudam a atingir o objetivo e a missão do negócio. Tipicamente, a violação da segurança da informação possibilita a destruição indesejada, perda, alteração, divulgação ou acesso indevido a informações protegidas.
Assim, para assegurar a proteção das informações no espaço cibernético, a cibersegurança adota um conjunto de práticas para proteger os sistemas de informação e as redes de comunicação de dados contra ações adversárias. Seu sucesso depende, em geral, do conjunto de ações adotadas para colocar estas salvaguardas em prática. E a recomendação é, sempre que possível, seguir as prescrições descritas nas normas dos órgãos de padronização.
Normas de segurança
Para orientar as empresas no estabelecimento, implantação e manutenção de um Sistema de Gestão de Segurança da Informação (SGSI), a International Organization for Standardization (ISO), em conjunto com o International Electrotechinical Comission (IEC), criou a família de normas ISO/IEC 27000. Quando a organização finaliza a implantação dos controles previstos nas normas dessa família, pode-se pleitear a certificação da ISO/IEC, que confere a acreditação do mercado quanto à adoção das melhores práticas de segurança da informação, cibersegurança e proteção da privacidade.
Toda organização precisa de uma política de proteção da informação. O início de um programa é determinado pela implementação de uma política. Esta política cria uma atitude da organização em relação à informação e anuncia internamente e externamente que ela é um ativo e propriedade da organização que deve ser protegido contra acesso, modificação, revelação e destruição não autorizados.
Mas, embora fundamental, a simples instituição de uma política não é suficiente. É necessário organizar os processos e a conduta dos colaboradores para assegurar a conformidade com a legislação e com as normas definidas pela organização, o compliance.
Considerando que o elo mais fraco da segurança são as pessoas, o compliance também é responsável pelo processo de transformação da mentalidade e da atuação dos colaboradores nesse novo contexto de segurança pretendido pela organização. É importante definir procedimentos e linhas de ação capazes de implantar a prática da proteção da informação. E é imprescindível a instauração de auditorias periódicas para validar a conformidade da organização com os padrões adotados.
Profissionais qualificados
Esse novo cenário de integração entre segurança da informação, cibersegurança, proteção da privacidade e compliance exige a formação de profissionais qualificados com conhecimento avançado sobre as leis, normas e padrões e boas práticas de segurança. A eles cabe reger as atividades de gestão de segurança da informação, gestão de riscos, gestão de tratamento de incidentes, gestão da continuidade do negócio e gestão da privacidade.
Parte dessa atividade implica em interagir com diversos setores da organização, como os de segurança física, segurança de TI, governança e jurídico. Por essa razão, é de fundamental importância entender a responsabilidade de cada um desses setores no contexto da segurança da informação para poder liderar e organizar políticas adequadas aos interesses da organização.
Dentre as competências desejadas para esse profissional, podemos destacar a capacidade de:
- Identificar os desafios de segurança da informação, cibersegurança e proteção da privacidade inerentes ao processo de transformação digital das organizações;
- Compreender a segurança de sistemas de maneira abrangente considerando aspectos essenciais como políticas de segurança, controle de acesso, autenticação, monitoramento, testes, documentação e recuperação;
- Atuar na proteção de dados pessoais, privacidade e conscientização de segurança no contexto organizacional e na vida pessoal;
- Atuar no planejamento estratégico, gestão de riscos, governança e políticas das corporações em consonância com a ética, leis, normas e padrões e boas práticas de segurança;
- Atuar no planejamento do tratamento de incidentes e na gestão da continuidade do negócio em consonância com normas e padrões e boas práticas de segurança;
- Compreender os impactos de cibersegurança na sociedade global, considerando ameaças, leis, ética e políticas na proteção de segurança corporativa, segredos de estado e da privacidade dos indivíduos.
A pesquisa IT Trends Snapshot 2023 da Logicalis já demonstra um cenário atual crítico de escassez de profissionais de TI, no qual "94% dos executivos sinalizaram que enfrentam desafios na busca por profissionais qualificados e 83% acreditam que este problema será persistente no curto/médio prazo".
E um estudo sobre a disponibilidade de força de trabalho em cibersegurança, realizado pelo International Information System Security Certification Consortium (ISC2), em 2023, observou uma carência de aproximadamente 232 mil profissionais na área de cibersegurança no Brasil. Cenário que se agrava ainda mais agora com a necessidade de profissionais qualificados para atuar com a gestão e o compliance de segurança da informação, cibersegurança e proteção de privacidade.
Cabe às instituições de ensino reagir, formar e capacitar esses profissionais que são peças-chave na transformação digital, na proteção da informação e cibersegurança, na proteção da privacidade e na certificação da conformidade dos processos que movem as organizações. Se a resposta a essa carência de profissionais não ocorrer nos próximos anos no Brasil, corremos o risco de perder postos de trabalho para a globalização de mão de obra. E isso será uma grande perda para nossa sociedade.
Anderson Oliveira da Silva não presta consultoria, trabalha, possui ações ou recebe financiamento de qualquer empresa ou organização que poderia se beneficiar com a publicação deste artigo e não revelou nenhum vínculo relevante além de seu cargo acadêmico.