É certo que os mecanismos regulatórios não nascem do nada e, na verdade, refletem o amadurecimento das demandas das organizações e sociedade nos diversos campos.
Jaime Munhoz (*)
No meio empresarial e governamental é recorrente o debate sobre a proteção de dados de seus clientes e cidadãos e muitas dúvidas surgem, impulsionando a criação de mecanismos regulatórios para orientar a atuação em diversos setores, entre eles: SOX (Sarbanes Oxley), HIPAA Compliance, ISO 27001, PCI, Public Services Network, Export Control Compliance, Data Protection Act (DPA). No Brasil, recentemente veio o Marco Civil da Internet, que deu um passo importante neste sentido e que regulamentou o uso da Internet e da computação em nuvem no território brasileiro e definiu direitos e deveres dos cidadãos e empresas com base nos princípios da Neutralidade, Privacidade e Registro dos Acessos.
É certo que os mecanismos regulatórios não nascem do nada e, na verdade, refletem o amadurecimento das demandas das organizações e sociedade nos diversos campos.
Assim, os padrões regulatórios acompanham uma demanda cada vez maior da proteção da privacidade e da guarda adequada das informações pessoais em poder das organizações em seus sistemas. Um exemplo é o Regulamento Europeu de Proteção aos Dados Pessoais (GDPR – General Data Protection Regulation), que entrará em vigor ao final de maio de 2018 e que atingirá toda empresa ou organização que processa, controla, hospeda ou compartilha dados pessoais dos cidadãos da União Europeia. As empresas instaladas no Brasil que estejam de posse de dados de cidadão europeus também devem estar atentas à nova regra.
Assim como o Marco Civil da Internet, o GDPR também impulsiona a necessidade de se saber como atender aos marcos regulatórios. Não basta ter conhecimento da nova regra e também não basta apenas armazenar os dados em um servidor qualquer. É necessário saber o que guardar, como guardar e até quando. As empresas terão que adotar políticas de proteção destas informações e ter um projeto de tratamento e manuseio adequado dos dados. Por exemplo, a definição do nível de acesso que outras pessoas poderão ter a eles dentro e fora do ambiente corporativo. Para isso, a classificação de dados (Data Classification) entra aqui como o instrumental apropriado.
A classificação de dados envolve a combinação entre processos, políticas e tecnologias de segurança que provê a informação contextual para políticas de criptografia, DLP (prevenção e proteção contra a perda de dados), governança de dados, funções de archiving. Ela possibilita combinar também camadas locais da rede corporativa com os padrões regulatórios, além das demais políticas de transparência da informação pública, de proteção e privacidade dos dados do usuário. Como se vê, apenas usar a rede corporativa – on premise ou em nuvem – como repositório de dados em pastas e diretórios não consegue levar em conta uma série de processos necessários para a proteção dos dados dos clientes.
Desta forma, a cada novo regulamento, um novo desafio é posto para os responsáveis de Segurança da Informação, que precisam criar as condições para garantir a conformidade em suas empresas. À medida que as organizações se preparam para a introdução a cada nova regra, iniciar a classificação dos dados como um primeiro passo permitirá que a estratégia de proteção e as soluções implementadas sejam construídas em torno dos tipos de dados que você possui e dos níveis de segurança que eles exigem.
(*) Diretor para América Latina da Boldon James.
