Chris Wysopal, cofundador e CTO da Veracode fala sobre LGPD
10 de setembro de 2019“Uma boa maneira de pensar na segurança dos dados é tratá-los como tóxicos”, afirma Chris Wysopal, co-fundador da líder americana em serviços automatizados de proteção para aplicativos corporativos na nuvem.
Pela primeira vez no Brasil, Chris Wysopal, cofundador e CTO da Veracode, líder americana em serviços automatizados de proteção para aplicativos corporativos na nuvem, abordará a importância da transparência e segurança no trato com os dados dos usuários em palestra no Mind The Sec São Paulo 2019, maior conferência corporativa brasileira sobre segurança da informação e cibernética do país, que acontece nos dias 17 e 18 de setembro, no Grand Hyatt SP.
O objetivo do assunto ser um dos principais da programação do evento é ajudar empresas brasileiras a evitarem situações semelhantes a do Google, na Europa, que foi multada em € 50 milhões (US$ 56,8 milhões) por não informar claramente a seus usuários sobre sua política interna de uso de dados pessoais.
Antes de se apresentar no evento, Chris compartilhou sua visão sobre a Lei Geral de Proteção de Dados, além de dicas e caminhos sobre o que as empresas podem e devem fazer para serem o mais transparente possível com seu público e evitar problemas com a lei.
No Brasil a LGPD foi sancionada em agosto de 2018. Com validade a partir de agosto de 2020, ela garante aplicar multas que podem chegar a 2% do faturamento global da empresa: “Para evitar esse tipo de situação, as empresas precisam começar a se mexer e se adaptar a partir de agora”, afirma Chris.
Confira a entrevista completa abaixo.
1 | Com as regulamentações sendo implementadas no mundo, as empresas ainda poderão obter dados de usuários para melhorar e criar serviços em escala global?
Chris: Com certeza. Se os dados forem utilizados para a melhoria e criação de serviços, eles podem (e devem) ser coletados. No entanto, além de seguir as regras de consentimento do usuário, as empresas devem investir em segurança para proteger os dados em sua posse.
O segredo para isso é aliar uma boa criptografia com o gerenciamento de acesso apropriado para proteger e excluir os dados quando não forem mais necessários. O que sempre digo para empresas que têm dúvidas em como tratar os dados coletados é tratá-los como tóxicos. Desta forma, você tem em mente que deve coletar apenas o que precisa, e excluí-lo quando não for mais necessário.
2 | Qual a importância da segurança cibernética em empresas que precisam armazenar dados do usuário?
Chris: É preciso ter segurança cibernética para proteger os dados, já que protegê-los apenas com criptografia é ineficaz, visto que os aplicativos e as pessoas precisam entender a versão em texto não criptografado das informações. Por isso que, além dos dados, é preciso também proteger os aplicativos, web e dispositivos móveis utilizados nas operações.
Além disso, é necessário garantir a segurança da cadeia de suprimentos na qual examina os fornecedores de software e serviços para garantir que eles estejam protegendo os dados de seus clientes tão bem quanto você.
3 | Você acredita que a LGPD e regulamentos similares podem mudar os negócios das empresas?
Chris: Os regulamentos, no geral, têm o potencial de trazer uma vantagem competitiva se o negócio os gerencia bem. Se o seu concorrente violar a LGPD ou outras regulamentações, por exemplo, os consumidores pensarão duas vezes antes de continuar a fazer negócios com essas empresas que violaram sua confiança. As organizações devem aceitar o novo mundo regulamentado e construir essa proteção de maneira eficiente em seus processos.
4 | Quais as principais medidas que as empresas devem adotar para estar em conformidade com as leis de privacidade?
Chris: É fundamental entender quais dados do usuário estão sendo coletados, o motivo dessa coleta e sempre deixar isso claro para os clientes.
5 | Qual o primeiro passo que uma empresa que já coleta dados deve seguir para não perder tudo o que possui e ainda cumprir a lei?
Chris: Registrar todos os dados em sua posse, saber como eles estão sendo protegidos e garantir que estejam criptografados. Caso isso não aconteça, é necessário iniciar um processo de segurança desde já, além de tomar as precauções necessárias de segurança ao enviá-los a terceiros.
6 | Como as empresas podem conquistar a confiança do consumidor no processamento de seus dados, já que este é um assunto com pouca credibilidade no mercado brasileiro?
Chris: É importante a participação de terceiros que possam validar o que as empresas estão fazendo com seus dados. Nos Estados Unidos, por exemplo, temos o padrão SOC 2 para provedores de serviços que abrange a maneira como as empresas protegem os dados. O resultado das auditorias feitas por empresas especializadas no assunto devem ser disponibilizados aos consumidores. No mundo ideal, os regulamentos já deveriam exigir isso das empresas.
7 | Como garantir a transparência dos dados coletados e ainda mantê-los seguros?
Chris: A criptografia com o gerenciamento de acesso apropriado possibilita armazenar os dados com segurança. Ao catalogar de onde os dados estão vindo e como estão sendo usados, é possível restringir o acesso apenas às pessoas e processos que precisam dele. Esta também é uma oportunidade para não coletar dados que não serão utilizados e assim evitar riscos desnecessários.
8 | O que realmente mudou na Europa desde que a GDPR entrou em vigor?
Chris: Vimos algumas ações de fiscalização, como a British Airways, em que as multas por violações de dados de clientes ultrapassam os U$ 200 milhões. Essas ações de fiscalização estão realmente fazendo o conselho de administração das empresas acordar e proteger os dados do cliente de forma adequada.
Sobre o Mind The Sec São Paulo 2019
“Troca de conhecimento entre a alta gestão será determinante para uma resposta efetiva da economia brasileira frente ao cibercrime”
O Mind The Sec São Paulo 2019 é a maior e mais qualificada conferência corporativa brasileira sobre Segurança da Informação e Segurança Cibernética.
Promovido pela Flipside, empresa líder no continente em conscientização corporativa em segurança da informação, o evento – que este ano realizará sua 5ª edição – reúne os mais consagrados palestrantes e executivos nacionais e internacionais do tema para debates em um formato que privilegia o relacionamento de alto nível e a troca de conhecimento entre especialistas, empresas e fornecedores de soluções.
Serviços
Mind The Sec São Paulo 2019
Data e horário: 17 e 18 de Setembro, das 8h às 18h
Local: Grand Hyatt (Avenida das Nações Unidas, 13.301 – Itaim Bibi)
Ingressos e programação!