LGPD, Cibersecurity, SLA e SLM

Por Fernando Só Silva e Igor Pipolo

“Qualquer dado vaza e irá vazar, só não sabemos quando, como e em qual proporção.” –  Autor desconhecido

A transformação digital em curso no mundo todo é impressionante. A importância dos dados atingiu tamanha desenvoltura, inimaginável até bem pouco tempo atrás. Portanto, já não é tão provocante perguntarmos se há vida empresarial fora dos dados. Achamos que não!

A tecla do avanço rápido foi acionada há poucos anos, num caminho sem volta, permitindo-nos afirmar que: “quem não estiver bem posicionado neste caminho ficará para trás ou deixará de existir”. Tornamo-nos mais digitais, tanto no sentido profissional como em nossa vida pessoal. A tecnologia, com toda esta avalanche de dados tornou-se uma extensão de nosso cérebro.

Por outro lado, os efeitos colaterais já estão sendo sentidos, na mesma proporção deste desenvolvimento, com o aumento avassalador do cybercrime, despontando como umas das principais ameaças nesta nova era. Na mesma linha, a internet se apresenta como uma grande praça aberta para todos, sem fronteiras, fazendo parte deste movimento digital, coletando dados e fornecendo informações, para o bem ou para o mal. A LGPD veio para ficar, tentando mudar a regra que vigorava em relação a “não” proteção dos dados. Isto! Não proteger os dados pessoais ou dar pouca importância às vulnerabilidades, sempre foi a regra!

À medida que o mundo se digitaliza, trazendo sua visão calibrada, precisamos de mais proteções e de regulamentações adequadas. Um contrato com SLA (Service Level Agreement), faz parte disto e o SLM (Service Level Management) garantirá que aquilo que foi escrito estará sendo praticado (ou não). A LGPD, traz a fundamentação legal para o embasamento dos contratos e dirimir as dúvidas. É tida como disruptiva, no sentido da criação de oportunidades em vários setores, tais como consultorias, tecnologia de softwares e hardwares, escritórios de advocacias, engenharia de processos, etc.

SOBRE A LGPD

A Lei Geral de Proteções de Dados Pessoais – LGPD é uma lei sancionada recentemente e passando a vigorar a partir de 01 de setembro. Embora já válida, suas sanções e penalidades começarão a ser aplicadas a partir de 01 de agosto de 2021. No entanto, já existem as proteções para dados pessoais por meio do código de defesa do consumidor, do código civil e do marco civil da internet.

Pela LGPD fica definido que os dados são propriedades de seus titulares e cria uma série de deveres para quem os manipula e os trata. Define especificamente o que pode ser feito com estes dados e quais os limites que as empresas têm em relação ao tratamento destes. Suas determinações são válidas tanto para a iniciativa privada como para todos os órgãos governamentais.

A importância da conscientização, da sociedade e do mercado sobre esta lei é fundamental para a sua aplicação e aperfeiçoamento. É tida como um instrumento de proteção de direito fundamental, para organizar o mercado relativo ao fluxo de dados de uma forma positiva, justa e legítima. Busca o equilíbrio nas relações de consumidor e operadores de dados.

Todos devem estar próximos da LGPD, com os devidos cuidados com a privacidade, mas é fato fundamental que o fluxo de dados deve existir, pois aí está a transformação digital e seus avanços tecnológicos.

Questionamentos sobre a origem dos dados, do tratamento destes, das regras de armazenamento, regras de segurança, política de privacidade, prazos de respostas a outros deveres fazem parte da lei. Ela foi desenvolvida para proteger o direito do titular do dado, criou um processo de responsabilização daqueles que fazem o uso destes. Como já mencionado, os dados devem ser usados e é importante o uso para as atividades econômicas, mas com uma série de regras para que não haja a violação deste direito fundamental.

Em seus fundamentos, está explícito a necessidade de definir com que finalidade o dado será usado e o que foi acertado com o proprietário, dando assim, com este consentimento, legitimidade para a sua utilização. O que foi acertado deve ser seguido e não ser usada para outra finalidade. Também importante está a transparência, deixando claro como os dados estão sendo usados. A reboque vem programas de conformidades sobre o tratamento dos dados, programas de segurança para proteção destes dados, boas práticas de governança para mitigar os riscos de prejudicar o titular, jornada do compliance, mapeamento dos processos para determinação de como a empresa coleta os dados e seu enquadramento na lei, etc.

CIBERSECURITY

Foco no cibersecurity é o óbvio, deve ser o dia a dia de quem utiliza dados, tanto próprios como de terceiros. O empoderamento do cliente em relação a seus dados deve trazer uma outra transformação, agregada ao digital, o denominado olhar da privacidade no seu modelo de negócio, uma nova cultura que veio para ficar. Quanto menos dados, melhor: “Só tenha os dados necessários para a sua transformação econômica, aqueles que lhe foram confiados, com os controles adequados e a proteção exigida para a sua segurança”, apregoam os especialistas. Nesta linha, a adequação à LGPD, muito provavelmente, será natural.

Já se diz que a segurança cibernética não trata mais só de proteger segredos, arquivos e documentos ou mesmo de neutralizar no cyber os conflitos modernos, mas sim, envolver-se com o nosso modo de vida: “trata de proteger nossas democracias contra fraudes, via o sistema de votação eletrônica, proteger os sistemas de transporte, as infraestruturas críticas, os dispositivos médicos ou a manipulação de mercados globais, dentre tantas necessidades”.

Estão aí diariamente no noticiário, matérias sobre vazamentos de dados, sobre as requisições de pagamentos de resgates para a devolução dos dados sequestrados, enfim, segundo relatos bastantes confiáveis temos entre 40 mil a 50 mil ataques todos os dias, resultados da ação de uma realidade paralela criminosa. Desta mesma fonte, os valores dos resgates exigidos pelos sequestros de dados aumentaram (nos USA), do 1º para o 2º trimestre de 2020, em 60%.

Para ilustrar esta “verdadeira batalha de titãs” no cyber, recentemente, no primeiro turno das eleições para prefeitos e vereadores, presenciou-se dificuldades nas apurações dos votos, capitaneada pelo STE. Tal imbróglio trouxe muitas dúvidas, afetando um fator crítico de sucesso deste órgão, sua credibilidade, ou em outras palavras a nossa democracia. Questionou-se o fato do Tribunal ter contratado um serviço terceirizado para a sua infraestrutura computacional. Nada de errado, no nosso entendimento, deixando dúvidas, no entanto, se o contrato de SLA foi bem desenhado e o desempenho do sistema testado a exaustão, antes de ser utilizado. Trabalho desta relevância, que diz respeito a um serviço extremamente sensível, não pode falhar. Falhou! Determinadas atividades críticas podem ficar nas mãos de terceiros, mas deve-se saber o que cobrar, quando pedir e entender o tipo de segurança que está envolvida. Neste caso, será que o sistema foi estressado no seu limite, esperando milhões de pessoas acessando ao mesmo tempo para votar? Não fizeram o teste antes? Dificilmente saberemos.

Claro que a computação em nuvem, como parece ser o caso do TSE, apoiada nos gigantes da tecnologia do planeta, Google, Amazon, Microsoft e Oracle é fazer uso de tudo que é investido por eles em segurança e controle de acesso. Já resolve uma boa parte dos problemas, mas não tudo, fica a responsabilidade de tomar conta da aplicação (software), cujos aspectos são muito menores.

Agora, independente dessas responsabilidades menores, alerta-se que “muitas das invasões de redes começam com uma violação física, uso de engenharia social, arrombamento de uma fechadura ou invasão de uma instalação, podendo serem estas as maneiras mais rápidas e fáceis de um criminoso cibernético obter acesso privilegiado à uma rede. Uma vez dentro, ele pode roubar um laptop ou outro dispositivo, ou entrar em uma sala de servidores e simplesmente conectá-los. Basta uma pequena rachadura na armadura cibernética para permitir um ataque devastador”, como, muito provavelmente, neste caso do TSE.

O alerta é sobre o que cada cidadão, consumidor, proprietário de empresa ou funcionário governamental tem como responsabilidade: garantir que os protocolos corretos estejam sempre em vigor.

Veja alguns pontos importantes na hora de proteger seus ativos no cyber:

 Amplitude: Proteja todos os usuários, dispositivos e tráfego de dados de forma consistente e com a mesma importância;

 Transparência: Dê aos usuários acesso apenas ao que eles precisam e no momento de suas necessidades;

• Visão Sistêmica: Os líderes são os catalisadores das mudanças, com atuação ágil teremos um ambiente mais seguro;

• Simplifique: Automatize onde fizer sentido;

• Resiliência: Tenha planos de gestão de crises e continuidade dos negócios atualizados.

Também como destaque, voltamos ao SLA (Service Level Agreement) e ao SLM (Service Level Management), que devem fazer parte ativa na transformação digital, deixando claro o que foi acordado (SLA) e garantindo que aquilo que foi escrito estará sendo praticado (ou não), por meio dos indicadores de desempenho (SLM). Nós da Núcleo Consultoria e da Performancelab Sistemas estamos prontos para fazer parte desta jornada digital, em direção a um mundo calibrado com o SLA e o SLM como protagonistas. Faça melhor, faça mais com menos!!!

Fernando Só Silva – CEO da Performancelab Sistemas e Diretor do Departamento de Defesa e Segurança da FIESP.

Igor Pipolo – CEO da Núcleo Consultoria e Diretor do Departamento de Defesa e Segurança da FIESP.