Email
  • behaviourbrasil@behaviourbrasil.com.br
WhatsApp
  • (11) 94324-1820
Agenda

O impacto da governança de dados na Segurança Cibernética

O impacto da governança de dados na Segurança Cibernética

O século XXI apresenta uma série de transformações no ambiente de negócios e na vida das pessoas em relação ao século XX. Mudança de hábitos de compra e consumo, relação entre as pessoas e até mesmo a relação entre as empresas e seus consumidores foram profundamente impactados pela tecnologia e novas demandas pessoais que se tornaram mandatárias para que a vida cotidiana pudesse ser viabilizada em um cenário de crescimento massivo da população mundial, concentração de pessoas nos grandes centros urbanos, dificuldades de locomoção e interação social, necessidade de agilidade e disponibilidade de comunicação e, como não dizer, promover a saúde física e mental em um ambiente em que a velocidade de interação se torna cada vez mais necessária.
Na década de 1980, as pessoas e as empresas se relacionavam de uma maneira muito diferente, sem a presença de computadores e internet. Os negócios necessitavam de uma presença física e interação direta para sua viabilização, ou seja, tudo era feito e realizado de maneira presencial.
O advento da internet e a inovação tecnológica promoveram uma indiscutível revolução na maneira pela qual as pessoas consomem produtos e serviços. A virtualização nas relações de consumo e na vida pessoal das pessoas trouxe muito mais flexibilidade, produtividade e facilidade… No entanto, tudo isso tem um preço que, por vezes, pode ser muito elevado.
A evolução tecnológica reduziu a distância entre aqueles que estão longe e, ironicamente, afastou as pessoas que estão fisicamente próximas, a ponto de observarmos pessoas de mesma família reunidas no mesmo ambiente sem nenhuma interação social, uma vez que se encontram ocupados com seus smartphones.
A transformação social promovida pela tecnologia seguramente facilitou a vida das pessoas ao mesmo tempo que elevou a exposição de informações e dados sensíveis, transformando informações relacionadas a hábitos de compra e consumo, dados pessoais, preferências religiosas e muitas outras informações de foro íntimo em oportunidade de negócios para muitas empresas. Não bastasse essa exposição maciça da vida das pessoas e também de empresas, ainda há o risco de ações criminosas no espaço cibernético.
As atividades criminosas que ocorriam no ambiente físico, ganharam modalidades virtuais com impactos bastante significativos, de forma que muitas vezes fizeram com que pessoas tirassem suas próprias vidas em função da exposição de sua intimidade.
Ora, se há uma transformação social percebida e impactada pela tecnologia e o compartilhamento de dados e informações na internet, seria natural também imaginar que ações de proteção social e individual pudessem acompanhar a mudança percebida na vida das pessoas. A proteção da propriedade intelectual na internet, dos dados pessoais e dados sensíveis de pessoas e empresas, que se tornaram objeto de desejo dos criminosos cibernéticos, necessitam de proteção efetiva e amparo jurídico para que a responsabilização daqueles que cometem crimes virtuais, que antes não eram devidamente tipificados no ordenamento jurídico tradicional, possam ser identificados e punidos. Porém, classificar ações no espaço cibernético como ações criminosas não é tarefa fácil. Muitos agentes causadores de transtornos para muitas pessoas não definem seus atos como ações criminosas e sequer fraudulentas. Muitos, aliás, alegam apenas exercer uma atividade profissional que depende da mineração e compartilhamento (de forma remunerada ou visando benefícios diversos) e, dessa forma, não estão causando prejuízo direto para as pessoas. Os dados, para esses agentes, são apenas ativos que possuem seu valor relativo, muitas vezes difícil de ser mensurado e, apesar de serem intangíveis, podem representar muito para o titular por revelar quem ele é, o que faz, sua renda, seu estado de saúde, crenças, hábitos, sexualidade, gênero, cultura, profissão, estrutura familiar, endereço de trabalho e moradia, gostos gastronômicos, fetiches… A vida virtual se tornou uma “cidade perigosa”, cheia de desafios e todo sortilégio de riscos!
Muitas leis foram contextualizadas e tiveram uma interpretação jurídica relacionada ao fato social para que sua abrangência pudesse gerar uma certa proteção para quem teve seus dados violados de alguma forma. Também foram criadas leis com o intuito de garantir que direitos fundamentais como a privacidade pudessem ser protegidos de atos criminosos e também de compartilhamento não autorizado e indiscriminado. No Brasil, existe uma legislação denominada “Marco Civil da Internet”, Lei 12.965/2014, que estabelece princípios, garantias, direitos e deveres para o uso da internet, bem como há uma lei específica para garantir o uso adequado dos dados pessoais, denominada de Lei Geral de Proteção de Dados Pessoais, Lei 13.709/18. Na Europa, a GDPR (General Data Protection Regulation) trouxe um alento para que a privacidade possa ser tratada com responsabilidade e respeito aos direitos dos indivíduos.
No artigo 5 da GDPR – “Principles relating to processing of personal data”, fica estabelecido que:
…“Os dados pessoais devem ser:
⦁ tratados de forma lícita, justa e transparente em relação ao titular dos dados («licitude, equidade e transparência»);
⦁ coletados para fins específicos, explícitos e legítimos e não processados ​​de maneira incompatível com esses fins; O tratamento posterior para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos não deve, nos termos do artigo 89º, nº 1, ser considerado incompatível com os fins iniciais («limitação da finalidade»);
⦁ adequados, relevantes e limitados ao necessário em relação às finalidades para as quais são processados ​​(«minimização de dados»);
⦁ precisos e, se necessário, atualizados; devem ser tomadas todas as medidas razoáveis ​​para garantir que os dados pessoais inexatos, tendo em conta as finalidades para as quais são tratados, sejam apagados ou retificados sem demora («exatidão»);
⦁ mantidos de uma forma que permita a identificação dos titulares dos dados por não mais do que o necessário para as finalidades para as quais os dados pessoais são processados; os dados pessoais podem ser armazenados por períodos mais longos, na medida em que os dados pessoais sejam processados ​​exclusivamente para fins de arquivamento de interesse público, fins de pesquisa científica ou histórica ou fins estatísticos, em conformidade com o artigo 89º, nº 1, sujeito à implementação das medidas técnicas e organizacionais adequadas medidas exigidas pelo presente regulamento para salvaguardar os direitos e liberdades do titular dos dados («limitação de armazenamento»);
⦁ processados ​​de maneira a garantir a segurança adequada dos dados pessoais, incluindo proteção contra processamento não autorizado ou ilegal e contra perda, destruição ou dano acidental, usando medidas técnicas ou organizacionais apropriadas (‘integridade e confidencialidade’).
O responsável pelo tratamento deve ser responsável e poder demonstrar o cumprimento do n.º 1 («responsabilização»).”
Não obstante a abrangência, aplicabilidade e pertinência de leis e regulamentos de cada país, é fundamental que se estabeleça uma cultura relacionada a conduta pessoal responsável em relação aos seus dados e aos dados de outrem, sejam eles pessoas físicas ou jurídicas, sejam dados pessoais ou profissionais e, por quê não, sejam eles sensíveis ou não. Para o matemático britânico Clive Humby: “Dados são o novo petróleo” e o The Economist, em recente publicação defendeu a premissa de que “O recurso mais valioso do mundo não é mais o petróleo, mas dados” (The world’s most valuable resource is no longer oil, but data).
Se os dados são ativos muito valiosos, pode-se supor que seria correto alegar que devem ter o direito de posse e uso devidamente protegidos e, por conseguinte, seus proprietários deveriam “guardá-los” com o mesmo critério que “guardam” outros ativos valiosos, como dinheiro ou bens, não é mesmo?
Na prática, entretanto, as pessoas negligenciam seus dados e não alinham seus comportamentos virtuais com as mesmas condutas de segurança que adotam para com outros ativos de valor. As pessoas costumam ter uma relação estranha em relação aos bens tangíveis, uma vez que nascem sem nada e vão embora também sem levar nada do que lutaram durante toda uma vida para acumular… O único ativo tangível que as pessoas levam para o túmulo é seu corpo físico, muitas vezes debilitado pelos anos de “batalhas” travadas para angariar aquilo que obrigatoriamente abandonarão em sua morte. Pessoas fazem seguros de seus carros e casas e, muitas vezes, não fazem um seguro de sua própria vida e tratam seus corpos de maneira negligente durante a vida, ou seja, seu comportamento acaba sendo seu próprio algoz. A pandemia aumentou o acesso e o tempo das pessoas nos ambientes virtuais e, seguramente, aumentou também a exposição de seus dados sensíveis.
Referenciar o comportamento dos indivíduos ao tentar identificar os impactos da governança de dados na segurança cibernética pode parecer um despropósito ou mesmo uma abordagem inapropriada, no entanto, a falta de governança por parte das pessoas, sobretudo em relação aos seus dados, acaba por expor de forma incontestável o direito fundamental das pessoas a ataques cibernéticos de diversas naturezas e formas, com impactos igualmente diversificados e significativos. A governança de dados é o fator de exposição de ativos aos crimes cibernéticos.
Já no ambiente empresarial, a governança de dados segundo Santos, (Uma proposta de Governança de Dados baseada em um método de desenvolvimento de arquitetura empresarial), surge como uma ação multidisciplinar que tem por objetivo tratar dados como um recurso ativo e tangível na organização. Isto inclui políticas, padronizações, processos e tecnologia, elementos essenciais na administração de dados.
Complementando a definição da autora, revestindo-me até de falsa pretensão, ouso afirmar que a boa-governança de dados causa um impacto direto na percepção de segurança cibernética. Não basta, portanto, executar a governança sem critérios mínimos que possam relacionar as ações de governança como práticas que reforcem a segurança cibernética de forma que se possa proteger pessoas e organizações. Boa governança de dados exige um olhar atento ao comportamento humano, seja no papel de usuário de aplicativos e softwares organizacionais, seja na interação social realizada em redes sociais pessoais e corporativas. Boa governança deve ser estruturada numa análise detida, pormenorizada e detalhada dos riscos pertinentes, na avaliação do fato e fenômeno social, na cultura e hábitos das pessoas e na disseminação de boas práticas (dentro e fora) das empresas. Guias, normas e frameworks devem ser amplamente difundidos, discutidos, interpretados e aplicados nas empresas e as pessoas devem ser desenvolvidas (tanto no aspecto profissional quanto no pessoal) para que adotem práticas que produziram resultados rastreáveis e mensuráveis e que permitem aumentar a segurança cibernética e proteger ativos de informação e dados. A governança de dados estruturada, oportuna, pertinente e alinhada com a realidade social e a devida temporalidade são aliados importantes para promover não só a segurança cibernética, mas também promover uma interação responsável e transparente entre o mundo físico e virtual.
A norma ISO/IEC 27032 – Tecnologia da Informação – Técnicas de Segurança – Diretrizes para Segurança Cibernética é um dos recursos disponíveis que podem auxiliar uma organização a implementar um conjunto de boas práticas capazes de aumentar a segurança cibernética. Seu uso, aliados com norma como a ISO/IEC 27001 – Tecnologia da Informação – Técnicas de Segurança – Sistema de Gestão de Segurança da Informação e a ISO/IEC 27701 -Técnicas de segurança — Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação — Requisitos e diretrizes, promovem uma série de práticas amplamente utilizadas e com resultados mensurados e reconhecidos globalmente para estruturar uma boa governança de dados em uma organização. Outras normas ISO podem servir de apoio para estruturar e aperfeiçoar a boa governança nas empresas.
Além disso, o desenvolvimento pessoal e profissional também é um aliado para a melhoria da governança de dados e da própria organização como um todo, ajudando a aumentar a segurança cibernética, cada vez mais impactante na vida das pessoas.

O PECB – Professional Evaluation and Certification Board, possui uma ampla gama de formações que permitem que um profissional possa adquirir e desenvolver competências relacionadas com Governança de Dados, Segurança da informação e Segurança Cibernética, entre outras. Uma das melhores maneiras de promover a melhoria na vida das pessoas e dos mercados é adquirir e disseminar conhecimento relevante sobre temas que são cruciais para as pessoas.

Acesse nosso site para ter acesso a nossa agenda de treinamentos.

Outros conteúdos

Assuntos Diversos

A 4º E 5º REVOLUÇÕES INDUSTRIAIS: É PRECISO GERENCIAR OS RISCOS!

Segundo o autor do livro “A Quarta Revolução Industrial”, Klaus Schwab, “Estamos a bordo de uma revolução tecnológica que transformará fundamentalmente a forma como vivemos, trabalhamos e nos relacionamos. Em sua escala, alcance e complexidade, a transformação será diferente de qualquer coisa que o ser humano tenha experimentado antes”.
Isso significa que a quarta revolução industrial é promovida pela neurotecnologia e pela engenharia genética, traduzindo em uma linguagem menos técnica, pela robótica.

Ler mais »
Acessar todos conteúdos
Desde 2012, em parceria com o PECB – Professional Evaluation And Certification Board preparando e formando implementadores e auditores nas mais diversas normas ISO.
Instagram Youtube Linkedin Facebook Twitter

Principais treinamentos

Navegue

Informações

  • (11) 94324-1820
  • behaviourbrasil@behaviourbrasil.com.br
  • CNPJ: 17.670.922/0001-09
  • Edifício Lex Office, R. do Bosque, 1621 - Sala 409 - Barra Funda, São Paulo - SP, 01136-001

Parceiro PECB acreditado desde 2010. Clique no selo para acessar a verificação.

Behaviour Brasil | Todos os direitos reservados