Varejistas que armazenam cadastros de clientes, fornecedores com acesso a projetos industriais, unidades de saúde, escritórios de advocacia, além de organizações financeiras e de governo, são alguns dos setores sujeitos a diversas legislações e regulações sobre proteção de informação e privacidade de dados. Ao mesmo tempo, a adoção de SaaS (software como serviço) e outras modalidades de armazenamento em nuvem é uma tendência que se acentua. Além das vantagens de agilidade e custo, normalmente as ofertas de SaaS incluem facilidades de compartilhamento e colaboração, o que faz com que mais informações críticas circulem nessas plataformas, hospedadas em países com diferentes legislações de privacidade de dados.
Para entender como as corporações tratam a soberania de dados em suas contratações de SaaS, em junho deste ano a Intralinks, fornecedora líder de soluções para colaboração corporativa segura, encomendou um estudo à Forrester Consulting. Junto à filtragem de dados dos estudos Business Technographics Global Software Survey e Business Technographics Global Infrastructure Survey, ambos já realizados pela Forrester, foram entrevistados 150 executivos de alto escalão, responsáveis por assuntos jurídicos, conformidade e confidencialidade de dados, em grandes organizações nos EUA, China e Reino Unido.
Ficar mal com cliente é maior preocupação. Embora 35% dos entrevistados se digam preocupados com as legislações nacionais e regulações setoriais, há muita confusão sobre as regras e leis aplicáveis em cada situação. Curiosamente, entre os maiores temores mencionados está o desgaste da marca, destacado por 57%; a perda de confiança do cliente, 55%; seguidos de penalidades legais, 49%, e interrupção da operação, 39%.
Na amostragem, essa preocupação com a imagem no mercado é acentuada entre os chineses, que pensam a questão de conformidade da perspectiva do cliente, enquanto os americanos e ingleses olham mais pela perspectiva do negócio e da regulação, como avaliam os autores do relatório.
Falta de critérios na contratação de SaaS é outro ponto de risco. À medida que as áreas de negócios encontram suas soluções no mercado de SaaS, com relativa independência da área de TI, se constata, pela pesquisa, que se supõe que os dados estejam seguros. De fato, as grandes estruturas de nuvem têm recursos de disponibilidade e proteção de perímetro muitas vezes melhores do que nas instalações internas. Mas isso acaba fazendo com que os executivos não estudem o suficiente as leis sobre soberania de dados e a estratégia necessária para se adequar.
(Na prática, pode haver situações, por exemplo, em que o data center tenha as certificações máximas de segurança, mas que o dispositivo de armazenamento esteja em uma jurisdição com leis mais agressivas de quebra de sigilo, o que comprometeria o contrato supostamente feito em conformidade à legislação do país de origem dos dados.)
Há três abordagens básicas para soberania de dados: baseada na localização física; na localização lógica (onde o dado é controlado); ou em critérios legais (as regras da jurisdição onde os dados residem). Cada um desses métodos é preferido por 30% dos executivos de segurança, risco e conformidade. A falta de um conceito dominante de “melhores práticas”, conforme avaliam os analistas da Forrester, mostra que não há “bala de prata” para resolver a questão de soberania de dados. As organizações, portanto, tendem a combinar as diversas abordagens dentro de uma política que faça sentido aos riscos do negócio e às regras legais.
A opção por manter a custódia física dos dados é típica das maiores organizações da amostra, metade das quais com planos de investimentos em data center próprio. Embora essa abordagem, mais tradicional, tenha forte contrapartida em custos, o relatório lembra que disciplinas como DLP (prevenção a vazamento e perda) e classificação de dados, assim como sistemas de gerenciamento de chaves criptográficas, também exigem recursos das organizações.
Para as organizações que tratam a soberania de dados da perspectiva lógica, o conjunto de ferramentas de direitos de acesso, classificação, criptografia e gestão de chaves está no eixo das estratégias. A tokenização - que amarra o acesso e as transações a determinado contexto e mitiga o risco de uso indevido das chaves – é uma tecnologia de grande interesse entre esse grupo. A maioria planeja, a partir do avanço nessas disciplinas, refinar os SLAs (acordos de nível de serviço) com seus provedores, embora não descartem investimentos em data center próprio.
A abordagem de tratar a segurança do dado em si, independente de onde se hospede ou por onde circule, é bastante eficaz para resolver a questão da soberania, de forma abrangente. No entanto, os executivos que defendem essa estratégia reconhecem a necessidade de considerar os demais métodos. Por exemplo, na Alemanha a lei obriga que os dados de organizações de governo, seja em data centers próprios ou terceirizados, residam em território nacional. No Brasil, vários provedores, ainda que vendam serviços hospedados no exterior, fazem investimentos em data centers locais, para atender a setores ou atividades em que os clientes querem que os dados permaneçam no país.
Os executivos focados nas questões legais também têm grande interesse pelo conjunto de ferramentas de controle de acesso, DLP e criptografia, assim como procuram aperfeiçoar as modalidades de SLAs e contratos. Principalmente nos setores mais sujeitos a auditorias de conformidade, as organizações buscam essas tecnologias como formas de assegurar o cumprimento das políticas definidas na regulação (resoluções do Banco Central ou de agências reguladoras, por exemplo). No entanto, os executivos reconhecem ainda terem dificuldades com os métodos e tecnologias de controle de dados. O objetivo é ter um controle cada vez mais granular de cada informação, de forma que os acessos sejam controlados, e esse controle possa ser auditado, independente de onde ficam os dados.
Do ponto de vista do mercado, grandes incidentes de vazamento de informações, como da varejista Target e a Sony, provocaram prejuízo de centenas de milhões de dólares, além da exposição negativa. Da perspectiva de conformidade e soberania de dados, é importante lembrar que está em consulta pública o anteprojeto da Lei para a Proteção de Dados Pessoais. Um dos destaques da proposta é definir uma cadeia de responsabilidade solidária, do diretor ao operador, com sanções em caso de negligência com o sigilo de “dados sensíveis”. Outro artigo propõe que “a transferência internacional de dados pessoais somente é permitida para países que proporcionem nível de proteção de dados pessoais equiparável ao desta Lei”, o que tem sido criticado na consulta pública, pelos que defendem a proteção lógica como o método mais viável e eficaz.
No estudo da Intralinks, os analistas enfatizam que as certificações e contratos com fornecedores e provedores não exime os executivos da responsabilidade em relação à soberania de dados. Eles apontam que é mais efetivo se ter uma política de dados para orientar a contratação de SaaS, em vez de ter que trabalhar em conformidade depois que as contratações já foram consumadas pelas áreas de negócios.
A soberania de dados não é uma questão puramente tecnológica. Os executivos precisam conhecer os requisitos e as regras nos países ou jurisdições onde a organização opera, pensando nas necessidades legítimas de confidencialidade tanto do ponto de vista da companhia quanto de seus clientes. Curiosamente, muitas organizações não pretendem encarar maiores desafios de conformidade e 43% dos executivos informaram que já fecharam, ou planejam encerrar, suas operações em países com legislações excessivamente rigorosas ou incertas.
O estudo conclui que os desafios relacionados à soberania de dados dificilmente se resolvem em um único projeto. As organizações terão que combinar diversas tecnologias, métodos e abordagens.
Fonte: Decision Report
Nenhum comentário:
Postar um comentário