A soberania de dados não é uma questão puramente tecnológica. Executivos e líderes de TI precisam conhecer os requisitos e as regras nos países ou jurisdições onde a organização opera, pensando nas necessidades legítimas de confidencialidade tanto do ponto de vista da companhia quanto de seus clientes.
Este cenário ficou bem claro nos resultados de um estudo da Forrester Consulting, encomendado pela Intralinks, que ouviu 150 executivos de alto escalão, responsáveis por assuntos jurídicos, conformidade e confidencialidade de dados, em grandes organizações nos EUA, China e Reino Unido.
Curiosamente, muitas organizações não pretendem encarar maiores desafios de conformidade e 43% dos executivos informaram que já fecharam, ou planejam encerrar, suas operações em países com legislações excessivamente rigorosas ou incertas.
Ficar mal com cliente é maior preocupação
Varejistas que armazenam cadastros de clientes, fornecedores com acesso a projetos industriais, unidades de saúde, escritórios de advocacia, além de organizações financeiras e de governo, são alguns dos setores sujeitos a diversas legislações e regulações sobre proteção de informação e privacidade de dados.
Embora 35% dos entrevistados se digam preocupados com as legislações nacionais e regulações setoriais, há muita confusão sobre as regras e leis aplicáveis em cada situação. Curiosamente, entre os maiores temores mencionados está o desgaste da marca, destacado por 57%; a perda de confiança do cliente, 55%; seguidos de penalidades legais, 49%, e interrupção da operação, 39%.
Do ponto de vista do mercado, grandes incidentes de vazamento de informações, como da varejista Target e a Sony, provocaram prejuízo de centenas de milhões de dólares, além da exposição negativa.
Na amostragem, essa preocupação com a imagem no mercado é acentuada entre os chineses, que pensam a questão de conformidade da perspectiva do cliente, enquanto os americanos e ingleses olham mais pela perspectiva do negócio e da regulação, como avaliam os autores do relatório.
A falta de critérios na contratação de SaaS é outro ponto de risco
A adoção de SaaS (software como serviço) e de outras modalidades de armazenamento em nuvem é uma tendência que se acentua, aumentando os riscos. Além das vantagens de agilidade e custo, normalmente as ofertas de SaaS incluem facilidades de compartilhamento e colaboração, o que faz com que mais informações críticas circulem nessas plataformas, hospedadas em países com diferentes legislações de privacidade de dados.
Além disso, de acordo com a pesquisa, áreas de negócios, que cada vez mais contratam soluções no mercado de SaaS, com relativa independência da área de TI, costumam supor que seus dados estejam seguros. De fato, as grandes estruturas de nuvem têm recursos de disponibilidade e proteção de perímetro muitas vezes melhores do que nas instalações internas. Mas isso acaba fazendo com que os executivos não estudem o suficiente as leis sobre soberania de dados e a estratégia necessária para se adequar.
Na prática, pode haver situações, por exemplo, em que o data center tenha as certificações máximas de segurança, mas que o dispositivo de armazenamento esteja em uma jurisdição com leis mais agressivas de quebra de sigilo, o que comprometeria o contrato supostamente feito em conformidade à legislação do país de origem dos dados.
Abordagens para proteção variam muito
Segundo o estudo, há três abordagens básicas para soberania de dados: baseada na localização física; na localização lógica (onde o dado é controlado); ou em critérios legais (as regras da jurisdição onde os dados residem). Cada um desses métodos é preferido por 30% dos executivos de segurança, risco e conformidade.
A falta de um conceito dominante de “melhores práticas”, conforme avaliam os analistas da Forrester, mostra que não há “bala de prata” para resolver a questão de soberania de dados. As organizações, portanto, tendem a combinar as diversas abordagens dentro de uma política que faça sentido aos riscos do negócio e às regras legais.
A opção por manter a custódia física dos dados é típica das maiores organizações da amostra, metade das quais com planos de investimentos em data center próprio. Embora essa abordagem, mais tradicional, tenha forte contrapartida em custos, o relatório lembra que disciplinas como DLP (prevenção a vazamento e perda) e classificação de dados, assim como sistemas de gerenciamento de chaves criptográficas, também exigem recursos das organizações.
Para as organizações que tratam a soberania de dados da perspectiva lógica, o conjunto de ferramentas de direitos de acesso, classificação, criptografia e gestão de chaves está no eixo das estratégias. A tokenização - que amarra o acesso e as transações a determinado contexto e mitiga o risco de uso indevido das chaves – é uma tecnologia de grande interesse entre esse grupo. A maioria planeja, a partir do avanço nessas disciplinas, refinar os SLAs (acordos de nível de serviço) com seus provedores, embora não descartem investimentos em data center próprio.
A abordagem de tratar a segurança do dado em si, independente de onde se hospede ou por onde circule, é bastante eficaz para resolver a questão da soberania, de forma abrangente. No entanto, os executivos que defendem essa estratégia reconhecem a necessidade de considerar os demais métodos. Por exemplo, na Alemanha a lei obriga que os dados de organizações de governo, seja em data centers próprios ou terceirizados, residam em território nacional.
Os executivos focados nas questões legais também têm grande interesse pelo conjunto de ferramentas de controle de acesso, DLP e criptografia, assim como procuram aperfeiçoar as modalidades de SLAs e contratos. Principalmente nos setores mais sujeitos a auditorias de conformidade, as organizações buscam essas tecnologias como formas de assegurar o cumprimento das políticas definidas na regulação (resoluções do Banco Central ou de agências reguladoras, por exemplo). No entanto, os executivos reconhecem ainda terem dificuldades com os métodos e tecnologias de controle de dados. O objetivo é ter um controle cada vez mais granular de cada informação, de forma que os acessos sejam controlados, e esse controle possa ser auditado, independente de onde ficam os dados.
E no Brasil?
No Brasil, vários provedores, ainda que vendam serviços hospedados no exterior, fazem investimentos em data centers locais, para atender a setores ou atividades em que os clientes querem que os dados permaneçam no país.
Da perspectiva de conformidade e soberania de dados, é importante lembrar que está em consulta pública o anteprojeto da Lei para a Proteção de Dados Pessoais. Um dos destaques da proposta é definir uma cadeia de responsabilidade solidária, do diretor ao operador, com sanções em caso de negligência com o sigilo de “dados sensíveis”. Outro artigo propõe que “a transferência internacional de dados pessoais somente é permitida para países que proporcionem nível de proteção de dados pessoais equiparável ao desta Lei”, o que tem sido criticado na consulta pública, pelos que defendem a proteção lógica como o método mais viável e eficaz.
No estudo da Intralinks, os analistas enfatizam que as certificações e contratos com fornecedores e provedores não exime os executivos da responsabilidade em relação à soberania de dados. Eles apontam que é mais efetivo se ter uma política de dados para orientar a contratação de SaaS, em vez de ter que trabalhar em conformidade depois que as contratações já foram consumadas pelas áreas de negócios.
Fonte: CIO
Nenhum comentário:
Postar um comentário