Insegurança jurídica sobre soberania de dados pode afastar empresas do Brasil, afirma estudo

0

Entre abrir mão do modelo de TI sustentado em cloud computing e SaaS (software como serviço) ou correr riscos legais e institucionais por não estarem em conformidade com as normas em cada mercado, muitos executivos acabam não optando por nenhuma das duas alternativas, conforme revela estudo encomendado à Forrester Consulting pela Intralinks, fornecedora de soluções para colaboração corporativa.

A consultoria ouviu 150 executivos de alto escalão, responsáveis por assuntos jurídicos, conformidade e confidencialidade de dados em grandes corporações dos Estados Unidos, Reino Unido e China, sendo que 43% deles informaram que já fecharam, ou planejam encerrar, suas operações em países com legislações com exigências em excesso ou incertezas no ambiente legal e regulatório.

Varejistas que armazenam cadastros de clientes, fornecedores com acesso a projetos industriais, unidades de saúde, escritórios de advocacia, além de organizações financeiras e de governo, são alguns dos setores sujeitos a diversas legislações e regulações sobre proteção de informação e privacidade de dados. Ao mesmo tempo, a adoção de SaaS (software como serviço) e outras modalidades de armazenamento em nuvem é uma tendência que se acentua. Além das vantagens de agilidade e custo, normalmente as ofertas de SaaS incluem facilidades de compartilhamento e colaboração, o que faz com que mais informações críticas circulem nessas plataformas, hospedadas em países com diferentes legislações de privacidade de dados.

"O SaaS é uma realidade para as corporações, que não querem investir sem definições claras sobre as regras de soberania de dados", adverte Cláudio Yamashita, diretor-geral da Intralinks no Brasil. Atualmente, há propostas no Congresso Nacional brasileiro que alteraram princípios do Marco Civil da Internet, além de projetos que implicariam em regras que engessariam tanto os novos modelos tecnológicos quanto novos modelos de negócios.

O executivo lembra que muitas companhias já não prescindem da economia de escala e das funcionalidades de serviços em nuvem, que já fazem parte da infraestrutura corporativa. "É preciso cuidado para que regras muito restritivas, sem considerar a dinâmica dos contextos, inviabilizem novos modelos de negócios, ou abortem ideias ainda por surgir", recomenda.

Segundo Yamashita, propostas legislativas sem a devida avaliação podem ainda comprometer o planejamento de governança de dados das organizações no Brasil. Na prática, pode haver situações, por exemplo, em que o data center tenha as certificações máximas de segurança, mas que o dispositivo de armazenamento esteja em uma jurisdição com leis mais agressivas de quebra de sigilo, o que comprometeria o contrato supostamente feito em conformidade à legislação do país de origem dos dados. No entanto, propostas como o Projeto de Lei 1.589/2015, que tramita na Câmara dos Deputados, vão exatamente nesse sentido, de afrouxar os mecanismos de proteção de sigilo.

Legislações nacionais

O estudo mostra ainda que, embora 35% dos entrevistados do estudo internacional se digam preocupados com as legislações nacionais e regulações setoriais, há muita confusão sobre as regras e leis aplicáveis em cada situação. Curiosamente, entre os maiores temores mencionados está o desgaste da marca, destacado por 57%; a perda de confiança do cliente (55%); seguidos de penalidades legais (49%) e interrupção da operação (39%).

Na amostragem, essa preocupação com a imagem no mercado é acentuada entre os chineses, que pensam a questão de conformidade sob a perspectiva do cliente, enquanto os americanos e ingleses olham mais pelo prisma do negócio e da regulação, como avaliam os autores do relatório.

A falta de critérios na contratação de SaaS é outro ponto de risco. À medida que as áreas de negócios encontram suas soluções no mercado de SaaS, com relativa independência da área de TI, se constata, pela pesquisa, que se supõe que os dados estejam seguros. De fato, as grandes estruturas de nuvem têm recursos de disponibilidade e proteção de perímetro muitas vezes melhores do que nas instalações internas. Mas isso acaba fazendo com que os executivos não estudem o suficiente as leis sobre soberania de dados e a estratégia necessária para se adequar.

Marcos Assi, especialista em compliance, gestão de riscos, segurança da informação e sócio-diretor da Massi Consultoria e Treinamento, explica que "gestores e administradores têm medo de modelos como o SaaS e cloud, por desconhecerem os processos". "Em certos casos há até ausência de suporte de conformidade, pois muitos profissionais de conformidade desconhecem TI. De acordo com o IIA – International Internal Audit, funções de conformidade, segurança da informação, gestão de riscos e controles internos são a segunda linha de defesa do negócio. Mas se estas áreas desconhecem o processo, são incapazes de suportar o negócio."

"Não basta ter suporte regulatório, as empresas devem entender os processos de negócios e os produtos que implementam, pois a ignorância em TI causa muitos danos. Afinal, a TI é parte do negócio e quando não se alinha custos, processos e segurança, dificilmente as empresas agregam valor ao negócio" conclui Assi.

Soberania de dados

Há três abordagens básicas para soberania de dados: baseada na localização física, na localização lógica (onde o dado é controlado), ou em critérios legais (as regras da jurisdição onde os dados residem). Cada um desses métodos é preferido por 30% dos executivos de segurança, risco e conformidade. A inexistência de um conceito dominante de melhores práticas, conforme avaliam os analistas da Forrester, mostra que não há "bala de prata" para resolver a questão da soberania de dados. As organizações, portanto, tendem a combinar as diversas abordagens dentro de uma política que faça sentido aos riscos do negócio e às regras legais.

A opção por manter a custódia física dos dados é típica das maiores organizações da amostra, metade das quais com planos de investimentos em data center próprio. Embora essa abordagem, mais tradicional, tenha forte contrapartida em custos, o relatório lembra que disciplinas como DLP (prevenção a vazamento e perda) e classificação de dados, assim como sistemas de gerenciamento de chaves criptográficas, também exigem recursos das organizações.

Para as organizações que tratam a soberania de dados da perspectiva lógica, o ferramental de direitos de acesso, classificação, criptografia e gestão de chaves está no eixo das estratégias. A tokenização — que amarra o acesso e as transações a determinado contexto e mitiga o risco de uso indevido das chaves — é uma tecnologia de grande interesse entre esse grupo. A maioria planeja, a partir do avanço nessas disciplinas, refinar os SLAs (acordos de nível de serviço) com seus provedores, embora não descartem investimentos em data center próprio.

A abordagem de tratar a segurança do dado em si, independente de onde se hospede ou por onde circula, é bastante eficaz para resolver a questão da soberania, de forma abrangente. No entanto, os executivos que defendem essa estratégia reconhecem a necessidade de considerar os demais métodos.

Os executivos focados nas questões legais também têm grande interesse pelo ferramental de controle de acesso, DLP e criptografia, assim como procuram aperfeiçoar as modalidades de SLAs e contratos.

Principalmente nos setores mais sujeitos a auditorias de conformidade, as organizações buscam essas tecnologias como formas de assegurar o cumprimento das políticas definidas na regulação (resoluções do Banco Central ou de agências reguladoras, por exemplo). No entanto, os executivos reconhecem ainda terem dificuldades com os métodos e tecnologias de controle de dados. O objetivo é ter um controle cada vez mais granular de cada informação, de forma que os acessos sejam controlados, e esse controle possa ser auditado, independente de onde ficam os dados.

Os analistas enfatizam no estudo que as certificações e contratos com fornecedores e provedores não eximem os executivos da responsabilidade em relação à soberania de dados. Eles apontam que é mais efetivo se ter uma política de dados para orientar a contratação de SaaS, em vez de ter que trabalhar em conformidade depois que as contratações já foram consumadas pelas áreas de negócios.

A soberania de dados não é uma questão puramente tecnológica. Os executivos precisam conhecer os requisitos e as regras nos países ou jurisdições onde a organização opera, pensando nas necessidades legítimas de confidencialidade tanto do ponto de vista da companhia quanto de seus clientes.

O estudo conclui que os desafios relacionados à soberania de dados dificilmente se resolvem em um único projeto. As organizações terão que combinar diversas tecnologias, métodos e abordagens.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.