Os CISOs (Chief Information Security Officers) têm desafios que vão além da implementação de melhores práticas de segurança, como as recomendadas por frameworks como NIST, CIS-Controls ou ISO 27000. Com o avanço de serviços digitais como Cloud (IaaS, SaaS e PaaS), as fronteiras da inovação não seguem mais os limites físicos dos mapas cartográficos de nossos países. No mundo digital, o foco está na flexibilidade, velocidade e inovação. Claro, independentemente de onde os dados ou capacidades computacionais sejam processados, o objetivo final é criar avanços que melhorem a vida humana e ajudem a sociedade a enfrentar problemas que antes pareciam impossíveis de serem resolvidos.
Contudo, a inovação traz consigo desafios, muitos deles fora do âmbito técnico. A exemplo, no campo regulatório legisladores buscam equilibrar competitividade, facilidade de transferência de dados e inovação entre provedores de nuvem. É nesse cenário que surge a discussão sobre soberania de dados – o princípio de que os dados estão sujeitos às leis e regulações do país ou região onde foram gerados. Essa ideia confere a um governo ou jurisdição o direito de governar e controlar os dados criados em seu território.
Por que isso é relevante?
Para os CISOs, a soberania de dados representa a necessidade de atenção redobrada à conformidade regulatória nos mercados onde suas organizações atuam. Essa responsabilidade não se limita a questões técnicas; envolve também aspectos jurídicos relacionados ao uso de dados por entidades governamentais ou privadas.
No Brasil, esse debate não é novo. A Lei Geral de Proteção de Dados (LGPD), que busca a proteção e soberania dos dados no País, e a Resolução Nº 19 da ANPD e a Instrução Normativa Nº 5 do GSI/PR, que abordam o uso da nuvem no governo federal, são exemplos claros dessa preocupação. Além disso, novas regulações, como o projeto de lei sobre inteligência artificial, continuam ampliando esse cenário. Reguladores como o BACEN (no setor financeiro) e a ANATEL (no setor de comunicações) possuem autoridade de auditoria para garantir a conformidade com normas locais. Paralelamente, devido à economia global, instituições brasileiras também devem atender a regulamentações internacionais, como GDPR (Europa), SWIFT (Societe for WorldWide Interbank Financial Communication) e DORA (Digital Operational Resilience Act) – para os bancos.
Essa complexidade exige que os CISOs formem equipes especializadas para responder a auditorias regulatórias, mantendo uma base de respostas revisadas e aprovadas por seus departamentos jurídicos, reduzindo custos e aumentando a eficiência no processo.
Tendências internacionais e impacto no Brasil
Tradicionalmente, o Brasil adota normas europeias como referência para sua legislação, e a LGPD é um exemplo disso. Por isso, acompanhar tendências globais é essencial. Na França, por exemplo, a Law SREN (Segurança, Regulação e Espaço Digital) busca aprimorar a segurança online, combater desinformação e regulamentar serviços digitais, incluindo a nuvem. Essa lei também aborda a interoperabilidade e a soberania de dados, o que pode influenciar o mercado global de cloud.
Destaques da Law SREN:
- Créditos de Nuvem: Provedores devem oferecer créditos para clientes, mas sem restrições exclusivas, incentivando a competitividade.
- Taxas de Transferência de Dados: A cobrança dessas taxas é proibida, visando facilitar a movimentação de dados.
- Interoperabilidade: Alinhada ao EU Data Act, exige compatibilidade entre serviços concorrentes.
- Segurança de Dados Sensíveis: Provedores devem evitar acessos não autorizados a dados classificados, como informações de segurança nacional ou propriedade intelectual.
O papel dos CISOs
Para navegar nesse cenário, os CISOs precisam trabalhar em conjunto com os departamentos jurídico e de negócios para compreender como essas regulamentações podem impactar suas estratégias tecnológicas. A criação de uma força-tarefa para documentar práticas de segurança e alinhar capacidades regulatórias é essencial.
Embora a proteção da infraestrutura em nuvem seja responsabilidade dos provedores, a segurança do acesso aos dados e a escolha de onde eles são armazenados são responsabilidades do cliente. Essa abordagem segue o modelo de responsabilidade compartilhada, que varia conforme o tipo de serviço (IaaS, SaaS ou PaaS).
Em suma, a soberania de dados é um tema crucial para CISOs, exigindo uma abordagem estratégica que combine conformidade regulatória, gestão de riscos e inovação.
Cláudio Neiva, CTO de segurança para a América Latina.