Publicidade
Início Colunistas Entenda o que é soberania de dados e como CISOs devem estar...

Entenda o que é soberania de dados e como CISOs devem estar preparados para ela

0
Publicidade

Os CISOs (Chief Information Security Officers) têm desafios que vão além da implementação de melhores práticas de segurança, como as recomendadas por frameworks como NIST, CIS-Controls ou ISO 27000. Com o avanço de serviços digitais como Cloud (IaaS, SaaS e PaaS), as fronteiras da inovação não seguem mais os limites físicos dos mapas cartográficos de nossos países. No mundo digital, o foco está na flexibilidade, velocidade e inovação. Claro, independentemente de onde os dados ou capacidades computacionais sejam processados, o objetivo final é criar avanços que melhorem a vida humana e ajudem a sociedade a enfrentar problemas que antes pareciam impossíveis de serem resolvidos.

Contudo, a inovação traz consigo desafios, muitos deles fora do âmbito técnico. A exemplo, no campo regulatório legisladores buscam equilibrar competitividade, facilidade de transferência de dados e inovação entre provedores de nuvem. É nesse cenário que surge a discussão sobre soberania de dados – o princípio de que os dados estão sujeitos às leis e regulações do país ou região onde foram gerados. Essa ideia confere a um governo ou jurisdição o direito de governar e controlar os dados criados em seu território.

 

Por que isso é relevante?

Para os CISOs, a soberania de dados representa a necessidade de atenção redobrada à conformidade regulatória nos mercados onde suas organizações atuam. Essa responsabilidade não se limita a questões técnicas; envolve também aspectos jurídicos relacionados ao uso de dados por entidades governamentais ou privadas.

No Brasil, esse debate não é novo. A Lei Geral de Proteção de Dados (LGPD), que busca a proteção e soberania dos dados no País, e a Resolução Nº 19 da ANPD e a Instrução Normativa Nº 5 do GSI/PR, que abordam o uso da nuvem no governo federal, são exemplos claros dessa preocupação. Além disso, novas regulações, como o projeto de lei sobre inteligência artificial, continuam ampliando esse cenário. Reguladores como o BACEN (no setor financeiro) e a ANATEL (no setor de comunicações) possuem autoridade de auditoria para garantir a conformidade com normas locais. Paralelamente, devido à economia global, instituições brasileiras também devem atender a regulamentações internacionais, como GDPR (Europa), SWIFT (Societe for WorldWide Interbank Financial Communication) e DORA (Digital Operational Resilience Act) – para os bancos.

Essa complexidade exige que os CISOs formem equipes especializadas para responder a auditorias regulatórias, mantendo uma base de respostas revisadas e aprovadas por seus departamentos jurídicos, reduzindo custos e aumentando a eficiência no processo.

 

Tendências internacionais e impacto no Brasil

Tradicionalmente, o Brasil adota normas europeias como referência para sua legislação, e a LGPD é um exemplo disso. Por isso, acompanhar tendências globais é essencial. Na França, por exemplo, a Law SREN (Segurança, Regulação e Espaço Digital) busca aprimorar a segurança online, combater desinformação e regulamentar serviços digitais, incluindo a nuvem. Essa lei também aborda a interoperabilidade e a soberania de dados, o que pode influenciar o mercado global de cloud.

Destaques da Law SREN:

  1. Créditos de Nuvem: Provedores devem oferecer créditos para clientes, mas sem restrições exclusivas, incentivando a competitividade.
  2. Taxas de Transferência de Dados: A cobrança dessas taxas é proibida, visando facilitar a movimentação de dados.
  3. Interoperabilidade: Alinhada ao EU Data Act, exige compatibilidade entre serviços concorrentes.
  4. Segurança de Dados Sensíveis: Provedores devem evitar acessos não autorizados a dados classificados, como informações de segurança nacional ou propriedade intelectual.

O papel dos CISOs

Para navegar nesse cenário, os CISOs precisam trabalhar em conjunto com os departamentos jurídico e de negócios para compreender como essas regulamentações podem impactar suas estratégias tecnológicas. A criação de uma força-tarefa para documentar práticas de segurança e alinhar capacidades regulatórias é essencial.

Embora a proteção da infraestrutura em nuvem seja responsabilidade dos provedores, a segurança do acesso aos dados e a escolha de onde eles são armazenados são responsabilidades do cliente. Essa abordagem segue o modelo de responsabilidade compartilhada, que varia conforme o tipo de serviço (IaaS, SaaS ou PaaS).

Em suma, a soberania de dados é um tema crucial para CISOs, exigindo uma abordagem estratégica que combine conformidade regulatória, gestão de riscos e inovação.

Cláudio Neiva, CTO de segurança para a América Latina.

SEM COMENTÁRIOS

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Sair da versão mobile