O advento das novas regulações sobre privacidade de dados, como a GDPR europeia, a CCPA americana e a nossa LGPD aceleraram a criação de postos de DPO (Data Privacy Officer) em diversas empresas, e essa tendência está causando alguns impactos nos líderes de cybersecurity. Ao passo em que existem diferentes interpretações entre os papéis do DPO e o CSO, o mercado concorda que esses papéis possuem alguns níveis de overlap (sobreposição de responsabilidades) e devem trabalhar em conjunto para alcançar os objetivos da empresa.

A proposta deste artigo é identificar três mecanismos de negócio que os DPO e CSO podem usar para trabalhar melhor em conjunto.

 

1 Gerenciamento de Risco

O primeiro mecanismo é o programa de Gerenciamento de Risco. ainda que possa parecer algo de cunho muito técnico, um bom programa de gerenciamento de risco é feito no nível das lideranças, cobrindo os riscos aos quais a empresa está submetida. Esses riscos vão de financeiros, competitivos até operacionais e de cybersecurity. Em empresas de capital aberto, é normal que os relatórios aos acionistas contenham páginas dedicadas a apresentar esses riscos.

Um dos riscos levados em alta consideração atualmente são os relacionados às leis de privacidade. Um bom programa de Gerenciamento de Riscos deve mais do que identificar, também apresentar os mecanismos para gerenciar esses riscos.

Esses riscos relacionados às leis de privacidade impreterivelmente precisam unir as capacidades dos DPO’s e CSO’s. Os DPO’s precisam entender que esses riscos estão relacionados com os sistemas sob supervisão e operação do CSO, assim como o CSO deve ter noções sobre as políticas de privacidade, de forma que a operação esteja em compliance.

 

2 Governança da Informação

O segundo processo compartilhado pelo DPO e CSO é a Governança da Informação. Colocado de forma simples, essa governança é o próximo passo a ser dado depois que a empresa identifica os riscos relacionados à informação e os mecanismos para mitigar. A governança da informação faz a seguinte questão: onde estão os dados e o que estamos fazendo para protegê los? Em geral, isso engloba uma série de requerimentos que incluem:

  • Retenção (Storage/Arquivo)
  • Destruição
  • Gerenciamento de registros
  • Privacidade
  • Information Security (confidencialidade, integridade, disponibilidade)
  • Segurança Física
  • Compliance
  • Classificação de Dados
  • Compressão de Dados
  • Processos de Partes Terceiras

 

A Governança da Informação deve adereçar tanto os dados estruturados como os não-estruturados. Também é importante que sejam pensados as informações em estado físico, como papéis de registro, cartas e outros.

Nesse mecanismo, o DPO e o CSO devem trabalhar em conjunto, desenvolvendo uma abordagem em conjunto, que consiga solucionar os problemas específicos de cada área que irão surgir a partir desse trabalho de governança.

 

3 Plano de Resposta a Incidentes

O terceiro mecanismo onde pode acontecer essa parceria é no Plano de Resposta a Incidentes. Os grandes vazamentos de dados em geral envolvem duas atividades distintas. A primeira é o evento de intrusão, a segunda é a extradição dos dados pessoais. Uma divisão comum que está acontecendo é o DPO cuidar dos dados que foram vazados, e o CSO cuidar da intrusão. Essa abordagem acomoda os seguintes pontos:

  • A resposta para a intrusão e para o vazamento de dados deve ocorrer de forma simultânea. Essas duas tarefas requerem skills diferentes.
  • A resposta à intrusão deve adereçar todo o espectro de dados sensíveis para a  empresa, não apenas dados pessoais. 
  • Grande parte dos vazamentos de dados acabam não sendo iniciados por uma intrusão ou outras atividades maliciosas, mas sim por erro de usuários. Esses incidentes acabam não atingindo a mídia, mas ainda sim requerem uma resposta. Um exemplo disso é o sumiço de um gabinete de arquivos. Isso constitui vazamento de dados, mas não uma intrusão.

 

As regulações de privacidade de dados devem continuar a crescer no futuro próximo. As empresas que criam o papel do DPO devem garantir que essa função seja compatível, que trabalhe em conjunto com a cybersecurity.