Proteção incorporada ao design: respeito ao usuário, à performance e à LGPD
Por Marcelo Mendes Santos, Gerente de TI CISO
da NEO
É difícil não reconhecer o valor da
privacidade em uma sociedade cada vez mais dependente de tecnologias digitais e
que vive online durante uma parte significativa de seu tempo. Neste contexto,
um conceito cada vez mais comum no vocabulário de empresas, em especial das
startups, é o de Privacy by Design, uma abordagem focada na proteção da
privacidade dos indivíduos. Apesar de ter surgido na década de 1990, nunca
esteve tão atual, já que foi abarcado pelo General Data Protection Regulation
(regulamento de proteção de dados da União Europeia), e também pela nossa Lei
Geral de Proteção de Dados. De acordo com a GDPR e com a LGPD, pensar na
privacidade desde a concepção do projeto possibilita que boas ideias já nasçam
de acordo com o que é melhor para os seus usuários. Ou seja, incorporar a
privacidade e a proteção de dados pessoais em todos os projetos desenvolvidos,
desde a sua concepção até a sua implementação, proporciona vantagem
competitiva às organizações que adotam a metodologia. Além dos indivíduos se sentirem
protegidos e respeitados, há um reforço positivo da marca, com um destaque do
compromisso da empresa perante o usuário.
Na prática, o conceito pode ser aplicado
a todo o ecossistema de informação, incluindo tecnologias específicas,
operações de negócios, arquiteturas físicas e infraestruturas de rede. Desta
forma, a privacidade torna-se um componente essencial do sistema, mas sem
diminuir sua funcionalidade. Para que tudo funcione, é necessário realizar uma
abordagem holística (que considere contextos amplos), integrativa (onde todos
os envolvidos e partes interessadas devem ser consultados) e, acima de tudo,
criativa (já que muitas vezes será preciso se reinventar para adotar práticas
que de fato respeitem os princípios do Privacy by Design).
Para a construção/desenvolvimento de um
sistema nesses moldes, deve-se aplicar segurança aos requisitos de negócios
respeitando os princípios do Desenvolvimento Seguro OWASP (Open Web Application
Security Project), de acordo com 10 parâmetros:
• Minimizar a superfície de área de
ataque, eliminando a complexidade de políticas, falhas, regras redundantes e
controlando o acesso dos clientes, segmentando a rede e acessos aos sistemas
por camadas, priorizando o analytics nas avaliações de configuração de
segurança, fluxo de tráfego e as pontuações quantitativas de risco;
• Estabelecimento de Padrões, oferecendo experiências seguras e com o mínimo de
complexidade;
• Adoção do Princípio do Menor Privilégio, com as contas tendo a menor
quantidade de privilégios necessários para a execução de processos;
• Observância do Princípio da Defesa em Profundidade, com avaliação de riscos
executada em diferentes níveis, aplicação de codificação segura, controles de
auditoria centralizados e exigência de logon em todas as páginas;
• Mapeamento das falhas de segurança, tais como exposição de endpoints,
patches, servidores e falta de tratamento de erros e exceções;
• Adoção da política de arquitetura de zero confiança, na qual tudo que está
trafegando/processando precisa ser validado, principalmente quando alguns
serviços são terceirizados - que, provavelmente têm políticas e regras de
segurança diferentes da sua organização;
• Separação dos deveres, com estabelecimento de perfis por função e garantia de
segregação dos níveis de acesso dos usuários (sempre de acordo com suas
funções);
• Evitar a segurança por obscuridade, abandonando a falsa ideia de que o
desconhecimento das falhas/vulnerabilidades nos sistemas/aplicativos garante
que os mesmos estejam seguros e livres de ataques;
• Simplificar a Segurança, sempre tendo em mente que quanto menor a exposição
ao risco, menor a área que pode ser explorada por vulnerabilidades, reduzindo
incidentes de segurança;
• Corrigir Problemas de Segurança da maneira correta, fazendo a contenção dos
riscos, investigando a causa raiz e mitigando o problema de modo a restabelecer
a segurança e disponibilidade do ambiente.
Para a pesquisadora canadense Ann
Cavoukian - a mente brilhante por trás deste conceito -, a ação mais efetiva
contra abusos de privacidade e mau uso de dados é, justamente, dar aos usuários
a chance de gerenciar os seus próprios dados. E a proteção incorporada ao
design, que sempre leva em conta pontos como o consentimento do usuário, a
exatidão dos dados tratados, o acesso dos usuários aos seus próprios dados e a
adoção de mecanismos de compliance torna-se um coringa do compliance,
principalmente quando consideramos o artigo 46 da LGPD, que versa sobre os
agentes de tratamento - estes “(...) devem adotar medidas de segurança,
técnicas e administrativas aptas a proteger os dados pessoais de acessos não
autorizados e de situações acidentais ou ilícitas de destruição, perda,
alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
(…)”.
Ao unir privacidade e design, usamos uma
metodologia que, por concepção, é também uma ferramenta importante para a
redução de custos com adequação à lei, já que permite começar um projeto de
forma aderente à LGPD ainda que com poucos recursos. Os responsáveis pelo
compliance agradecem: pela minha experiência, adotar a proteção de dados desde
o início pode sair bem mais barato do que arcar com uma eventual adequação
posterior, da mesma forma que mitiga os riscos, multas e prejuízos causados por
incidentes de privacidade.
Antes de concluir, deixo uma reflexão. É fato que, no Brasil, os princípios de Privacy by Design começam a ser adotados como referência para adequação de sistemas. No entanto, há um ponto importante a ser observado, mas que poucos gestores ainda se atentam: a governança que as empresas precisam possuir para assegurar que os dados do usuário sejam protegidos e tratados de forma segura em todos os processos. A governança com base no Privacy by Design precisa do envolvimento e engajamento de todos os setores da empresa, e precisa evoluir com as práticas e processos da empresa. Mudando a mentalidade corporativa de proteção e cuidado, mudamos o mindset de todos os usuários. E, mais do que uma consequência, a segurança dará o tom dos esforços.
Nenhum comentário