Por André Facciolli, CEO da Netbr
“Privacy by Design”: depois de consolidar o desenvolvimento ágil, a engenharia de software enfrenta o desafio de reduzir o atrito e proteger informações de terceiros.
A aplicação de uma TI “bimodal”, formalmente descrita pelo Gartner por volta de 2013, foi uma das maneiras pelas quais a indústria de software conseguiu avançar de forma controlada na incorporação do desenvolvimento ágil.
A rapidez se tornou crucial, mas não se podia abrir mão por completo das regulações, vistas por alguns como excessivamente protelatórias. Também não se podia saltar sem um maior cuidado para fora do rigoroso ‘etapismo’ que está na essência da engenharia como disciplina.
Ainda que não fosse perfeita, a união dos polos constituintes da chamada TI bimodal parecia um casamento lógico e repleto de conveniência. Enquanto na retaguarda e na supervisão dos processos reinava a estabilidade e o rígido traçado da engenharia legada, na frente, atendendo ao balcão, os rapazes do Scrum (ou similares) podiam exercer a ousadia de criar e gerar aplicações e circuitos interativos ao ritmo dinâmico, e avesso á regulamentação, do novo mercado digital.
A regulamentação, as certificações, a norma, tudo isto viria “a quente” (ou até a posteriori), com a incorporação de um risco controlado, cujo custo-benefício parecia mais interessante do que o atraso nas entregas.
Até não muito tempo atrás, com todos os trancos e barrancos, esse novo arranjo da produção vinha se sobressaindo com sucesso, na medida em que aplicações de baixíssimo time-to-market conseguiam atender pontualmente as demandas elásticas que despontavam e sumiam no horizonte.
Esta nova fase da produção, com a profusão das APIs e suas implicações com a retaguarda, acabou por coroar o modelo DevOps. Balanceando rapidez e segurança, chegou-se a um paradigma adequado para se garantir a segurança de processos desde a origem (security by design).
Além de colocar os requisitos de segurança norteando toda a articulação de componentes, o novo modelo tem a vantagem de adotar metodologias padrão para a concepção de protótipos e a submissão imediata desses protótipos a um privilegiado campo de prova, com nível de massa crítica (a das grandes comunidades) antes praticamente impensável para o departamento de projeto.
A Privacidade de Dados
É fato que o modelo DevOps pavimentou uma estrada relativamente estável em meio ao ambiente turbulento e escorregadio a que a engenharia de software precisou se adaptar dado o movimento entrópico das tecnologias na sociedade conectada.
Mas antes que viesse a bonança, a questão “privacidade alheia” (ou de dados de terceiros) se agigantou como imposição regulatória para o arquiteto de dados e colocou no centro da prancheta a judicialização dos processos digitais.
Se antes a “segurança desde a planta” serviu para balizar o desenvolvimento ágil com a proteção contra ameaças internas e externas (isto é, no interior da rede, algo que se resolvia com IAM), agora o que está em questão é um interesse pessoal alheio bastante novo e complexo.
Alheio às propriedades “naturais” do dono da estrutura, e alheio ao conjunto de ativos para os quais o sistema de segurança foi planejado. E complexo, na medida em que os marcos legais emergentes (GDPR, LGPD, KYC etc) garantem supremacia ao ente externo (e não mais ao usuário logado a partir das regras intrínsecas à gestão).
Da palavra de ordem “security by design” passamos agora para fase “privacy by design”. Significa dizer que em todos os pontos e componentes do processo deve residir de forma clara, indelével e rastreável, um motor de negócios normativo lastreado em alguns rígidos princípios tais como:
1 – A soberania total do cliente (e também do usuário interno ou parceiro) em relação a seus dados coletados, processados e armazenados na cadeia de produção digital.
2 – Uma significativa ampliação do conceito de dados para incluir fragmentos de informação. Tais como traços biométricos de câmeras digitais, registros de GPS, compostos semântico-comportamentais passíveis de marcação por “tags”, voltados ao marketing programático, ao controle de multidões, ou ao monitoramento do indivíduo.
3 – A exigência de disponibilidade intuitiva, prática e imediata de instrumentos de rastreamento e acompanhamento do ciclo de dados pessoais por parte de seus titulares.
4 – A complicada constituição de ferramentas de coleta documentação de permissões de e sua articulação com instrumentos de relatório e regras de compliance.
5 – A definição e governança do ciclo de validade, conformidade e regras de descarte ou transferência de dados.
6 – A garantia de direito ao esquecimento, implicando na necessidade estrita de governança da localização dos dados na nuvem múltipla, nos dispositivos proprietários da rede, nas APIs, etc.
De Volta ao mares azuis
A expressão “blueprint” significando “mapa de engenharia” entrou em voga há algum tempo trazendo um novo movimento pendular da TI bimodal, recomendando-se agora um retorno mais rigoroso às pranchetas e à estrita regulação dos processos de engenharia.
Se o foco do modelo DevOps pendeu para a rapidez, as práticas de “privacy by design” se voltam com mais atenção para a necessidade de rigor na diagramação, na prototipia e na testagem dos modelos. Tudo isto com vistas ao complicado elemento ético, sociológico, jurídico e – sobretudo – competitivo das estruturas que precisam estar fim a fim em conformidade com a privacidade de terceiros.
Em seu best Seller de 2018 Privacys´s Bluprint: The battle to control the desing of new Technologies, o teórico Woodrow Hartzog explica a radicalização das legislações de privacidade de dados como uma resposta das massas á insaciável máquina de negócios devoradores de informações de grupos e indivíduos.
Sem entrar em todos os meandros da questão, chama atenção a abordagem da garantia de privacidade como um dos problemas vitais da nova sociedade de massas. Significa dizer que a arquitetura de redes adaptada a este novo mundo precisa se deslocar de dentro do perímetro tradicional da rede para o CIAM (Customer Identity and Access Management). Ou seja, mudando a prioridade matricial, antes focada no backchannel e nas regras de configurações de carga de trabalho (workload), para uma interface de massas capaz de cuidar da jornada, da validação e do balizamento “conforme” de informações de clientes em regime de milhares e até bilhões de indivíduos. Todos eles senhores de suas identidades, seus atributos, seus interesses muita vezes conflitantes com o que propõe a estrutura da rede.
Sobre a Netbr
Fundada em 2003, a Netbr é uma das responsáveis pela introdução no Brasil do conceito de IAM (Identity and Access Management). Ao longo de quase duas décadas, a empresa atuou em alguns dos maiores projetos de integração de implantação de arquitetura de segurança de acesso em ambientes convencionais ou de nuvem múltipla. Sua excelência e especialização em redes “zero trust” são reconhecidas pelos maiores fabricantes mundiais de soluções de IAM, gestão de privilégio (PAM) e Governança de Identidade e Acesso (IGA). Em 2020, a Netbr foi eleita o melhor integrador da SailPoint da América Latina.
Netbr e Okta mostram “IDaaS” em congresso sobre a indústria “as a Service”
Gestão da identidade vai se tornar um serviço do tipo “utility”, prevê diretor da Netbr
Gestão de Identidade e Acesso Privilegiado | Joint-venture Netbr-Identropy
Direito Digital e os desafios para o universo jurídico
Série: Dicas práticas para implementação de Privacy by Design – Parte III de IV
Exclusivo
Série: Dicas práticas para implementação de Privacy by Design – Parte I de IV
Série: Dicas práticas para implementação de Privacy by Design – Parte II de IV
Série: Dicas práticas para implementação de Privacy by Design – Parte III de IV