Últimas notícias

Fique informado

A Engenharia da Privacidade e os Devoradores de Dados. Por André Facciolli, CEO da Netbr

11 de janeiro de 2021

Spotlight

Reconhecimento facial sem prova de vida está com os dias contados, afirma CEO de uma das principais plataformas brasileiras de biometria facial

Conversamos com José Luis Volpini, CEO da CredDefense, uma das pioneiras e mais conceituadas plataformas de biometria facial do mercado brasileiro.

6 de janeiro de 2021

Carimbo do Tempo dá início ao fim da era dos protocolos proprietários na ICP-Brasil. Ouça

Segundo Dr. Roberto Gallo, o fim da era dos protocolos proprietários na ICP-Brasil tem data marcada e deve beneficiar fabricantes, prestadores de serviços e clientes finais.

28 de dezembro de 2020

Em tempo de mobilidade extrema e home office, como controlar o perímetro de segurança da empresa? Ouça

Conversamos com Jan Rochat da AET Europe, sobre a eficiência das tecnologias que protegem as informações das empresas, especialmente nesse momento de extrema necessidade de mobilidade das pessoas em “home office.

8 de dezembro de 2020

Identificar, confiar e conectar. Quantas vezes por dia nos autenticamos?

Controlar credencias de acesso nas organizações é tão difícil quanto

2 de dezembro de 2020

Doutor Fabiano Menke Concede Entrevista Sobre a Evolução das Assinaturas Eletrônicas

Nesta entrevista Dr. Fabiano Menke fala sobre a Lei 14.063 de setembro de 2020 e sobre o Decreto 14.543 de novembro de 2020 sobre os tipos de assinaturas eletrônicas

25 de novembro de 2020

Por André Facciolli, CEO da Netbr

André Facciolli, CEO da Netbr

Privacy by Design”: depois de consolidar o desenvolvimento ágil, a engenharia de software enfrenta o desafio de reduzir o atrito e proteger informações de terceiros.

A aplicação de uma TI “bimodal”, formalmente descrita pelo Gartner por volta de 2013, foi uma das maneiras pelas quais a indústria de software conseguiu avançar de forma controlada na incorporação do desenvolvimento ágil.

A rapidez se tornou crucial, mas não se podia abrir mão por completo das regulações, vistas por alguns como excessivamente protelatórias. Também não se podia saltar sem um maior cuidado para fora do rigoroso ‘etapismo’ que está na essência da engenharia como disciplina.

Ainda que não fosse perfeita, a união dos polos constituintes da chamada TI bimodal parecia um casamento lógico e repleto de conveniência. Enquanto na retaguarda e na supervisão dos processos reinava a estabilidade e o rígido traçado da engenharia legada, na frente, atendendo ao balcão, os rapazes do Scrum (ou similares) podiam exercer a ousadia de criar e gerar aplicações e circuitos interativos ao ritmo dinâmico, e avesso á regulamentação, do novo mercado digital.

A regulamentação, as certificações, a norma, tudo isto viria “a quente” (ou até a posteriori), com a incorporação de um risco controlado, cujo custo-benefício parecia mais interessante do que o atraso nas entregas.

Até não muito tempo atrás, com todos os trancos e barrancos, esse novo arranjo da produção vinha se sobressaindo com sucesso, na medida em que aplicações de baixíssimo time-to-market conseguiam atender pontualmente as demandas elásticas que despontavam e sumiam no horizonte.

Esta nova fase da produção, com a profusão das APIs e suas implicações com a retaguarda, acabou por coroar o modelo DevOps. Balanceando  rapidez e segurança, chegou-se a um paradigma adequado para se garantir a segurança de processos desde a origem (security by design).

Além de colocar os requisitos de segurança norteando toda a articulação de componentes, o novo modelo tem a vantagem de adotar metodologias padrão para a concepção de protótipos e a submissão imediata desses protótipos a um privilegiado campo de prova, com nível de massa crítica (a das grandes comunidades) antes praticamente impensável para o departamento de projeto.

A Privacidade de Dados

É fato que o modelo DevOps pavimentou uma estrada relativamente estável em meio ao ambiente turbulento e escorregadio a que a engenharia de software precisou se adaptar dado o movimento entrópico das tecnologias na sociedade conectada.

Mas antes que viesse a bonança, a questão “privacidade alheia” (ou de dados de terceiros) se agigantou como imposição regulatória para o arquiteto de dados e colocou no centro da prancheta a judicialização dos processos digitais.

Se antes a “segurança desde a planta” serviu para balizar o desenvolvimento ágil com a proteção contra ameaças internas e externas (isto é, no interior da rede, algo que se resolvia com IAM), agora o que está em questão é um interesse pessoal alheio bastante novo e complexo.

Alheio às propriedades “naturais” do dono da estrutura, e alheio ao conjunto de ativos para os quais o sistema de segurança foi planejado. E complexo, na medida em que os marcos legais emergentes (GDPR, LGPD, KYC etc) garantem supremacia ao ente externo (e não mais ao usuário logado a partir das regras intrínsecas à gestão).

Da palavra de ordem “security by design” passamos agora para fase “privacy by design”. Significa dizer que em todos os pontos e componentes do processo deve residir de forma clara, indelével e rastreável, um motor de negócios normativo lastreado em alguns rígidos princípios tais como:

1 – A soberania total do cliente (e também do usuário interno ou parceiro) em relação a seus dados coletados, processados e armazenados na cadeia de produção digital.


2 – Uma significativa ampliação do conceito de dados para incluir fragmentos de informação. Tais como traços biométricos de câmeras digitais, registros de GPS, compostos semântico-comportamentais passíveis de marcação por “tags”, voltados ao marketing programático, ao controle de multidões, ou ao monitoramento do indivíduo.


3 – A exigência de disponibilidade intuitiva, prática e imediata de instrumentos de rastreamento e acompanhamento do ciclo de dados pessoais por parte de seus titulares.

4 – A complicada constituição de ferramentas de coleta documentação de permissões de e sua articulação com instrumentos de relatório e regras de compliance.


5 – A definição e governança do ciclo de validade, conformidade e regras de descarte ou transferência de dados.

6 – A garantia de direito ao esquecimento, implicando na necessidade estrita de governança da localização dos dados na nuvem múltipla, nos dispositivos proprietários da rede, nas APIs, etc.

De Volta ao mares azuis

A expressão “blueprint” significando “mapa de engenharia” entrou em voga há algum tempo trazendo um novo movimento pendular da TI bimodal, recomendando-se agora um retorno mais rigoroso às pranchetas e à estrita regulação dos processos de engenharia.

Se o foco do modelo DevOps pendeu para a rapidez, as práticas de “privacy by design” se voltam com mais atenção para a necessidade de rigor na diagramação, na prototipia e na testagem dos modelos. Tudo isto com vistas ao complicado elemento ético, sociológico, jurídico e – sobretudo – competitivo das estruturas que precisam estar  fim a fim em conformidade com a privacidade de terceiros. 

Em seu best Seller de 2018 Privacys´s Bluprint: The battle to control the desing of new Technologies, o teórico Woodrow Hartzog explica a radicalização das legislações de privacidade de dados como uma resposta das massas á insaciável máquina de negócios devoradores de informações de grupos e indivíduos.

Sem entrar em todos os meandros da questão, chama atenção a abordagem da garantia de privacidade como um dos problemas vitais da nova sociedade de massas. Significa dizer que a arquitetura de redes adaptada a este novo mundo precisa se deslocar de dentro do perímetro tradicional da rede para o CIAM (Customer Identity and Access Management). Ou seja, mudando a prioridade matricial, antes focada no backchannel e nas regras de configurações de carga de trabalho (workload), para uma interface de massas capaz de cuidar da jornada, da validação e do balizamento “conforme” de informações de clientes em regime de milhares e até bilhões de indivíduos. Todos eles senhores de suas identidades, seus atributos, seus interesses muita vezes conflitantes com o que propõe a estrutura da rede. 

Sobre a Netbr

Fundada em 2003, a Netbr é uma das responsáveis pela introdução no Brasil do conceito de IAM (Identity and Access Management). Ao longo de quase duas décadas, a empresa atuou em alguns dos maiores projetos de integração de implantação de arquitetura de  segurança de acesso em ambientes convencionais ou de nuvem múltipla. Sua excelência e especialização em redes “zero trust” são reconhecidas pelos maiores fabricantes mundiais de soluções de IAM, gestão de privilégio (PAM) e Governança de Identidade e Acesso (IGA). Em 2020, a Netbr foi eleita o melhor integrador da SailPoint da América Latina.

Netbr e Okta mostram “IDaaS” em congresso sobre a indústria “as a Service”

Gestão da identidade vai se tornar um serviço do tipo “utility”, prevê diretor da Netbr

Gestão de Identidade e Acesso Privilegiado | Joint-venture Netbr-Identropy

Direito Digital e os desafios para o universo jurídico

Série: Dicas práticas para implementação de Privacy by Design – Parte III de IV

Apresente suas soluções e serviços no Crypto ID! 

Nosso propósito é atender aos interesses dos nossos leitores, por isso, selecionamos muito bem os artigos e as empresas anunciantes. Conteúdo e anúncios precisam ser relevantes para o mercado da segurança da informação, criptografia e identificação digital. Se sua empresa é parte desse universo, baixe nosso Mídia Kit, escreva pra gente e faça parte do Portal Crypto ID!

ACESSE O MÍDIA KIT DO CRYPTO ID

contato@cryptoid.com.br   +55 11 3881 0019  

Exclusivo

Série: Dicas práticas para implementação de Privacy by Design – Parte I de IV

Série: Dicas práticas para implementação de Privacy by Design – Parte II de IV

Série: Dicas práticas para implementação de Privacy by Design – Parte III de IV