A relação entre gestão da segurança da informação e GDPR
Conversamos com o Russo Sergey Ozhegov – CEO da SearchInform LATAM – sobre GDPR e Segurança da Informação durante Road Show SearchInform na etapa realizada em São Paulo dia 20 de abril.
A SearchInform é uma empresa Russa com escritórios em 16 países. Desenvolve soluções para a proteção dos negócios há mais de 22 anos atendendo, mundialmente, cerca de dois mil clientes na proteção de 1.200.000 computadores.
Suas soluções englobam desde o monitoramento do tempo de trabalho dos funcionários até recursos para prevenção de vazamento de dados confidenciais, identificação de fraudadores e auxiliam no cumprimento de requisitos dos reguladores. Como resultado, protegem empresas contra risco de negócios e prejuízos financeiros.
O Road Show SearchInform está percorrendo 7 cidades da América Latina apresentando como temas principais das conferências as tecnologias e tendências atuais para proteger negócios contra perdas financeiras.
Crypto ID: Qual é a motivação da SearchInform realizar esse Road Show?
Sergey Ozhegov: A série de conferências Road Show LATAM 2018 vem a ser uma continuação lógica de nossa entrada no mercado latino-americano. Uma comunicação mais próxima entre especialistas SI, fabricantes de soluções de proteção e clientes, desenvolve a comunidade profissional.
Os participantes de eventos como este, têm a oportunidade de se inteirar sobre as últimas tendências do setor e trocar experiências, o que é extremamente importante no campo da segurança. Temos experiência na realização de eventos semelhantes na Rússia, no entanto, as empresas latino-americanas mostraram um grande interesse em nossa expertise – e decidimos trazer a prática para o novo mercado. Tenho certeza de que essa interação se tornará o ponto de partida para a elevação do nível da segurança da informação nas empresas da região. Para nós, essa é uma excelente oportunidade de se comunicar pessoalmente com nossos potenciais clientes e apoiar parceiros.
Crypto ID: Desde quando realizam? No Brasil é a primeira vez?
Sergey Ozhegov: A primeira série de conferências gratuitas Road Show da SearchInform foi realizada em 2012, e desde então, tornou-se um evento anual. O evento acontece em 20-25 cidades dos países da CEI e reúne mais de 3.000-3.500 participantes. Este ano organizamos o Road Show em 7 países da América Latina pela primeira vez. De 5 a 26 de abril, discutiremos questões atuais sobre a segurança da informação no Chile, Argentina, México, Costa Rica, Brasil, Colômbia e Paraguai. E em maio planejamos realizar eventos similares na África do Sul.
Crypto ID: Este ano as conferências giram em torno de questões relacionadas à proteção contra vazamentos de informações e combate de riscos relacionados ao fator humano. Como avaliam ao longo dos anos o entendimento/amadurecimento dessas questões dentro das empresas em geral e setor jurídico?
Sergey Ozhegov: Sim, o principal tema do Road Show SearchInform 2018 é o novo paradigma da segurança da informação, abrangendo desde a proteção contra vazamentos até o combate de todos os tipos de riscos associados a fatores humanos.
Nos últimos anos, o vazamento de informações vem se tornando algo cada vez mais difundido, e os agentes internos estão causando problemas cada vez mais sérios. Naturalmente, as empresas se esforçam para se proteger e estão prontas a investir recursos e orçamentos suficientes nesse sentido.
Quanto ao lado legal da questão, tudo tem caminhado em um ritmo mais lento. A legislação não acompanha o progresso, muitos aspectos da SI não estão suficientemente regulamentados. Em alguns países, a situação é melhor, em alguns pior. Mas a lei do GPDR que está entrando em vigor, por exemplo, nos mostra que certo trabalho nessa direção está sendo realizado.
E quanto à avaliação da situação como um todo, percebo que nossas conferências também são um espaço para a realização de pesquisas sobre o nível da segurança da informação nas empresas. Os eventos são gratuitos, por isso convidamos todos a se juntarem a nós.
Provavelmente, logo após o término das conferências, apresentaremos os resultados do estudo aos nossos seguidores e à mídia.
Crypto ID: A proteção de dados é um assunto que vem ganhando espaço nas agendas das reuniões dos conselhos de administração das Cias. Primeiro vocês acreditam que quantas empresas aproximadamente (em percentuais) tratam essas questões com a atenção devida?
Sergey Ozhegov: Se nos basearmos nas pesquisas da Gartner, hoje a proteção de dados corporativos através de sistemas DLP está em cerca de 50% das empresas do mundo e, até 2020, esse número deverá subir para 85%.
No entanto, o problema é que a maioria das empresas estabelece um sistema de segurança na proporção 80/15/5, onde: 80% dos recursos são gastos com a prevenção de ameaças, 15% gastos na detecção dessas ameaças e 5% dos recursos são gastos com resposta (investigação e melhoria dos sistemas de proteção).
Os últimos 5% são muito pouco – e isso se traduz em um problema para os negócios. Por exemplo, a empresa adquire o DLP e executa uma configuração de políticas de segurança em larga escala: os dados são classificados, as permissões de acesso são configuradas, as regras são especificadas. Quando ocorre alguma violação, o serviço de segurança entra em ação. Tudo isso é bom, mas as pessoas, às vezes, burlam as regras. E se a empresa não sabe como elas fazem isso, as políticas de segurança não se aperfeiçoam, tornando-se obsoletas.
Crypto ID: Em todos os países as regulações sobre proteção de dados está avançando e agora teremos a partir de 25 de maio a GPDR que entra em vigor. Isso fará com que as Cias fiquem mais atentas a segurança da informação?
Sergey Ozhegov: Sim, é claro, mesmo porque no âmbito do GDPR, o Parlamento Europeu exige que qualquer empresa assegure a proteção dos dados pessoais e a confidencialidade dos cidadãos da União Europeia. E as penalidades do GDPR estão diretamente relacionadas às perdas financeiras: Em caso de não conformidade, a empresa pode receber uma multa de até 20 milhões de euros, ou 4% da receita anual geral da empresa.
Crypto ID: Pode falar um pouco mais sobre GDPR?
Sergey Ozhegov: O ponto principal é que o GDPR fará mudanças significativas na prática do uso de dados na Europa e oferecerá padrões sobre os direitos dos usuários. Essa lei define claramente quais informações são pessoais e também dá ao usuário o direito de solicitar a remoção de seus dados. Anteriormente, esse procedimento era muito mais complicado – não havia um padrão único para as exigências. Além disso, agora o armazenamento e a transferência de dados pessoais se tornarão completamente transparentes para o usuário.
A lei estende-se a 28 estados europeus e a qualquer empresa que processe dados de cidadãos da UE. De fato, a lei tem um significado extraterritorial e seu cumprimento é obrigatório em todo o mundo.
Mas mesmo antes do GDPR, em todos os países, os conceitos de dados pessoais e segurança da informação já existiam, assim como o procedimento jurídico penal, com suas próprias regras de regulamentação. Na verdade, as leis internacionais recebem menos atenção do que regulamentos locais, ou mesmo recomendações emitidas por reguladores do setor. Por exemplo, as exigências ou pelo menos as recomendações, do setor bancário ou médico, serão mantidas em primeiro lugar por todos os bancos ou centros médicos.
Crypto ID: A SearchInform provê soluções que ajudem empresas e escritórios jurídicos na gestão da informação para estarem em conformidade com a GDPR?
Sergey Ozhegov: Os produtos da SearchInform ajudam na implementação dos regulamentos GDPR, já que seu uso garante a execução direta de 6 princípios básicos da lei. Sendo um dos mais importantes “Integralidade e confidencialidade”. De acordo com o documento, a empresa deve proteger os dados pessoais dos usuários não permitindo o seu vazamento, distorção intencional ou danos – é em tarefas como esta que a empresa SearchInform tem se especializado.
O GDPR define os dados pessoais como “qualquer informação que, direta ou indiretamente, identifique seu proprietário”. O CSI SearchInform DLP possui mais de 50 modelos predefinidos para a detecção e proteção desses dados, desde o endereço IP até os detalhes do cartão de crédito.
A nova lei introduz o “direito à portabilidade de dados”, quando as empresas são obrigadas a fornecer uma cópia eletrônica dos dados pessoais de outra empresa gratuitamente, a pedido do próprio dono dos dados pessoais, motivo pelo qual nos produtos da SearchInform qualquer movimento de informação crítica é detalhado e visualizado, desde o momento de criação até seu esquema gráfico de propagação na rede.
O GDPR obriga as empresas a notificarem os órgãos reguladores sobre quaisquer violações relacionadas aos dados pessoais dentro de 72 horas após o incidente. O CSI SearchInform DLP trabalha em tempo real e analisa automaticamente os fluxos de informação, monitorando violações e notificando os funcionários SI – tal ferramenta é indispensável para uma resposta rápida às ameaças, porque além da notificação sobre o incidente, é gerado um relatório completo detalhando todas as circunstâncias da violação.
Os novos regulamentos aumentam significativamente os direitos dos cidadãos e residentes da UE no que diz respeito ao controle de seus dados pessoais. Os usuários europeus têm o direito de solicitar informações sobre o processamento de seus dados, exigir o encerramento deste procedimento e até a remoção de dados pessoais. A principal dificuldade em atender a esses requisitos é a necessidade de uma auditoria total da infraestrutura de TI. A solução SearchInform tem uma ferramenta especial que permite uma varredura regular de toda a infraestrutura de TI e a detecção automática de dados críticos em qualquer fonte: servidores de arquivos, computadores pessoais, pastas de rede, servidores NAS, bancos de dados e até armazenamento em nuvens populares. Assim, o cliente pode estar sempre ciente sobre a situação real.
Crypto ID: aqui pode explicar um pouco sobre as soluções da SearchInform.
Sergey Ozhegov: O principal produto da SearchInform é frequentemente comparado com as clássicas soluções DLP, projetadas para evitar o vazamento de informações para o mundo exterior. O objetivo do nosso produto fica um degrau acima. Protegemos a empresa contra perdas financeiras, que por sua vez podem resultar de vazamentos de informações e negligência por parte de funcionários, conluio de especialistas com concorrentes, uso ilegal de recursos da empresa, espionagem industrial, vingança de funcionários, – são muitas as possibilidades.
O DLP é apenas uma pequena parte do nosso produto. Estamos demonstrando uma nova abordagem para a segurança da informação: é preciso não apenas proteger as informações dentro da empresa, mas também proteger a empresa contra perdas financeiras, provocadas por vários tipos de ações. Essas ações são realizadas pelos funcionários, a informação por si só não vaza. É necessário lidar não com a informação, mas com o “fator humano”, considerado a maior ameaça pela maioria dos especialistas SI no mundo. Para a resolução desse problema específico, criamos e estamos desenvolvendo uma ferramenta da melhor qualidade.
[button link=”https://cryptoid.com.br/?s=GDPR” icon=”fa-key” side=”left” target=”” color=”2f4599″ textcolor=”ffffff”]Aqui no Crypto ID você encontra muitos artigos sobre a GDPR, dá uma olhada![/button]