Por que a cultura organizacional e a proteção de dados possuem um elo de ouro
“O maior desafio da evolução humana é cultural”. Essa frase foi dita por Samuel Huntington e citada em um livro da Patricia Peck, em um trecho no qual comenta sobre a evolução do Direito Digital. Parei para pensar sobre como isso faz sentido e pode se encaixar em vários cenários políticos, econômicos e organizacionais.
A partir dessa reflexão, nasce esse pequeno texto com enfoque sobre o engajamento do fator humano na segurança da informação e proteção de dados. Para isso, passaremos por temas como compliance, frameworks, risco e, logicamente, pessoas.
Vamos imaginar a realidade de uma empresa
Dentro de uma organização, a parte cultural é fundamental para nortear condutas e os negócios da empresa. Por essa razão, a comunicação é um instrumento de tanta importância nesse ambiente. O comprometimento e apoio da alta direção com determinados valores e diretrizes têm a capacidade de transformar o ambiente organizacional. Inclusive, este é um dos fatores dos programas de compliance e anticorrupção. Mas o foco aqui é outro.
A perspectiva aqui abordada é a relação de uma empresa com os temas de Segurança da Informação (SI) e Proteção de Dados. Acredito que a tecnologia é, sem dúvidas, um fator de peso para proteção do ambiente físico e lógico. Porém, nada disso é viável sem o engajamento do fator humano. Afinal, onde não devemos clicar?
Com a vigência da LGPD, estruturação da ANPD (Autoridade Nacional de Proteção de Dados) e o desenvolvimento exponencial das tecnologias, o panorama pós-pandemia nos impulsionou a olhar de forma compulsória para a segurança e privacidade.
Temos alguns instrumentos que auxiliam uma organização a estar em conformidade nesta perspectiva. Modelos e frameworks sobre a gestão desses ativos estão com grande força no mercado, como o exemplo das normas ISO 27001, 27701, 31000 e 31700. Imagino que a razão disso se dá pela necessidade de ajustar-se a um padrão e tirar a subjetividade do processo de adequação.
O quê, por consequência, ajuda e muito no accountability da empresa (art. 6º, X da LGPD que descreve o princípio da responsabilização e prestação de contas).
O cerne da maioria desses frameworks está no mapeamento e gerenciamento de risco (calculado pela probabilidade x impacto), oportunidade em que há a identificação de ameaças, vulnerabilidades e ativos. Quando a companhia tem esse tipo de conhecimento poderá direcionar com mais assertividade as medidas a serem tomadas pela empresa.
Riscos e medidas
Pensando em tudo que conversamos até agora, qual a relação dos riscos e o fator humano?
De forma geral, quando falamos em tratamento de riscos, visualizamos quatro opções:
-
prevenir,
-
mitigar,
-
transferir, e
-
aceitar.
Agora vamos imaginar o seguinte elo: se eu tenho um risco, preciso pensar em uma medida para tratar esse risco. Realizar essa análise auxilia a organização a estabelecer prioridades e ter respaldo nos processos de tomada de decisão e prevenção de danos.
Podemos visualizar da seguinte forma:
Pensando na perspectiva proposta na nossa conversa e com o que está disposto na própria LGPD (art. 46), falar sobre segurança da informação e proteção de dados envolve dois fatores: medidas técnicas e administrativas.
Quanto às medidas técnicas, podemos vislumbrar softwares para monitoramento, varredura, controles e segurança, entre outros. Quanto às medidas administrativas, bem, aqui está a conexão com o ponto principal que mencionei acima: fator humano.
Dentre as várias medidas administrativas possíveis, é essencial fazer um trabalho acurado com a conscientização dos indivíduos daquele grupo. Aqui chegamos na cultura.
Disseminar a cultura e direcionar os indivíduos de uma organização é desafiador, e pode ser o fator decisivo para eliminar uma brecha de segurança e vazamento de dados.
Transformar a cultura de uma empresa pode ser traduzido em ações como:
-
Treinamentos de integração e reforço de conteúdo,
-
Informativos internos periódicos,
-
Palestras e bate-papos com a presença da alta direção em eventos sobre o assunto,
-
Divulgação e reforço das políticas que tratam destes temas, bem como previsão de ação em caso do seu descumprimento
-
Sinalização do setor que responde a essas questões para que a pessoa saiba quem procurar quando tiver dúvidas.
Enfim, as ações são múltiplas e a criatividade para chamar atenção ao tema é bem-vinda. Cada empresa ou organização avalia as melhores ferramentas de acordo com a sua realidade. No entanto, uma característica é fundamental: constância.
O dinamismo e complexidade desses temas exige a repetição constante do assunto. Sinalizar aos colaboradores sobre novas técnicas de engenharia social, reforçar a importância do bloqueio de tela, cuidados com a complexidade e não compartilhamento de credenciais e senhas, etc. – tudo faz parte da conscientização de todos dentro deste grupo.
Vale observar o veículo de comunicação e a linguagem escolhida. Informar, atualizar e reforçar são tarefas a serem desempenhadas com o cuidado sobre acessibilidade do conteúdo para cada categoria de setor.
Sobretudo, todos os indivíduos dentro da organização são peças importantes para a segurança da informação e proteção de dados.
Última característica que acredito ser fundamental: as diretrizes e regras valem para todos, e os líderes devem ser exemplos. Situações excepcionais deverão ter previsão específica. A partir do momento em que a cultura é fragmentada, ela perde sua força. Se vale para um, vale para todos – e o monitoramento deve refletir essa uniformidade.
A união faz a força e a segurança
Vivemos em coletividade, comunidades, círculos que se ligam por atividades e interesses diversos. O empoderamento dos colaboradores e titulares de direito como um todo traz diversos benefícios não só para a empresa, mas para a vida de cada um.
Vale dizer que em meio à criação de IAs e ferramentas modernas com autonomia surpreendente, o fator humano continua sendo o diferencial para a nossa evolução.
Todos estamos suscetíveis a fraudes e ataques no mundo digital. Unir-se e se informar é uma ordem necessária para difundir a cultura de proteção de dados e segurança da informação.
A lógica da “união faz a força e a segurança” está sendo adotada por países ao redor do mundo, unindo esforços para se manterem atualizados, compartilhando modelos e estratégias usados para combater os ataques no espaço cibernético e proteger os direitos dos indivíduos. O mesmo ideal pode ser integrado por todos nós, na nossa rotina de trabalho e na nossa vida pessoal.
Sobre o autor
Izabella de Rezende Zuccari, Advogada, DPO, CPC-A, Pós-graduanda em Direito Digital ITS-UERJ.
¹https://www.cisoadvisor.com.br/europa-aprova-criacao-de-lei-de-solidariedade-cibernetica/