Por que a cultura organizacional e a proteção de dados possuem um elo de ouro

 

“O maior desafio da evolução humana é cultural”. Essa frase foi dita por Samuel Huntington e citada em um livro da Patricia Peck, em um trecho no qual comenta sobre a evolução do Direito Digital. Parei para pensar sobre como isso faz sentido e pode se encaixar em vários cenários políticos, econômicos e organizacionais.

A partir dessa reflexão, nasce esse pequeno texto com enfoque sobre o engajamento do fator humano na segurança da informação e proteção de dados. Para isso, passaremos por temas como compliance, frameworks, risco e, logicamente, pessoas.

 

Vamos imaginar a realidade de uma empresa

 

Dentro de uma organização, a parte cultural é fundamental para nortear condutas e os negócios da empresa. Por essa razão, a comunicação é um instrumento de tanta importância nesse ambiente. O comprometimento e apoio da alta direção com determinados valores e diretrizes têm a capacidade de transformar o ambiente organizacional. Inclusive, este é um dos fatores dos programas de compliance e anticorrupção. Mas o foco aqui é outro.

A perspectiva aqui abordada é a relação de uma empresa com os temas de Segurança da Informação (SI) e Proteção de Dados. Acredito que a tecnologia é, sem dúvidas, um fator de peso para proteção do ambiente físico e lógico. Porém, nada disso é viável sem o engajamento do fator humano. Afinal, onde não devemos clicar?

 

Com a vigência da LGPD, estruturação da ANPD (Autoridade Nacional de Proteção de Dados) e o desenvolvimento exponencial das tecnologias, o panorama pós-pandemia nos impulsionou a olhar de forma compulsória para a segurança e privacidade.

Temos alguns instrumentos que auxiliam uma organização a estar em conformidade nesta perspectiva. Modelos e frameworks sobre a gestão desses ativos estão com grande força no mercado, como o exemplo das normas ISO 27001, 27701, 31000 e 31700. Imagino que a razão disso se dá pela necessidade de ajustar-se a um padrão e tirar a subjetividade do processo de adequação.

O quê, por consequência, ajuda e muito no accountability da empresa (art. 6º, X da LGPD que descreve o princípio da responsabilização e prestação de contas).

O cerne da maioria desses frameworks está no mapeamento e gerenciamento de risco (calculado pela probabilidade x impacto), oportunidade em que há a identificação de ameaças, vulnerabilidades e ativos. Quando a companhia tem esse tipo de conhecimento poderá direcionar com mais assertividade as medidas a serem tomadas pela empresa.

 

Riscos e medidas

 

Pensando em tudo que conversamos até agora, qual a relação dos riscos e o fator humano?

De forma geral, quando falamos em tratamento de riscos, visualizamos quatro opções:

• prevenir,

• mitigar,

• transferir, e

• aceitar.

 

Agora vamos imaginar o seguinte elo: se eu tenho um risco, preciso pensar em uma medida para tratar esse risco. Realizar essa análise auxilia a organização a estabelecer prioridades e ter respaldo nos processos de tomada de decisão e prevenção de danos.

Podemos visualizar da seguinte forma:

Pensando na perspectiva proposta na nossa conversa e com o que está disposto na própria LGPD (art. 46), falar sobre segurança da informação e proteção de dados envolve dois fatores: medidas técnicas e administrativas.

Quanto às medidas técnicas, podemos vislumbrar softwares para monitoramento, varredura, controles e segurança, entre outros. Quanto às medidas administrativas, bem, aqui está a conexão com o ponto principal que mencionei acima: fator humano.

Dentre as várias medidas administrativas possíveis, é essencial fazer um trabalho acurado com a conscientização dos indivíduos daquele grupo. Aqui chegamos na cultura.

Disseminar a cultura e direcionar os indivíduos de uma organização é desafiador, e pode ser o fator decisivo para eliminar uma brecha de segurança e vazamento de dados.

Transformar a cultura de uma empresa pode ser traduzido em ações como:

• Treinamentos de integração e reforço de conteúdo,

• Informativos internos periódicos,

• Palestras e bate-papos com a presença da alta direção em eventos sobre o assunto,

• Divulgação e reforço das políticas que tratam destes temas, bem como previsão de ação em caso do seu descumprimento

• Sinalização do setor que responde a essas questões para que a pessoa saiba quem procurar quando tiver dúvidas.

Enfim, as ações são múltiplas e a criatividade para chamar atenção ao tema é bem-vinda. Cada empresa ou organização avalia as melhores ferramentas de acordo com a sua realidade. No entanto, uma característica é fundamental: constância.

O dinamismo e complexidade desses temas exige a repetição constante do assunto. Sinalizar aos colaboradores sobre novas técnicas de engenharia social, reforçar a importância do bloqueio de tela, cuidados com a complexidade e não compartilhamento de credenciais e senhas, etc. – tudo faz parte da conscientização de todos dentro deste grupo.

Vale observar o veículo de comunicação e a linguagem escolhida. Informar, atualizar e reforçar são tarefas a serem desempenhadas com o cuidado sobre acessibilidade do conteúdo para cada categoria de setor.

Sobretudo, todos os indivíduos dentro da organização são peças importantes para a segurança da informação e proteção de dados.

Última característica que acredito ser fundamental: as diretrizes e regras valem para todos, e os líderes devem ser exemplos. Situações excepcionais deverão ter previsão específica. A partir do momento em que a cultura é fragmentada, ela perde sua força. Se vale para um, vale para todos – e o monitoramento deve refletir essa uniformidade.

 

A união faz a força e a segurança

 

Vivemos em coletividade, comunidades, círculos que se ligam por atividades e interesses diversos. O empoderamento dos colaboradores e titulares de direito como um todo traz diversos benefícios não só para a empresa, mas para a vida de cada um.

Vale dizer que em meio à criação de IAs e ferramentas modernas com autonomia surpreendente, o fator humano continua sendo o diferencial para a nossa evolução.

Todos estamos suscetíveis a fraudes e ataques no mundo digital. Unir-se e se informar é uma ordem necessária para difundir a cultura de proteção de dados e segurança da informação.

  

 

A lógica da “união faz a força e a segurança” está sendo adotada por países ao redor do mundo, unindo esforços para se manterem atualizados, compartilhando modelos e estratégias usados para combater os ataques no espaço cibernético e proteger os direitos dos indivíduos. O mesmo ideal pode ser integrado por todos nós, na nossa rotina de trabalho e na nossa vida pessoal.

 

Izabella de Rezende Zuccari, Advogada, DPO, CPC-A, Pós-graduanda em Direito Digital ITS-UERJ.

 

¹https://www.cisoadvisor.com.br/europa-aprova-criacao-de-lei-de-solidariedade-cibernetica/