A Luta Pela Privacidade e a Segurança das Informações No Ecossistema de TI 

 

Construindo uma Arquitetura Holística

Download Article

As empresas estão se transformando rapidamente e as tecnologias que evoluiram com base nas inovações acumuladas nos últimos 50 anos começam agora a gerar mudanças significativas na forma de gerenciar as informações. Embora essas inovações tecnológicas afirmam terem ajudado a promover uma enorme capacidade de capturar, analisar e disseminar informações, elas representaram um aumento associado em ameaças à privacidade das informações. Talvez em uma maior abrangência, as empresas de hoje enfrentam desafios substanciais na gestão da privacidade das informações devido às demandas apresentadas pela globalização, pelas tecnologias emergentes e pelo panorama regulamentar em modificação.

Diante dos fatos mencionados, fica mais categórico para uma empresa encontrar uma base firme para assegurar o melhor histórico de gestão de privacidade no mercado. O presente artigo propõe uma arquitetura holística de privacidade que fornece uma abordagem pragmática para a empresa gerenciar de modo eficiente e estar a par dos crescentes requisitos regulamentares e fiduciários.

O Panorama Regulamentar em Torno da Privacidade de Dados

A privacidade é essencial para alcançar a proteção ao consumidor. O enfoque na privacidade das informações está ganhando espaço no mundo devido à maior utilização de informações pessoais e confidenciais, à dependência interfuncional das informações pelas empresas e ao número crescente de violação de dados pela falta de controles adequados. Segundo um artigo especial na revista Forbes1, 11,2 milhões de pessoas foram vítimas de roubo de identidade ou de alguma fraude relacionada em 2009—a um custo estimado de US$ 54 bilhões. Bem-vindo ao mundo da informação, onde cada fragmento de dado tem um quociente financeiro associado, que é o que motiva os intrusos.

O panorama regulamentar no mundo prescreve e proscreve medidas para proteger a privacidade das informações a fim de confrontar as ameaças emergentes. A figura 1 apresenta uma lista de regulamentações nas regiões do mundo (não inclui todas necessariamente). Entretanto, as normas nem sempre são semelhantes e foram decretadas em relação aos fatores culturais, sociológicos e da ameaça à privacidade inata de uma região. Embora essas regulamentações tenham tido um papel primordial na modernização do sistema de conformidade de TI, elas tornam a conformidade complexa em razão da globalização. A globalização traz novos desafios para a informação, que é exposta a vários requisitos regulamentares durante a travessia de fronteiras.

Figura 1

A Proposta de Valor em Instituir Uma Arquitetura Holística de Privacidade

O conjunto diversificado de regulamentações e sua falta de homogeneidade entre regiões podem tornar difícil, se não impossível, para uma empresa instituir um programa eficiente de conformidade quanto à privacidade de informações.

Além disso, a maioria dessas regulamentações são voltadas para o passado e foram promulgadas como resposta a eventos históricos.2 É necessário reconhecer o fato de que, à medida que a dinâmica do mercado muda, os riscos tecnológicos, legais e reputacionais podem se manifestar de novas formas ou em magnitudes desconhecidas, o que exigiria uma transformação das normas regulamentares.

A importância de manter um mecanismo de gestão de privacidade de TI viável, dinâmico e progressivo não é questionada pelas empresas. Contudo, as abordagens tradicionais e uma mentalidade de conformidade fragmentada não podem absorver os riscos à privacidade indefinidamente ou serem escaláveis o suficiente para lidar com os crescentes requisitos regulamentares. Um modelo de negócios proativo abarcaria um planejamento que reconhece a função crucial que a privacidade da informação tem sobre a realização bem-sucedida dos objetivos de negócios e se transformaria em uma arquitetura holística de gestão de privacidade.

Camadas da Arquitetura Holística de Privacidade

A arquitetura holística de privacidade tem como objetivo promover uma cultura forte de privacidade da informação dentro da instituição ao reforçar a disciplina de governança corporativa com uma arquitetura em camadas. As camadas básicas da arquitetura são a camada de processos de negócios, a camada de estratégia e governança e a camada operacional. A camada operacional agrega, por sua vez, uma estrutura em três camadas: a camada de processos, a camada de controle e a camada de componentes. A figura 2 ilustra a arquitetura de privacidade aplicado ao modelo financeiro de negócios. Cada camada dentro da arquitetura está ajustada a capacidades específicas atribuídas para assegurar que o sistema como um todo seja suficiente para sustentar um planejamento de privacidade corporativo bem-sucedido. Além disso, o modelo é bem posicionado para permanecer agressivo e escalável ao panorama regulamentar expansivo.

Figura 2

Camada de processos de negócios
Os processos de negócios são um conjunto de tarefas e atividades coordenadas executadas por pessoas e tecnologias para realizar um serviço corporativo. Do ponto de vista da produtividade da empresa, o portfólio de serviços e os compromissos de receita da entidade derivam de inovações coletivas na camada de processos de negócios. Além disso, os processos e práticas de negócios são precisamente o ponto focal na definição de um plano de negócios para o fluxo de informações (coleta de dados, armazenamento de dados, manuseio de dados, compartilhamento de dados e destruição de dados) dentro de uma organização. Em outras palavras, a camada de processos de negócios define o plano de negócios para a coleta de informações. À medida que aumentam as chances de usar dados pessoais nos negócios, as empresas devem analisar a adequação dos controles subjacentes para gerenciar a crescente exposição ao risco e atingir o equilíbrio correto entre fornecer os serviços que os clientes desejam e a privacidade que eles esperam.

Camada de estratégia e governança
A estratégia de privacidade de TI determina o tom e a direção para o programa de privacidade, seu comprometimento com a privacidade da informação e a atitude geral em relação às normas de proteção de dados. A camada identifica os objetivos de governança e as obrigações da empresa com a privacidade e continuamente monitora sua adequação à luz da exposição ao risco inerente ao negócio e decorrente de iniciativas estratégicas corporativas, reorganizações ou alterações de processo.

A governança de privacidade caracteriza um equilíbrio contemplado entre a responsabilidade e a independência nas funções para estabelecer limites claros de autoridade, poderes restritos e controles apropriados que conduzam às práticas legais, regulamentares e setoriais na gestão de informações como um ativo da empresa. A governança de privacidade envolve vários participantes, cada um com responsabilidades específicas atribuídas, para garantir que o sistema, como um todo, seja suficiente para sustentar a estratégia de privacidade e para assegurar a eficiência do controle interno. Os participantes principais incluem, mas não se limitam a:

  • Custodiante dos dados, que é responsável pela custódia segura dos dados e executa controle sobre as definições de dados para assegurar que estejam em conformidade com definições consistentes durante o ciclo de vida (coleta, armazenamento, manuseio, compartilhamento e destruição). O custodiante dos dados aplica regras corporativas sobre informações, valida a segurança das informações, aprova solicitações de acesso e mantém os grupos de acesso atualizados.
  • Responsável pelos dados, que é encarregado de assegurar que os elementos de dados dentro da organização estejam íntegros quanto à precisão, totalidade e consistência. O responsável pelos dados realiza a validação e monitoração dos dados (desde a entrada até a transformação e consumo dos dados) e é, portanto, responsável pela qualidade dos dados.
  • Administrador dos dados, que é responsável por executar políticas e procedimentos, como backup de dados, criação de versões dos dados, upload e download, administração de banco de dados e configuração prática dos dados.

Camada operacional
A camada operacional é considerada o mecanismo que coloca um sistema de privacidade bem-sucedido em funcionamento. As práticas operacionais dinâmicas são a primeira e mais forte linha de defesa de qualquer cenário de violação de informações. A camada operacional contém três subcamadas integradas — as camadas de processo, controle e componente — que se complementam e reforçam mutuamente para alcançar os objetivos de privacidade da empresa. A figura 3 define os elementos da camada operacional e sua integração aos processos de negócios.

Figura 3

Camada de processos
A camada de processos estabelece processos definidos para uma empresa gerenciar a privacidade como um serviço. Dessa forma, a camada combina as principais práticas da gestão de serviços (como aquelas descritas no COBIT, ITIL e ISO 27001) como um meio de determinar o modelo de serviço para a privacidade de informações. A crença aqui é que as empresas escolhem os processos que melhor se adaptam às suas estratégias individuais:

  • Gestão de incidentes—O processo de gestão de incidentes oferece um mecanismo consistente para a gestão de incidentes de privacidade em conformidade com os requisitos regulamentares e fiduciários. O processo de gestão de incidentes integra funções, como detecção de incidentes de privacidade, análise, coordenação da resposta apropriada ao incidente, escalonamento, comunicação e notificação, contenção do evento, análise da causa, investigação forense, retenção e arquivamento de registros e encerramento do incidente. Há sempre uma integração estabelecida entre as camadas de processos e de controle, por meio de “handshakes” mútuos, que é exclusiva da arquitetura holística de privacidade. Para ilustrar, os controles de gestão de incidentes sustentam os elementos de processo, através dos quais a camada de processos estabelece os fluxos de processo e a camada de controle define os elementos de obrigação estatutária, como cronogramas de resposta e os requisitos de notificação associados específicos à região, para responder a uma violação de dados ou a um incidente de privacidade.
  • Gestão de mudanças—À medida que as práticas e os produtos corporativos se transformam (novos serviços, declínio de produtos, alteração, etc.), potencialmente acionam uma alteração associada ao fluxo subjacente de informações. Nessas ocasiões, os riscos podem se manifestar de novas maneiras e em magnitudes não reconhecidas anteriormente, com o potencial de criar consequências extremamente negativas para as informações cruciais e confidenciais. Seria imprudente não haver controles e estratégias de mitigação adequados planejados e estabelecidos antes de instituir tais alterações ao ambiente operacional. Como uma prática principal, a empresa deve reavaliar os riscos relacionados aos seus processos de negócios convencionais e transformacionais usando processos de gestão de mudanças formais.
  • Gestão de recursos—Aplicar melhores práticas de gestão de recursos aumenta a eficácia do serviço e simplifica a governança de informações.3 Os ativos que não foram desenvolvidos para trabalharem com os padrões e níveis de resistência desejados representam uma ameaça significativa às informações mantidas pela organização. Os ativos que hospedam informações pessoais e/ou confidenciais devem ser validados com base em arquiteturas e requisitos de capacidade por meio de processos de gestão de recursos.
  • Gestão de segurança de informações—A gestão de segurança de informações estabelece práticas definidas para traduzir a estratégia de governança de informações de uma organização em temas e iniciativas de proteção de informações operacionalmente viáveis. A postura de segurança de informações de uma empresa demonstra sua estratégia em relação à prevenção de quebras de segurança e proteção da privacidade de seus usuários. A gestão eficiente de riscos à segurança de informações requer uma abordagem global na empresa para verificar os riscos associados às informações manuseadas (isto é, coletadas, armazenadas, usadas, transmitidas, descartadas) pela organização como um meio razoável de equilibrar as expectativas legítimas de privacidade de informações com os níveis de segurança correspondentes. Tendo como ponto de vista a proposta de valor, o grau do impacto negativo que pode resultar de uma grave violação de privacidade coloca em destaque o valor da gestão de segurança de informações.
  • Gestão de projetos—A gestão de projetos harmoniza a adaptação e a disseminação dos processos e controles de gestão de privacidade a uma variedade mais ampla de iniciativas de negócios contínuas e propostas. O processo cumpre sua obrigação de supervisionar e monitorar a confiabilidade e a coerência das práticas de gestão de privacidade ao estabelecer um escritório de gestão de projetos de privacidade. O escritório de gestão de projetos de privacidade supervisiona a conformidade das iniciativas corporativas que manuseiam informações pessoais/confidenciais, monitorando se os parâmetros do projeto atendem às metas de privacidade e definindo controles de privacidade dominantes com o exame imediato dos riscos.
  • Gestão de fornecedores—A terceirização se transformou no passar dos anos e agora inclui o provisionamento de serviços baseados em utilitários, serviços gerenciados, multisourcing, centros de desenvolvimento globais, terceirização convencional, computação em nuvem e muito mais. Do ponto de vista da privacidade, os projetos gerenciados por fornecedores terceirizados representam desafios em potencial, como suposição de responsabilidades de gestão de informações fora do controle da organização de origem. O potencial para responsabilidade legal que possa comprometer a dinâmica da organização de origem e seu histórico de privacidade quanto a violações exige um mecanismo de controle de privacidade robusto para os fornecedores terceirizados. Os elementos essenciais a um planejamento de terceirização global lícito (normas corporativas, contratos entre várias partes, monitoração e garantia do fornecedor, etc.) devem ser assegurados durante o estabelecimento do relacionamento com o fornecedor.

Camada de controle
A camada de controle protege os melhores interesses de longo prazo do programa de privacidade ao estabelecer controles para lidar com os pontos fracos e promover a conformidade com as leis e práticas do setor, portfólios de governança e estratégias de gestão de riscos. Os principais elementos da camada de controle incluem:

  • Gestão de riscos—A gestão dos riscos de TI começam com a condução de uma avaliação de impacto de privacidade para identificar as possíveis concentrações de exposições, com a estratificação do portfólio de serviços da empresa em segmentos com características de riscos em comum. O elemento crítico de sucesso na realização de uma prática rigorosa de gestão de riscos de privacidade é reexaminar os pactos de exposição ao ambiente interno e externo com respeito ao nível e à natureza das informações manuseadas pela empresa.
  • Conformidade—Tão importante quanto o controle sobre a identificação e a gestão dos riscos é um modelo (framework) de controle interno robusto que permita às organizações manter conformidade com todas as leis e regulamentos aplicáveis.
  • Auditoria e garantia—Uma prática de privacidade rígida perde o sentido se não for seguida rigorosamente. A função de auditoria e garantia é responsável por revisar a eficiência do programa de privacidade e, dessa forma, assegurar que os componentes de processo e controle da arquitetura de privacidade permaneçam intactos.

Camada de componentes
A camada de componentes explora formas inovadoras e eficazes de usar a tecnologia da melhor forma para sustentar funções de gestão de dados e privacidade e implementa uma infraestrutura que possa identificar, monitorar e controlar de maneira eficiente os riscos de conformidade. Obviamente, a infraestrutura deve ser proporcional à natureza do perfil de riscos da organização.

A camada tem o foco no oferecimento de abordagens mais eficientes para aperfeiçoar as práticas de gestão de dados identificando soluções que sejam fáceis de usar e tenham boa relação custo-benefício, além de serem suficientemente robustas para agregar e analisar dados durante seu ciclo de vida:

  • Solução de criptografia oferece proteção a informações confidenciais contra perda e comprometimento não intencional ou deliberado por meio de um processo no qual os dados são convertidos em um formato ilegível. A solução aplica controles de segurança aos dados em movimento e/ou aos dados em repouso com base na dinâmica corporativa e na complexidade operacional da empresa.
  • Solução de prevenção contra vazamento de dados aplica parâmetros de proteção contra vazamento nos dados em repouso e em trânsito de acordo com a estratégia de privacidade corporativa, pela identificação de pontos críticos do fluxo de informações confidenciais na empresa.
  • Solução de linhagem de dados cria uma linhagem de dados completa ao deduzir a cadeia de relacionamentos origem-destino, estabelecendo, dessa forma, associações de gestão e rastreamento de dados na origem (de onde vêm, para onde fluem e como são transformados durante o trânsito dentro da empresa).
  • Solução de monitoração de atividades de banco de dados impede atividades não autorizadas por possíveis hackers, pessoal interno privilegiado e usuários finais usando controles baseados em políticas e técnicas de detecção de anomalias.

Exemplo de Arquitetura

A figura 4 ilustra o processo de notificação de quebra de incidente usando a arquitetura de privacidade. O valor, conforme discutido nesse artigo, é que a arquitetura fornece um mecanismo confiável, robusto, organizado e escalável para gerenciar um programa de privacidade global na empresa. Conforme os fatores de risco associados se acumulam e os conjuntos de normas regulamentares se aprofundam, o arquétipo pode suportar adições e alterações nas camadas respectivas sem distorcer o sistema como um todo.

Figura 4

Conclusão

As forças de mercado agregam demanda e adicionam perspectivas para explorar vias que contrabalancem os riscos à privacidade das informações. A exposição de informações confidenciais e pessoais e as crescentes ameaças à segurança das informações revelam que a privacidade da informação é uma grande preocupação em todas as linhas de negócios.

Essas preocupações com a privacidade dos dados renovaram a determinação de empresas em todas as regiões e iniciaram um amplo consenso entre os participantes do mercado a favor do estabelecimento de um programa de gestão de privacidade robusto. No entanto, as empresas devem reconhecer que as abordagens fragmentadas tradicionais em busca de solucionar essas questões, apesar de bem intencionadas, podem ser redundantes, menos produtivas e menos capazes de cumprir a promessa da gestão de privacidade no longo prazo. Reforçando a necessidade de haver objetivos de privacidade robustos, a arquitetura de privacidade proposta enfoca em um paradigma de gestão de privacidade holístico e promove o aprimoramento contínuo ao ser flexível aos avanços futuros criados pelas práticas e regulamentos mais importantes.

Referências

  • American Institute of Certified Public Accountants (AICPA), Generally Accepted Privacy Principles (GAPP), EUA, 2010
  • Diretiva 95/46/EC da União Europeia, do Parlamento Europeu e do Conselho de 24 de outubro de 1995 relativa à “proteção das pessoas no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados”, http://eur-lex.europa.eu/smartapi/cgi/sga_doc?smartapi!celexplus!prod!DocNumber&lg=en&type_doc=Directive&an_doc=1995&nu_doc=46
  • International Organization for Standardization (ISO) e International Electrotechnical Commission (IEC), ISO/IEC 27002:2005, Information technology—Security techniques—Code of practice for information security management, Suíça, 2005
  • IT Governance Institute, COBIT® 4.1, EUA, 2007
  • National Institute of Standards and Technology (NIST), Special Publication (SP) 800-30, Risk Management Guide for Information Technology Systems, EUA, 2002
  • NIST, SP 800-122, Guide to Protecting the Confidentiality of Personally Identifiable Information (PII), EUA, 2010
  • Office of Government Commerce (OGC), ITIL Version 3, RU, 2007
  • Organization for Economic Co-operation and Development (OECD), OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, França, 1980

Notas Finais

1 Greenberg, Andy; “ID Theft: Don’t Take It Personally,” Forbes, 10 de fevereiro de 2010, www.forbes.com/2010/02/09/banks-consumers-fraud-technology-security-id-theft.html
2 Greenspan, Alan; “Bank Regulation”, Declarações do presidente da Reserva Federal dos Estados Unidos Alan Greenspan antes da Independent Community Bankers of America National Convention, 11 de março de 2005,
www.federalreserve.gov/boarddocs/speeches/2005/20050311
3 Office of Government Commerce (OGC), “Service Transition,” ITIL Version 3, RU, 2007

Sudhakar Sathiyamurthy, CISA, CIPP, ITIL, MCSE
trabalha para o grupo Enterprise Risk Services da divisão de conselho de uma empresa Big Four. As áreas de especialização de Sathiyamurthy incluem consultoria estratégica sobre governança de TI, gestão de serviços de TI, transformação de processos de TI, consolidação de TI, gestão de riscos de TI e serviços de segurança e privacidade de TI. É possível entrar em contato com Sathiyamurthy em sudhakarsathiyam@gmail.com.