Afirmação é do presidente do Serpro, Gileno Barreto, que fala sobre Lei Geral de Proteção de Dados no contexto da Administração Pública durante o Conip Judiciário.
O presidente do Serpro, Gileno Barreto, foi um dos palestrantes do 16º Congresso de Inovação no Poder Judiciário e Controle (Conip), evento online de tecnologia da informação e comunicação voltado para o Poder Judiciário e órgãos de controle, que acontece até esta sexta-feira, dia 3 de setembro.
A participação do presidente do Serpro ocorreu no primeiro dia do evento (1º). Em sua palestra, Gileno abordou um assunto de interesse de todos que precisam se adequar à Lei Geral de Proteção de Dados: LGPD e segurança no contexto da Administração Pública. Confira, na entrevista abaixo, um pouco do assunto abordado por Gileno.
1.Qual é a relação entre a segurança da informação e a Lei Geral de Proteção de Dados?
A segurança da informação é intrinsecamente relacionada à LGPD principalmente pela relação jurídica de causa e efeito. Uma falha de segurança pode, e normalmente resulta, em um incidente ou evento de vazamento de dados pessoais. Se isso acontecer, a falha de segurança poderá ser a variável mais significativa na fixação de uma multa pecuniária, ou na responsabilização do administrador ou do agente público.
Para além disso, a LGPD nos trouxe uma série de desafios muito significativos. Vimos ao longo desses últimos meses um aumento de ataques, uma série de desafios novos sendo impostos a todos os órgãos da Administração Pública dos três Poderes. Quando a LGPD torna o dado pessoal mais protegido, obviamente, ele cresce de valor, lei da oferta e da demanda. Era algo mais ou menos previsto. O que se viu no mundo inteiro como um dos efeitos das leis de proteção de dados foi o aumento da quantidade dessas fraudes, uma proliferação desses perpetradores de fraudes que buscam dados para obter ganhos em mercados paralelos. Tivemos todos esses ataques em empresas privadas, mas também, cada dia mais, esses ataques estão sendo direcionados a órgãos da Administração Pública, e o Poder Judiciário não tem passado ao largo disso. É muito importante que tenhamos em mente que não é porque somos governo que não seremos alvo. Nesse mundo paralelo, governos são a manifestação física do “sistema”, por isso são sempre percebidos como inimigos.
Eu lembro que, em 2019, quando começamos a falar sobre LGPD, nas primeiras certificações, as pessoas buscando treinamento, sempre segurança era um dos capítulos. Porém, nos órgãos e nas empresas privadas, havia uma grande separação entre jurídico e TI, ou TI e segurança da informação. Muitas empresas ou aqueles órgãos mais maduros dispunham de equipes de segurança muito distantes da equipe tradicional de tecnologia da informação. Agora, tudo isso se reuniu num grande conjunto de um grande projeto, que deve ser integrado para que as diretrizes de adequação à LGPD não se esvaiam, digamos assim, pelo tempo e pelo espaço.
Resumindo, uma falha de segurança pode por investimentos milionários a serem perdidos em questão de minutos.
2.Qual deve ser o investimento em proteção de dados? De que forma as equipes devem trabalhar para garantir bons resultados?
Investir em segurança, privacidade e proteção de dados é um passo para garantir a integridade das operações e, atualmente, a perenidade do funcionamento dos órgãos e instituições. Sabemos que o Poder Judiciário tem um volume de processos muito grande. Todas as rotinas, atualmente, no Poder Judiciário, são executadas por meio do sistema de TI. Por isso, há necessidade desse grande investimento em proteção de dados pessoais e, também, em segurança da informação para que esses dados, sejam pessoais ou não pessoais, possam ser protegidos. Para se ter uma ideia, investimos aproximadamente R$ 30 milhões a cada ano nos últimos dois anos. É um investimento substancial e que requer um esforço de orçamento grande. Esse investimento muitas vezes é percebido pelos administradores como despesa, pois qual é o seu melhor resultado ? é o de que nada aconteça !! é o famoso “cano enterrado”, como saneamento básico por exemplo. Essa cultura tem que mudar na mentalidade dos gestores brasileiros, sob pena de vermos muitos prejuízos nos próximos anos, infelizmente irrecuperáveis em sua grande maioria.
A primeira recomendação é contar com a assessoria de quem tem experiência para compartilhar, compatível como a estrutura e a complexidade das suas operações. Para se ter uma ideia, em 2019 e 2020, no Serpro, foram realizadas 985 conformidades, 631 ações e foram classificados 2,5 milhões de dados. Além disso, capacitamos 6,7 mil pessoas, porque de nada adianta estarmos no estado da arte e as pessoas não terem treinamento sobre o que é um dado pessoal ou como ele deve ser tratado.
A segunda é que a alta administração esteja comprometida. Precisamos de líderes que entendam a sua importância e estejam comprometidos com a privacidade de dados e informação. Precisamos de treinamento de pessoas, pois são projetos complexos que exigem coordenação. Não são três ou quatro projetos isolados que vão nos fazer chegar ao fim da jornada. São necessários projetos coordenados com início, meio e fim. Cada projeto possui um diagnóstico, mapeamento, análise, planejamento, execução e acompanhamento. Além disso, temos que focar em entregas rápidas.
É necessário ainda um adequado raio X corporativo, olhar para toda a empresa, ter um plano de governança e assim por diante, ou seja, ter um mapeamento com registros de não conformidades e dos riscos corporativos de privacidade. Os órgãos da Administração Pública têm a sua política, mas é preciso implementá-la e, principalmente, acompanhá-la. Esse é um ciclo que se renova. Acompanhar, diagnosticar, voltar de novo, encontrar um problema, mapear, analisar, planejar, executar. Por isso, é preciso ter uma equipe dedicada e empoderada para tomar todas as ações, executar todas as medidas necessárias para que o objetivo final seja alcançado, estar em pleno acordo com a LGPD.
3.Como foi o processo de integração da segurança com a LGPD no Serpro?
A segurança era vista anteriormente como uma área especificamente voltada para os ativos de TI. Ampliamos seu âmbito de atuação para que se tornasse parte integrante de todo o ecossistema empresariam, compreendendo a proteção de dados pessoais. Quando falamos de segurança da informação, para ampliar o seu alcance, além de dinheiro, é necessário implementar uma série de camadas de proteção. Primeiro, é preciso ter campanhas de conscientização e controle de e-mails. Na Administração Pública, as pessoas têm uma caixa de e-mail pessoal, mas não sabem sobre phishing, por exemplo, que é usado para cometer as fraudes eletrônicas. Com um clique incorreto, um órgão inteiro pode cair. É preciso ter um centro de operações de segurança de última geração, equipado e com profissionais extremamente qualificados, para que possa monitorar etapas de ataque e para executar testes de invasão periódicos. Necessário que haja um controle de segurança em rede. Tem que haver, também, uma equipe de segurança que faça constantes análises de vulnerabilidades, atualizações de segurança, configurações adequadas de ambientes e, por fim, se tudo der errado, precisa ter uma política sólida de backup´s, que não são baratos. Nessa seara, o barato pode sair muito caro, é imprescindível backup´s de absolutamente tudo. Tivemos notícias recentes no mercado de verdadeiros apuros por falta de backup, que é algo falado em segurança desde 1995. Se houver algum problema na máquina, tem como recuperar e, acreditem se quiser, isso ainda é uma grande falha das instituições.
Todo esse ecossistema de segurança precisa ter tratamentos de incidentes, ser inteligente para descobrir as ameaças e fazer gestão de vulnerabilidades. É uma monitoração constante e tudo isso tem que estar integrado e ser feito de uma forma holística, digamos assim. As investigações avançadas requerem um grande conhecimento profissional. É preciso olhar para dentro do órgão, mas também para fora. Investigar quem está buscando invadir e ter salas de crise, porque, no momento em que surge, o tempo é crucial. Quando há um ataque, as equipes devem ser mobilizadas em minutos, porque, se houver um intervalo grande, os dados podem ser criptografados e sequestrados muito rapidamente. A equipe de segurança deve ter recursos e ser capaz de identificar perdas, vazamentos de dados pessoais e se o sistema ou ambiente foi ou será atacado.
Concluindo, a segurança da informação e a LGPD estão intrinsecamente conectadas. Uma não existe sem a outra, são interdependentes. Então, dediquem orçamento para ferramentas, pessoas, capacitação, treinamento aos seus times de segurança e aos seus times de LGPD para que eles possam, efetivamente, proteger a todos.
