Campos adicionais para transações já garantidas, exigências fora de contexto e outras entropias no desenho de processos complicam escopo e desfocam segurança e compliance

Conhecemos alguns profissionais estrangeiros que passam boa parte do ano trabalhando e consumindo no Brasil.  Nesses casos, quem consegue sair do loop de CPF como “campo obrigatório” aproveita o cartão internacional desses consumidores para faturar, sem nenhum risco ou contrapartida. É claro que, para os brasileiros, o CPF é praticamente tão público quanto o nome. A questão exemplificada aqui é que o desenho e a generalização de alguns processos, em que os cuidados em determinado contexto contaminam as tarefas de baixo risco, levam a ineficiências acentuadas neste momento, por vários motivos.

Na última conferência de segurança do Gartner, , Felix Gaehtgens, diretor de pesquisa, enfatizou que a simples pergunta “o que se vai fazer com o dado?”, cuja resposta passa a ser obrigatória, imediata e irreversível, já encoraja simplificações no que coletar e proteger. “Dados desnecessários coletados funcionam como lixo tóxico, que provoca um sério problema para o descarte no mundo. As leis de proteção de dados determinam um cuidado maior das corporações na coleta e no tratamento dessas informações, já qualquer expectativa de uso comercial terá de ser revista. Os processos certamente vão mudar “, afirma o especialista.

Um exemplo prático ajuda a ver como as leis de proteção e uma maior conscientização sobre o valor dos dados podem ser um caminho para ao mesmo tempo facilitar o dia a dia e estruturar as estratégias de dados dos negócios:  diante de um consumidor imediatista em uma loja física, que compra à vista ou com cartão, não parece razoável abrir um formulário com campos que só fazem sentido para análise de crédito ou CRM. Para essa oportunidade, é cumprir o PCI e “aquele abraço”. Nos demais casos, a conta também fica mais fácil. Por exemplo, se o comercial e o marketing têm táticas sustentadas em rastreamento de consumo é mais claro associar os riscos e as práticas de proteção desses dados às expectativas de resultados com big data e analytics. Até para deixar de gastar com DLP e criptografia de dado que não rende dinheiro. E do ponto de vista comercial e de marketing, os princípios de “consentimento” e “finalidade” impostos pela legislação para coleta de dados tem um lado bom – o cliente que cede conscientemente suas informações pessoais é exatamente o que apresenta maior propensão a confiança, interesse e conversão.

Além da atenção aos incidentes públicos de vazamento de dados privados, a geração de consumidores digitais, embora pareça mais disposta a se expor, tem uma nova percepção de risco. Por exemplo, uma loja passou a ver evasão consumidores na hora de escanear documentos para inscrição em um programa de fidelidade. O incômodo passou a ocorrer quando o mesmo público-alvo teve a experiência com os bancos digitais, em que se abrem contas e se emitem cartões com essas imagens . Alheio a sutilezas de autenticação e outros detalhes técnicos, o consumidor, por analogia, percebia essa exposição como excessiva e a empresa perdia cliente por conta da mão pesada de um gestor de fraudes em processos de baixo risco.

O conceito de Proteção Adaptativa ao Risco tecnicamente se define, por três capacidades: acompanhar todo o ciclo dos dados críticos; contextualizar as interações e entender as intenções;  e acionar dinamicamente as respostas. Essa abordagem, de fato, dá viabilidade e confiança à cibersegurança. E impedem que as políticas se degradem – até em casos simples, em que por não entender por que determinado usuário copia esse ou aquele dado, se bloqueia ou se libera a permissão a todos. A cada dia, desenvolvemos tecnologia e funcionalidades para riscos cada vez mais complexos. Contudo, como parceiros de cibersegurança, não temos o interesse de simplesmente ficar empilhando mais e mais produtos de proteção. Não seria um negócio sustentável. Em vez disso, procuramos ajudar o “dono do risco” a entender quais são, onde estão, quem e por que mexe nos dados sob sua responsabilidade.

A Lei de Proteção a Dados Pessoais e as cifras de prejuízo dos escândalos de vazamento de dados implicam escolhas que vão além da SI e da própria TI. O papel dos especialistas é expor claramente os requisitos para cumprir segurança e compliance nos processos que envolvem coleta e custódia de dados. Em alguns casos, se ter a informação dá mais desgaste que dinheiro, é melhor esquecer e focar em proteger o que é realmente importante.

LEAVE A REPLY

Please enter your comment!
Please enter your name here