Indefinições jurídicas e regulatórias sobre a “cloud” podem afastar empresas do Brasil

“O SaaS é uma realidade para as corporações, que não querem investir sem definições claras sobre as regras de soberania de dados”, adverte Cláudio Yamashita, diretor-geral na Intralinks no Brasil. Atualmente há propostas no Congresso que alteraram princípios do Marco Civil da Internet, além de projetos que implicariam regras que engessariam tanto os novos modelos tecnológicos quanto os novos modelos de negócios.

Yamashita lembra que empresas do segmento de saúde que armazenam cadastros de clientes, fornecedores com acesso a projetos industriais, empresas de capital aberto, escritórios de advocacia, além de organizações financeiras e de governo, são alguns dos setores sujeitos a diversas legislações e regulações sobre tratamento de informação e privacidade de dados. Ao mesmo tempo, a adoção de SaaS e outras modalidades de armazenamento em nuvem é uma tendência que se acentua. “Além das vantagens de agilidade e custo, normalmente as ofertas de SaaS incluem facilidades de compartilhamento e colaboração com alto nível de segurança, o que faz com que mais informações críticas circulem nessas plataformas”, observa o executivo.

Para entender como as corporações tratam a soberania de dados em suas contratações de SaaS, em junho deste ano a Intralinks encomendou um estudo à Forrester Consulting. Junto à filtragem de dados dos estudos Business Technographics Global Software Survey e Business Technographics Global Infrastructure Survey, foram entrevistados 150 altos executivos, responsáveis por assuntos jurídicos, conformidade e confidencialidade de dados, em grandes organizações nos EUA, China e Reino Unido.

Entre as propostas legislativas que afetam as questões de conformidade e soberania de dados, está em consulta pública o anteprojeto da Lei para a Proteção de Dados Pessoais. Um dos destaques do texto é definir uma cadeia de responsabilidade solidária, do diretor ao operador, com sanções em caso de negligência com o sigilo de “dados sensíveis”. Outro artigo propõe que “a transferência internacional de dados pessoais somente é permitida para países que proporcionem nível de proteção de dados pessoais equiparável ao desta lei”. Esse é um dos pontos mais criticados na consulta pública. Curiosamente, no estudo internacional da Intralinks, 58% dos altos executivos dizem discordar de regulações que obrigam a hospedagem em território nacional.

O executivo da Intralinks pondera que as companhias não se imobilizam totalmente pelas limitações e defasagens regulatórias. Por exemplo, na Alemanha a lei obriga que os dados de organizações de governo, inclusive em data centers terceirizados, residam em território nacional. No Brasil, vários provedores, ainda que vendam serviços hospedados no exterior, fazem investimentos em data centers locais, para atender a setores ou atividades em que os clientes queiram, ou sejam obrigados a impedir que qualquer dado saia do país. Ainda assim, Yamashita lembra que muitas companhias já não prescindem da economia de escala e das funcionalidades de serviços em nuvem, que já fazem parte da infraestrutura corporativa. “É preciso cuidado para que regras muito restritivas, sem considerar a dinâmica dos contextos, inviabilizem novos modelos de negócios, ou abortem ideias ainda por surgir”, recomenda.

Propostas legislativas sem a devida avaliação podem ainda comprometer o planejamento de governança de dados das organizações no Brasil. Na prática, pode haver situações, por exemplo, em que o data center tenha as certificações máximas de segurança, mas que o dispositivo de armazenamento esteja em uma jurisdição com leis mais agressivas de quebra de sigilo, o que comprometeria o contrato supostamente feito em conformidade à legislação do país de origem dos dados. No entanto, propostas como o Projeto de Lei 1589/2015 vão exatamente nesse sentido, de afrouxar os mecanismos de proteção de sigilo.

Ficar mal com cliente é maior preocupação. Embora 35% dos entrevistados do estudo internacional se digam preocupados com as legislações nacionais e regulações setoriais, há muita confusão sobre as regras e leis aplicáveis em cada situação. Curiosamente, entre os maiores temores mencionados está o desgaste da marca, destacado por 57%; a perda de confiança do cliente, 55%; seguidos de penalidades legais, 49%, e interrupção da operação, 39%.

Na amostragem, essa preocupação com a imagem no mercado é acentuada entre os chineses, que pensam a questão de conformidade da perspectiva do cliente, enquanto os americanos e ingleses olham mais pela perspectiva do negócio e da regulação, como avaliam os autores do relatório.

Falta de critérios na contratação de SaaS é outro ponto de risco. À medida que as áreas de negócios encontram suas soluções no mercado de SaaS, com relativa independência da área de TI, se constata, pela pesquisa, a suposição de que os dados estejam seguros. De fato, as grandes estruturas de nuvem têm recursos de disponibilidade e proteção de perímetro muitas vezes melhores do que nas instalações internas. Mas isso acaba fazendo com que os executivos não estudem o suficiente as leis sobre soberania de dados e a estratégia necessária para se adequar.

Marcos Assi, especialista em compliance, gestão de riscos, segurança da informação e sócio-diretor da Massi Consultoria e Treinamento, explica que “gestores e administradores têm medo de modelos como o SaaS e cloud por desconhecerem os processos. Em certos casos há até ausência de suporte de conformidade, pois muitos profissionais de conformidade desconhecem TI. De acordo com o IIA – International Internal Audit, funções de conformidade, segurança da informação, gestão de riscos e controles internos são a segunda linha de defesa do negócio. Mas se estas áreas desconhecem o processo, são incapazes de suportar o negócio”.

Não basta ter suporte regulatório, pondera Assi. “As empresas devem entender os processos de negócios e os produtos que implementam, pois a ignorância em TI causa muitos danos. Afinal, a TI é parte do negócio e, quando não se alinham custos, processos e segurança, dificilmente as empresas agregam valor ao negócio” conclui.

Abordagens para a soberania de dados

Há três abordagens básicas para soberania de dados: baseada na localização física; na localização lógica (onde o dado é controlado); ou em critérios legais (as regras da jurisdição onde os dados residem). Cada um desses métodos é preferido por 30% dos executivos de segurança, risco e conformidade. A falta de um conceito dominante de “melhores práticas”, conforme avaliam os analistas da Forrester, mostra que não há “bala de prata” para resolver a questão de soberania de dados. As organizações, portanto, tendem a combinar as diversas abordagens dentro de uma política que faça sentido aos riscos do negócio e às regras legais.

A opção por manter a custódia física dos dados é típica das maiores organizações da amostra, metade das quais com planos de investimentos em data center próprio. Embora essa abordagem, mais tradicional, tenha forte contrapartida em custos, o relatório lembra que disciplinas como DLP (prevenção a vazamento e perda) e classificação de dados, assim como sistemas de gerenciamento de chaves criptográficas, também exigem recursos das organizações.

Para as organizações que tratam a soberania de dados da perspectiva lógica, o ferramental de direitos de acesso, classificação, criptografia e gestão de chaves está no eixo das estratégias. A tokenização – que amarra o acesso e as transações a determinado contexto e mitiga o risco de uso indevido das chaves – é uma tecnologia de grande interesse entre esse grupo. A maioria planeja, a partir do avanço nessas disciplinas, refinar os SLAs (acordos de nível de serviço) com seus provedores, embora não descartem investimentos em data center próprio.

A abordagem de tratar a segurança do dado em si, independente de onde se hospede ou por onde circula, é bastante eficaz para resolver a questão da soberania, de forma abrangente. No entanto, os executivos que defendem essa estratégia reconhecem a necessidade de considerar os demais métodos.

Os executivos focados nas questões legais também têm grande interesse pelo ferramental de controle de acesso, DLP e criptografia, assim como procuram aperfeiçoar as modalidades de SLAs e contratos. Principalmente nos setores mais sujeitos a auditorias de conformidade, as organizações buscam essas tecnologias como formas de assegurar o cumprimento das políticas definidas na regulação (resoluções do Banco Central ou de agências reguladoras, por exemplo). No entanto, os executivos reconhecem ainda ter dificuldades com os métodos e tecnologias de controle de dados. O objetivo é deter uma gestão cada vez mais granular de cada informação, de forma que os acessos sejam controlados, e esse controle possa ser auditado, independentemente de onde ficam os dados.

No estudo da Intralinks, os analistas enfatizam que as certificações e contratos com fornecedores e provedores não eximem os executivos da responsabilidade em relação à soberania de dados. Eles apontam que é mais efetivo se ter uma política de dados para orientar a contratação de SaaS, em vez de ter que trabalhar em conformidade depois que as contratações já foram consumadas pelas áreas de negócios.

A soberania de dados, portanto, não é uma questão puramente tecnológica. Os executivos precisam conhecer os requisitos e as regras nos países ou jurisdições onde a organização opera, pensando nas necessidades legítimas de confidencialidade tanto do ponto de vista da companhia quanto de seus clientes.

O estudo conclui que os desafios relacionados à soberania de dados dificilmente se resolvem em um único projeto. As organizações terão que combinar diversas tecnologias, métodos e abordagens.

Fonte: Executivos Financeiros