Chris Wysopal, da Veracode, afirma que empresas precisam coletar apenas dados importantes para o negócio – e depois jogá-los fora
São Paulo – Chris Wysopal é cofundador e diretor de tecnologia da Veracode, fornecedora americana de serviços de proteção para aplicativos hospedados na nuvem. Com mais de 2.000 clientes no mundo, a empresa ajuda negócios a prevenir ataques de hackers realizados por meio de aplicações corporativas, que são vetores comuns de roubo de dados.
Para Wysopal, que participará do evento Mind The Sec 2019, maior conferência corporativa brasileira sobre segurança da informação, em 17 de setembro, os dados de usuários que são importantes para o negócio são aqueles coletados com finalidade específica. “Uma solução é tratar os dados pessoais como produtos tóxicos. Você precisará apenas coletar o que precisa, saber onde os dados estão e jogá-los fora quando não forem mais necessários”, afirma.
Chris Wysopal: A regulação tem potencial para oferecer uma vantagem competitiva para as empresas que conseguirem se adaptar bem a ela. Elas se aplicam a todos, inclusive para a sua concorrência. Se seu rival violar a legislação, os consumidores pensarão duas vezes antes de continuar a fazer negócios com companhias que quebraram sua confiança. Os negócios deveriam aceitar esse novo mundo de privacidade regulada como um ambiente para proteger seus usuários. Ao mesmo tempo, é preciso construir essa proteção de forma eficiente em seus processos internos.
O que realmente mudou desde que a lei geral de proteção de dados pessoas da União Europeia entrou em vigor, no ano passado?
Temos visto poucas ações de fiscalização, como a que multou a companhia aérea British Airways em 100 milhões de dólares por vazamento de dados pessoais. Mas essas ações já despertam os diretores de conselhos administrativos de empresas para a importância do tema. Com isso, eles procuram saber se as empresas estão realmente gerenciando de forma adequada a proteção de dados de clientes.
Quais são as medidas mais importantes que as empresas precisam tomar para estar conformidade com as leis de privacidade?
Elas precisam entender tudo sobre quais dados de usuários estão coletando, o motivo pelo qual os coletam e deixar isso claro para seus clientes.
Qual sua opinião sobre a abordagem brasileira à regulamentação de proteção de dados pessoais?
Além de garantir os direitos de privacidade individual, a legislação brasileira visa estimular o desenvolvimento da economia e dos negócios com base nas melhores práticas internacionais. A lei representa uma grande vantagem competitiva e vai gerar oportunidades para as empresas brasileiras.
O Brasil está à frente de outros países na proteção de dados pessoais? Por que você acredita nisso?
O Brasil teve um enorme avanço, e se tornou parte do rol dos países que possuem uma legislação de proteção de dados com a aprovação da Lei Geral de Proteção de Dados Pessoais (Lei n° 13.709). Porém, existe um longo desafio pela frente. A legislação afetará a todos, não só para empresas e governo, mas para a sociedade como um todo.
Com todas essas regulações internacionais de privacidade, as empresas globais ainda poderão melhorar seus serviços e criar novos produtos com base em dados de usuários?
Sim, com certeza. Mas só se houver uma boa razão para a coleta de informações para melhorar seus serviços e criar novos produtos com eles. As empresas precisam seguir as leis de consentimento do cliente. Elas também devem investir em segurança para poder proteger os dados que estão sob sua posse. Os pontos-chave para isso são boa tecnologia de criptografia, com bom gerenciamento das chaves de decodificação. Desse modo, é possível proteger e apagar dados quando não forem mais necessários. Uma solução é tratar os dados pessoais como produtos tóxicos. Você precisará apenas coletar o que precisa, saber onde os dados estão e jogá-los fora quando não forem mais necessários. Um conceito importante é gerenciar o risco da cadeia de fornecedores. As empresas devem garantir que o compartilhamento de dados de usuários com terceiros não ofereça risco.
Com a legislação europeia, e abordagens similares, a segurança da informação chega a um novo patamar de importância?
Não é possível proteger dados apenas com a criptografia. Para que ela seja útil, empresas e pessoas precisam entender que a visualização não codificada dos dados coloca as pessoas em risco. Você precisa ter segurança da informação para proteger os dados quando uma pessoa ou aplicação estiver lidando com elas. É preciso se proteger contra técnicas de engenharia social para roubo de dados e proteger suas aplicações, tanto sites quanto apps para celular, da ação de hackers. Você também precisa de uma cadeia de fornecedores segura, com possibilidade de veto para manter a privacidade dos dados dos seus clientes como sua empresa manteria.
Posts recentes