Por que a cultura organizacional e a proteção de dados possuem um elo de ouro?

Leia nesta página:

“O maior desafio da evolução humana é cultural”. Essa frase de Samuel Huntington citada por Patricia Peck em seu livro sobre Direito Digital nos faz perceber como a cultura pode se encaixar em diversos cenários, incluindo os políticos, econômicos e organizacionais. Nesse contexto, é importante destacar a relevância do engajamento humano na segurança da informação (SI) e na proteção de dados.

Dentro de uma organização, a cultura desempenha um papel fundamental na orientação das condutas e negócios da empresa. A comunicação é um instrumento crucial nesse ambiente, e o comprometimento e apoio da alta direção em relação a determinados valores e diretrizes têm o poder de transformar o ambiente organizacional. Inclusive, este é um dos fatores dos programas de compliance e anticorrupção.

O recorte temático se dá em razão do encaixe dos assuntos: a SI proporciona meios e ferramentas para proteger os dados pessoais. Isso ocorre, por exemplo, quando um software de segurança como um antivírus evita acessos não autorizados ou situações acidentais. Assim, a tecnologia é, sem dúvidas, um fator de peso para proteção do ambiente físico e lógico. Porém, nada disso é viável sem o engajamento do fator humano. Afinal, onde não devemos clicar?

Com a vigência da Lei Geral de Proteção de Dados (LGPD), a estruturação da Autoridade Nacional de Proteção de Dados (ANPD) e o desenvolvimento exponencial das tecnologias, o panorama pós-pandemia nos impulsionou a olhar de forma compulsória para a segurança e privacidade. Segundo a Kaspersky, 21,4 mil casos de ransomware foram detectados entre janeiro e outubro de 2022.

Existem instrumentos que auxiliam a organização a estar em conformidade nesta perspectiva. Modelos e frameworks sobre a gestão desses ativos estão com grande força no mercado, como o exemplo das normas ISO 27001, 27701, 31000 e 31700. Adotar uma metodologia ou modelo auxilia a entrar em conformidade, pois ao ajustar-se a um padrão você retira a subjetividade do processo de adequação. Por consequência, isto ampara na prestação de contas da empresa, o que está previsto na LGPD, no art. 6º, X da LGPD que descreve o princípio da responsabilização.

O cerne da maioria desses frameworks está no mapeamento e gerenciamento de risco (calculado pela probabilidade x impacto), oportunidade em que há a identificação de ameaças, vulnerabilidades e ativos. Quando a companhia tem esse tipo de conhecimento poderá direcionar com mais assertividade as medidas a serem tomadas pela empresa.

Vale dizer que a própria LGPD traz uma abordagem baseada em riscos, evidenciando o caráter preventivo. É possível observar esta característica quando falamos nas atuações que ilustram o princípio da prevenção (art. 6º, VIII), como o Relatório de Impacto (art. 38), privacidade desde a concepção (art. 46, § 2º), adoção de boas práticas de modelos de gestão de riscos (art. 50), entre outros.

Considerando o teor da discussão até o momento, qual seria a correlação entre os riscos e o elemento humano? De forma geral, quando o tópico é tratamento de riscos, visualizamos quatro opções: prevenir, mitigar, transferir e aceitar.

Agora, consideremos o seguinte vínculo: quando uma organização se depara com um risco, é necessário que seja ponderada uma medida para o tratamento do referido risco. A realização dessa análise contribui para que a organização possa estabelecer suas prioridades e obter respaldo nos processos de tomada de decisão e prevenção de danos.

A ordem a ser observada é a seguinte: a partir de uma ameaça calcula-se o risco que será tratado por uma medida. Pensando na perspectiva proposta e com o que está disposto na própria LGPD (art. 46), falar sobre segurança da informação e proteção de dados envolve dois fatores: medidas técnicas e administrativas.

No que se refere às medidas técnicas, é possível identificar a existência de softwares que possibilitam o monitoramento, a varredura, o estabelecimento de controles e a segurança, dentre outras funcionalidades. Quanto às medidas administrativas, surge uma conexão com o ponto central mencionado anteriormente: o fator humano.

Entre as várias medidas administrativas que podem ser adotadas, é de suma importância realizar um trabalho acurado no sentido de conscientizar os indivíduos pertencentes a esse grupo. Nesse contexto, abordamos a questão da cultura organizacional.

Disseminar a cultura e direcionar os indivíduos de uma organização é desafiador, e pode ser o fator decisivo para eliminar uma brecha de segurança e vazamento de dados. Transformar a cultura de uma empresa pode ser traduzido em ações como: treinamentos de integração e reforço de conteúdo, informativos internos periódicos, palestras e bate-papos com a presença da alta direção em eventos sobre o assunto, divulgação e reforço das políticas que tratam destes temas, bem como previsão de ação em caso do seu descumprimento, e sinalização do setor que responde a essas questões para que a pessoa saiba quem procurar quando tiver dúvidas.

Enfim, as ações são múltiplas e a criatividade para chamar atenção ao tema é bem-vinda. Cada empresa ou organização avalia as melhores ferramentas de acordo com a sua realidade. No entanto, uma característica é fundamental: constância.

O dinamismo e complexidade desses temas exige a repetição constante do assunto. Sinalizar aos colaboradores sobre novas técnicas de engenharia social, reforçar a importância do bloqueio de tela, cuidados com a complexidade e não compartilhamento de credenciais e senhas, etc. – tudo faz parte da conscientização de todos dentro deste grupo.

Vale observar o veículo de comunicação e a linguagem escolhida. Informar, atualizar e reforçar são tarefas a serem desempenhadas com o cuidado sobre acessibilidade do conteúdo para cada categoria de setor. Sobretudo, todos os indivíduos dentro da organização são peças importantes para a segurança da informação e proteção de dados.

Uma última característica que é considerada fundamental reside na aplicabilidade geral das diretrizes e regras, bem como na necessidade de os líderes exercerem o papel de exemplos. É importante que situações excepcionais sejam previstas e contempladas com normas específicas. É válido ressaltar que, quando a cultura organizacional se fragmenta, ela perde sua efetividade. Portanto, se uma regra se aplica a um indivíduo, ela também se aplica a todos os demais, e o monitoramento deve refletir essa uniformidade.

Vive-se em uma realidade de convívio em coletividade, em comunidades e círculos que se conectam por meio de atividades e interesses diversos. O empoderamento dos colaboradores e titulares de direitos como um todo traz inúmeros benefícios não apenas para a empresa, mas também para a vida de cada um. Por essa razão é fundamental frisar: a união faz a força e a segurança.

Importante mencionar que, mesmo diante da criação de inteligências artificiais e ferramentas modernas com surpreendente autonomia, o fator humano continua sendo o elemento diferenciador para nossa evolução.

Todos estamos suscetíveis a fraudes e ataques no ambiente digital. A cooperação e a busca por informações tornam-se imperativas para disseminar a cultura de proteção de dados e segurança da informação.

No contexto da cooperação, em abril de 2023, foi divulgada a notícia sobre o projeto de lei da União Europeia intitulado "Lei de Solidariedade Cibernética da UE" (CSA). Com base no conteúdo publicado, o objetivo é estabelecer um compromisso de cooperação estruturada e reforçada entre os países envolvidos, devido à crescente preocupação com a atividade cibernética.

A lógica de "união faz a força e a segurança" está sendo adotada por países ao redor do mundo, que unem esforços para se manterem atualizados, compartilhando modelos e estratégias para combater os ataques no espaço cibernético e proteger os direitos individuais e coletivos. Esse mesmo ideal pode ser incorporado por todos nós, tanto em nossa rotina de trabalho quanto em nossa vida pessoal.

Sobre os autores
Izabella de Rezende Zuccari

Advogada e Data Protection Officer da Finch

Informações sobre o texto

Este texto foi publicado diretamente pelos autores. Sua divulgação não depende de prévia aprovação pelo conselho editorial do site. Quando selecionados, os textos são divulgados na Revista Jus Navigandi

Leia seus artigos favoritos sem distrações, em qualquer lugar e como quiser

Assine o JusPlus e tenha recursos exclusivos

  • Baixe arquivos PDF: imprima ou leia depois
  • Navegue sem anúncios: concentre-se mais
  • Esteja na frente: descubra novas ferramentas
Economize 17%
Logo JusPlus
JusPlus
de R$
29,50
por

R$ 2,95

No primeiro mês

Cobrança mensal, cancele quando quiser
Assinar
Já é assinante? Faça login
Publique seus artigos Compartilhe conhecimento e ganhe reconhecimento. É fácil e rápido!
Colabore
Publique seus artigos
Fique sempre informado! Seja o primeiro a receber nossas novidades exclusivas e recentes diretamente em sua caixa de entrada.
Publique seus artigos