Artigo - Por que a cultura organizacional e a proteção de dados possuem um elo de ouro?

"O maior desafio da evolução humana é cultural". Essa frase de Samuel Huntington citada por Patricia Peck em seu livro sobre Direito Digital nos faz perceber como a cultura pode se encaixar em diversos cenários, incluindo os políticos, econômicos e organizacionais. Nesse contexto, é importante destacar a relevância do engajamento humano na segurança da informação (SI) e na proteção de dados.

Dentro de uma organização, a cultura desempenha um papel fundamental na orientação das condutas e negócios da empresa. A comunicação é um instrumento crucial nesse ambiente, e o comprometimento e apoio da alta direção em relação a determinados valores e diretrizes têm o poder de transformar o ambiente organizacional. Inclusive, este é um dos fatores dos programas de compliance e anticorrupção.

O recorte temático se dá em razão do encaixe dos assuntos: a SI proporciona meios e ferramentas para proteger os dados pessoais. Isso ocorre, por exemplo, quando um software de segurança como um antivírus evita acessos não autorizados ou situações acidentais. Assim, a tecnologia é, sem dúvidas, um fator de peso para proteção do ambiente físico e lógico. Porém, nada disso é viável sem o engajamento do fator humano. Afinal, onde não devemos clicar?

Com a vigência da Lei Geral de Proteção de Dados (LGPD), a estruturação da Autoridade Nacional de Proteção de Dados (ANPD) e o desenvolvimento exponencial das tecnologias, o panorama pós-pandemia nos impulsionou a olhar de forma compulsória para a segurança e privacidade. Segundo a Kaspersky, 21,4 mil casos de ransomware foram detectados entre janeiro e outubro de 2022.

Existem instrumentos que auxiliam a organização a estar em conformidade nesta perspectiva. Modelos e frameworks sobre a gestão desses ativos estão com grande força no mercado, como o exemplo das normas ISO 27001, 27701, 31000 e 31700. Adotar uma metodologia ou modelo auxilia a entrar em conformidade, pois ao ajustar-se a um padrão você retira a subjetividade do processo de adequação.  Por consequência, isto ampara na prestação de contas da empresa, o que está previsto na LGPD, no art. 6º, X da LGPD que descreve o princípio da responsabilização.

O cerne da maioria desses frameworks está no mapeamento e gerenciamento de risco (calculado pela probabilidade x impacto), oportunidade em que há a identificação de ameaças, vulnerabilidades e ativos. Quando a companhia tem esse tipo de conhecimento poderá direcionar com mais assertividade as medidas a serem tomadas pela empresa.

Vale dizer que a própria LGPD traz uma abordagem baseada em riscos, evidenciando o caráter preventivo. É possível observar esta característica quando falamos nas atuações que ilustram o princípio da prevenção (art. 6º, VIII), como o Relatório de Impacto (art. 38), privacidade desde a concepção (art. 46, § 2º), adoção de boas práticas de modelos de gestão de riscos (art. 50), entre outros.

Considerando o teor da discussão até o momento, qual seria a correlação entre os riscos e o elemento humano? De forma geral, quando o tópico é tratamento de riscos, visualizamos quatro opções: prevenir, mitigar, transferir e aceitar.

Agora, consideremos o seguinte vínculo: quando uma organização se depara com um risco, é necessário que seja ponderada uma medida para o tratamento do referido risco. A realização dessa análise contribui para que a organização possa estabelecer suas prioridades e obter respaldo nos processos de tomada de decisão e prevenção de danos.
A ordem a ser observada é a seguinte: a partir de uma ameaça calcula-se o risco que será tratado por uma medida. Pensando na perspectiva proposta e com o que está disposto na própria LGPD (art. 46), falar sobre segurança da informação e proteção de dados envolve dois fatores: medidas técnicas e administrativas.

No que se refere às medidas técnicas, é possível identificar a existência de softwares que possibilitam o monitoramento, a varredura, o estabelecimento de controles e a segurança, dentre outras funcionalidades. Quanto às medidas administrativas, surge uma conexão com o ponto central mencionado anteriormente: o fator humano.

Entre as várias medidas administrativas que podem ser adotadas, é de suma importância realizar um trabalho acurado no sentido de conscientizar os indivíduos pertencentes a esse grupo. Nesse contexto, abordamos a questão da cultura organizacional.

Disseminar a cultura e direcionar os indivíduos de uma organização é desafiador, e pode ser o fator decisivo para eliminar uma brecha de segurança e vazamento de dados. Transformar a cultura de uma empresa pode ser traduzido em ações como: treinamentos de integração e reforço de conteúdo, informativos internos periódicos, palestras e bate-papos com a presença da alta direção em eventos sobre o assunto, divulgação e reforço das políticas que tratam destes temas, bem como previsão de ação em caso do seu descumprimento, e sinalização do setor que responde a essas questões para que a pessoa saiba quem procurar quando tiver dúvidas.

Enfim, as ações são múltiplas e a criatividade para chamar atenção ao tema é bem-vinda. Cada empresa ou organização avalia as melhores ferramentas de acordo com a sua realidade. No entanto, uma característica é fundamental: constância.

O dinamismo e complexidade desses temas exige a repetição constante do assunto. Sinalizar aos colaboradores sobre novas técnicas de engenharia social, reforçar a importância do bloqueio de tela, cuidados com a complexidade e não compartilhamento de credenciais e senhas, etc. – tudo faz parte da conscientização de todos dentro deste grupo.

Vale observar o veículo de comunicação e a linguagem escolhida. Informar, atualizar e reforçar são tarefas a serem desempenhadas com o cuidado sobre acessibilidade do conteúdo para cada categoria de setor. Sobretudo, todos os indivíduos dentro da organização são peças importantes para a segurança da informação e proteção de dados.

Uma última característica que é considerada fundamental reside na aplicabilidade geral das diretrizes e regras, bem como na necessidade de os líderes exercerem o papel de exemplos. É importante que situações excepcionais sejam previstas e contempladas com normas específicas. É válido ressaltar que, quando a cultura organizacional se fragmenta, ela perde sua efetividade. Portanto, se uma regra se aplica a um indivíduo, ela também se aplica a todos os demais, e o monitoramento deve refletir essa uniformidade.

Vive-se em uma realidade de convívio em coletividade, em comunidades e círculos que se conectam por meio de atividades e interesses diversos. O empoderamento dos colaboradores e titulares de direitos como um todo traz inúmeros benefícios não apenas para a empresa, mas também para a vida de cada um. Por essa razão é fundamental frisar: a união faz a força e a segurança.

Importante mencionar que, mesmo diante da criação de inteligências artificiais e ferramentas modernas com surpreendente autonomia, o fator humano continua sendo o elemento diferenciador para nossa evolução.

Todos estamos suscetíveis a fraudes e ataques no ambiente digital. A cooperação e a busca por informações tornam-se imperativas para disseminar a cultura de proteção de dados e segurança da informação.

No contexto da cooperação, em abril de 2023, foi divulgada a notícia sobre o projeto de lei da União Europeia intitulado "Lei de Solidariedade Cibernética da UE" (CSA). Com base no conteúdo publicado, o objetivo é estabelecer um compromisso de cooperação estruturada e reforçada entre os países envolvidos, devido à crescente preocupação com a atividade cibernética.

A lógica de "união faz a força e a segurança" está sendo adotada por países ao redor do mundo, que unem esforços para se manterem atualizados, compartilhando modelos e estratégias para combater os ataques no espaço cibernético e proteger os direitos individuais e coletivos. Esse mesmo ideal pode ser incorporado por todos nós, tanto em nossa rotina de trabalho quanto em nossa vida pessoal.

Izabella de Rezende Zuccari é advogada e Data Protection Officer da Finch.