Falamos com Fátima Gonçalves, diretora de novos negócios da Trimble, que iniciou seu processo de adequação há 2 anos
A Trimble é uma empresa americana conhecida por suas aplicações na área de Sistemas GPS fabricando receptores, telêmetros à laser, veículos aéreos não tripulados e muito mais. Para além disso, a companhia controla outras empresas em áreas como agricultura, construção de infraestrutura, engenharia, transporte&logística e muito mais, com uma receita anual superior a US$ 2 bilhões.
Devido a sua ampla abrangência, com escritórios em mais de 35 países, a empresa vêm se preparando para a GDPR, lei Europeia de proteção de dados, há 2 anos, e aprendeu um punhado de experiências neste tempo. Para entender este processo e buscar o que pode ser útil dela para as empresas brasileiras em momento de LGPD, conversamos com Fátima Gonçalves, diretora de novos negócios da Trimble.
Digital Security: Sendo uma fabricante de soluções de tecnologia, especialmente geolocalização, o que está dentro do escopo de dados pessoais que precisam ser protegidos pela empresa?
Fátima Gonçalves: As soluções da Trimble vão muito além da geolocalização, fornecemos soluções compostas por hardware, software e serviços para os segmentos de Agricultura, Transportes e Logística, Geoespacial e Construção de Infraestrutura e Edificações. Assim, desde nossas origens em 1978, desenvolvemos soluções que aumentam a segurança dos profissionais que trabalham nesses segmentos, além de auxiliar nossos clientes a mitigar riscos, reduzir desperdícios e aumentar a produtividade.
Um ponto importante a ser ressaltado é que desenvolver soluções seguras começa por entender contra quais ameaças essas soluções precisam ser protegidas. Sem a compreensão adequada das ameaças, os controles de segurança podem ser ineficientes ou até agravantes. Por essa razão, além do departamento responsável pela proteção de dados na Trimble, cada divisão conta com especialistas no segmento de atuação com longa experiência na compreensão das ameaças. Vou usar como exemplo uma das divisões, que tem princípios fundamentais que guiam o desenvolvimento dos Serviços Online Tekla, que é um conjunto de soluções em software para projetos de infraestrutura e edificações.
Em qualquer segmento, é necessário coletar dados pessoais para a realização de negócios e, no caso dos Serviços Online Tekla, isso ocorre também para a prestação do referido serviço.
Atualmente, a Regra Europeia de Proteção de Dados (GDPR) é a mais rígida, e a implementação na Trimble iniciou-se há dois anos.
De acordo com o GDPR, qualquer dado que possa identificar uma pessoa física, de maneira isolada, ou em conjunto com outras (como por exemplo um endereço de email) precisa ser protegida.
Sem a compreensão adequada das ameaças, os controles de segurança podem ser ineficientes ou até agravantes
Digital Security: Qual deve ser o perfil de um DPO (Data Protection Officer ou Encarregado de Proteção de Dados) em uma empresa de tecnologia?
Fátima Gonçalves: Tendo em vista que a corrida entre a evolução dos sistemas de proteção de dados e a evolução das ameaças é uma disputa acirrada, o perfil do Data Protection Officer deve levar em consideração o segmento tecnológico em que a empresa atua, já que as ameaças virão de pontos distintos e de maneiras diferentes.
Enquanto restringir o envio e recebimento de arquivos ou links em segmentos críticos, como defesa e bancário, é encarado como natural, isso inviabiliza o processo em outros segmentos, como o da construção, onde os stakeholders estão em empresas distintas e enviar e receber arquivos e links é parte do processo diário de trabalho.
Digital Security: Qual é o primeiro passo para que as empresas comecem a se adequar a uma legislação de proteção de dados? Por onde a Trimble começou?
Fátima Gonçalves: O primeiro passo, após a compreensão inicial do GDPR, foi fazer um levantamento de quais sistemas armazenavam dados de clientes e verificar a aderência às regras de segurança e manutenção dos dados pelo período necessário para realização de negócios e prestação dos serviços até a destruição segura, quando os dados não forem mais necessários.
O passo seguinte foi criar um treinamento específico, obrigatório para todos os funcionários, e repetido periodicamente, sobre como identificar e proteger dados que possam identificar pessoas, sobre as regras de compartilhamento somente com pessoas autorizadas. Regras estritamente necessárias para realização do negócio e/ou prestação do serviço, bem como uso dos dados exclusivamente para o objetivo pelo qual eles foram fornecidos.
Processos e organizações relacionadas à proteção de dados e privacidade seguem as melhores práticas da ISO 27001
Digital Security: Quais mudanças ocorreram na cultura organizacional e no dia-a-dia da Trimble para atender essa legislação?
Fátima Gonçalves: O primeiro impacto foi certificar-se que a compreensão do GDPR estava correta, e como a Trimble já operava de maneira muito próxima ao que o GDPR exige, as alterações foram mais relacionadas a reforçar processos de comunicação com clientes, destacando a opção de deixar de receber comunicações de marketing.
Outro impacto foi acrescentar o treinamento sobre Segurança de Dados Pessoais de Clientes aos já existentes: Segurança de Informação que nosso TI nos proporciona, bem como o de Condução de Negócios com Ética.
Digital Security: Quais são as tecnologias e metodologias de proteção de dados que a Trimble recomenda para esse mercado de segurança?
Fátima Gonçalves: Todos os serviços Tekla Online usam HTTPS / TLS para assegurar os dados dos clientes quando eles transitam pela internet. Isso é especialmente crítico em serviços por onde transitam projetos/modelos e outros dados criados por nossos clientes.
Processos e organizações relacionadas à proteção de dados e privacidade seguem as melhores práticas da ISO 27001. Somado a isso, muitos requerimentos de segurança estão alinhados ao padrão da indústria, como por exemplo BSIMM (Building Security in Maturity Model) e OWASP ASVS (Application Security Verification Standard).
Para garantia de alta disponibilidade e escalabilidade, muitos dos Serviços Online Tekla são hospedados em Data Centers de Classe Mundial, com redundância geográfica.
Mesmo depois de garantir que todas as aplicações foram desenvolvidas de acordo com as melhores práticas da indústria e por profissionais altamente qualificados, submetemos os Serviços Online Tekla a auditorias de segurança realizadas por entidades certificadoras reconhecidas, como por exemplo a Cert. Essas auditorias são realizadas com os padrões e frameworks OWASP Foundation ASVS 3.0 e o OWASP Top 10 ou ainda o OWASP Mobile Top 10. Todos os pontos levantados são ranqueados de acordo com o método CVSS (Common Vulnerability Scoring System).
Além disso, seguimos as melhores práticas de planejamento de tratamento de incidentes, que incluem responsabilidades e todos os passos para investigar e mitigar problemas, além de um completo planejamento de recuperação de desastres e continuidade dos serviços em nível aceitável.
Todos os contratos com fornecedores da Trimble que têm acesso a dados de clientes fora da União Europeia, incluem os Anexos de Processamento de Dados e as Cláusulas Contratuais Padrão de Comissão Europeia, que definem requerimentos relacionados à segurança, privacidade, confidencialidade e uso de quaisquer materiais que o fornecedor possa ter acesso. Todos os fornecedores estão submetidos aos mesmos padrões que os funcionários da Trimble. Em adição, somente pessoas específicas, dos fornecedores, estão autorizadas a trabalhar nos projetos Trimble.
Comentários fechados.