|
Além dos ataques cibernéticos, muito já se falou sobre os riscos relacionados ao uso de dispositivos e aplicações pessoais (webmail, disco virtual, comunicadores, etc…) no ambiente de trabalho. O Software como Serviço (SaaS), todavia, tem outras características. Normalmente se deve a iniciativas departamentais, quando especialistas em negócios procuram e acham as soluções mais adequadas, de forma independente à área de TI. Outra diferença é que não se trata de uma mudança superficial, como trocar o PC pelo tablet ou smartphone. O SaaS é uma mudança radical na forma com que as áreas de negócios adquirem serviços de TI, geralmente com vantagens em prazos e custos. E os riscos também se aprofundam. Por exemplo, não se trata mais apenas dos e-mails ou anotações de um gerente de conta, que poderiam estar vulneráveis em seu celular ou na web; no SaaS todas as informações de todos os clientes podem estar armazenadas e contingenciadas “em algum lugar”. A questão da soberania de dados pode ser vista por três perspectivas: preservação do negócio; conformidade regulatória; e risco legal/financeiro. É interessante observar que em muitas fusões e aquisições a base de informações sobre os clientes vale mais do que a própria carteira de clientes. Os riscos de vazamento de dados financeiros ou informações cadastrais já ficaram óbvios, seja pelos escândalos e prejuízos em corporações mundiais de varejo (Target, Sony etc.) ou pelo tráfico de números de cartão ou informações pessoais. Enquanto a conformidade regulatória costuma ter padrões globais de tecnologia e melhores práticas, as legislações sobre proteção a confidencialidade, direitos de acesso e reconhecimento de contratos privados variam e estão em diferentes estágios. Em casos como o Brasil, a própria lei ainda não está ajustada, como se vê pelas propostas de alteração do Marco Civil da Internet, além de outros projetos em andamento, como a Lei de Proteção a Dados Pessoais. Mesmo em regiões com leis mais consolidadas, ainda leva algum tempo para o acúmulo de decisões judiciais. Para entender como as corporações tratam a soberania de dados em suas contratações de SaaS, em junho deste ano a Intralinks encomendou um estudo à Forrester Consulting, que investigou o entendimento e as intenções de 150 altos executivos dos EUA, Reino Unido e China. A maioria, naquele momento, já estava bastante atenta à questão. Outra boa notícia é a maturidade das tecnologias como DLP (prevenção a vazamento) ou criptografia. A contrapartida é que, assim como o SaaS dá relativa independência das áreas de negócios à TI, esse “paralelismo” entre os departamentos e a organização pode ser um acumulador de riscos. Ou seja, contratações feitas sem considerar as legislações de soberania de dados, por mais sentido que façam do ponto de vista operacional, podem implicar em exclusão de clientes, inviabilização de modelos de negócios e até mesmo encerramento de operações locais. Conforme o tipo de cliente, as organizações de TI precisam combinar diferentes abordagens de soberania de dados. O enfoque mais “duro” é referente à localização física do armazenamento. Algumas leis relativamente antigas, como do governo alemão, obrigam os provedores a manter os dados em território nacional. Agora, vemos também, na União Europeia, interpretações mais rígidas sobre limites para “transferências internacionais de dados”, assim como nas propostas legislativas no Brasil. O efeito dessas leis se relaciona mais com a jurisdição; qual o poder da autoridade local sobre as bases de dados, do que com a confidencialidade em si, endereçada com meios tecnológicos e métodos mais eficazes nesse quesito. O estudo da Forrester constatou ainda que a soberania de dados em SaaS não é uma questão puramente tecnológica, nem se resolve com uma “bala de prata”. Acrescentaria que outra conclusão é que não há respostas absolutas. Em alguns casos um simples enxugamento do escopo das bases de dados já mitiga riscos – por exemplo, a pizzaria precisa de nome, telefone e no máximo um “big data” gastronômico, mas não do CPF, que expõe muito e pouco agrega. Contudo, há tarefas bem mais desafiantes em classificação de dados, políticas de acesso e gerenciamento de segurança e conformidade. Para complicar ainda mais a vida dos gestores, ao mesmo tempo em que têm que lidar com a proteção de dados, precisam trabalhar com o conceito de “dado aberto”. Junto às leis e regulamentos que exigem a exposição de determinadas informações, como as regulações para companhias abertas ou a Lei de Acesso à Informação, no setor público, o “dado aberto” é o insumo dos sistemas de transparência e de big data. Tomando um exemplo na área de saúde, é evidente que a identidade de pacientes com determinadas patologias e submetidos a determinados tratamentos deve ser protegida. Mas é razoável que os contribuintes vejam os gastos com os medicamentos, assim como os gestores de saúde precisam de informações estatísticas. No SaaS, a camada mais alta do modelo de computação em nuvem, se tem as vantagens da terceirização de infraestrutura, software básico, desenvolvimento, manutenção e até mesmo suporte. O que jamais se terceiriza é a responsabilidade institucional e legal sobre os dados. Mesmo conscientes da importância da conformidade às regras de soberania de dados, já há uma agenda retroativa em relação ao SaaS. Como tarefa imediata, os executivos reconhecem que precisam rever os termos de uso, contratos, certificações e políticas dos serviços que já estão rodando. O estudo mostrou que poucos ainda definiram estratégias proativas para disciplinar os grandes poderes e grandes responsabilidades dos contratantes de SaaS. O caminho é longo e é bom começar logo. |
Os desafios da soberania de dados na contratação de soluções SaaS
467
