Por Pedro Luiz Meireles

É através de um novo paradigma cultural que o professor do Departamento de Informática (DI) Anderson Oliveira da Silva pretende nortear seu trabalho à frente da recém-criada Comissão de Segurança da Informação, Segurança Cibernética e Proteção da Privacidade da PUC-Rio. Com três décadas de trajetória profissional, o professor Anderson alia sua experiência de mercado à prática acadêmica. Ele será o responsável por elaborar diretrizes e ações que buscam não apenas tratar e avaliar os riscos digitais, mas também promover soluções tecnológicas eficazes e engajar toda a comunidade PUC em prol da proteção de dados.

Formado engenheiro de Computação, mestre e doutor em Ciências em Informática, pelo DI, Anderson é professor de cursos de pós-graduação lato sensu e de graduação, com destaque para a especialização em Redes de Computadores, em Segurança da Informação e Comunicações, e a graduação em Ciência da Computação. Na pós-graduação, capacitou profissionais das principais operadoras de telecomunicação do Brasil. É coordenador do curso de pós-graduação lato sensu em Compliance de Cibersegurança do portfólio PUC-Rio Digital. E é, há quase 17 anos, docente do curso de aperfeiçoamento de oficiais da Marinha do Brasil, no qual leciona as disciplinas de fundamentos de segurança da informação e gestão de segurança da informação.

A criação da comissão reflete a crescente preocupação das instituições de ensino superior com a integridade e privacidade dos dados acadêmicos, administrativos e pessoais. Ao reunir sólida formação acadêmica, experiência técnica como consultor e profunda vivência na Universidade, Anderson tem a missão de integrar tecnologia, governança e responsabilidade no enfrentamento dos desafios da era digital.

Qual é o papel de um gestor da informação?
O papel é, basicamente, liderar a implantação do programa de proteção da informação na organização, ou seja, avaliar riscos, criar diretrizes e implementar controles que consigam reduzir esses riscos a níveis aceitáveis. No fundo, o que vai fazer a diferença são as primeiras soluções tecnológicas adotadas para aumentar o nível de segurança e, principalmente, o engajamento de todas as pessoas da organização. Não adianta ter diretrizes, normas, regulamentos, soluções tecnológicas, se não houver o engajamento das pessoas. Costumo dizer que a segurança da informação é responsabilidade de todos. E nosso objetivo é conseguir mudar costumes. Conseguir fazer com que as pessoas que estão lá na ponta tenham o cuidado necessário com os ativos de informação da Universidade.

Como é o processo de segurança da informação?
O primeiro ponto é fazer a análise de riscos, que começa com a identificação das fraquezas, das possíveis ameaças. Precisamos fazer isso para cada um dos sistemas utilizados na organização. Depois, pensamos nos impactos desses riscos, que podem ser baixos, médios ou altos. Níveis de risco alto e médio são aqueles que a organização ataca. E como ela enfrenta? Fazendo o tratamento do risco. Nessa etapa, se chegarmos à conclusão de que o risco é alto demais, paramos de oferecer o sistema ou tentamos mitigar o problema com controles de segurança que vão reduzir a probabilidade da ameaça a um nível aceitável. E aquilo que for risco baixo é o chamado risco residual. Não existe segurança absoluta. Segurança é algo que você persegue, mas tem que parar em um certo ponto, porque não podemos engessar muito a organização, senão fica difícil ter acesso à informação e fazer o trabalho do dia a dia, o que gera perda de produtividade. Em qualquer ambiente existe algum grau de risco.

Importante ressaltar que é um trabalho contínuo e constante. Os sistemas mudam. Temos que estar sempre reavaliando os riscos para ver a necessidade de fazer ajustes nos controles. A ideia é atuar antes de aparecer o problema.

Quais são os primeiros passos para implementar a política de segurança da informação na Universidade e como ela deve tratar os diferentes tipos de dados, incluindo os dados pessoais?
O primeiro passo é elaborar essa política. É ela que vai dar as diretrizes, aquilo que a Universidade espera em relação à segurança da informação. Depois, a gente precisa de uma política de gestão de informação. Vamos criar categorias de informação, que serão disseminadas a todos os colaboradores, para que conheçam o tratamento aceitável de cada uma, e os cuidados que se deve ter diante de uma informação de determinada categoria. Normalmente, divide-se as informações em quatro categorias: confidenciais, reservadas, públicas e as de identificação pessoal. A política corporativa global vai incluir toda a análise de risco, não apenas das informações corporativas, mas também das informações de identificação pessoal.

Está claro que é preciso a atenção de todos com a segurança da informação. Mas como engajar as pessoas?
O engajamento acontece quando a pessoa que está na ponta entende a necessidade do controle, e isso acontece quando mostramos o risco de comprometimento daquele ativo de informação. Ou seja, o engajamento vem quando fica patente a necessidade de cuidar da informação, um ativo importante que requer uma atenção especial.

Qual foi o impacto da Lei Geral de Proteção dos Dados Pessoais, a LGPD, no modo como as empresas e instituições tratam a segurança da informação e a privacidade de dados?
Acredito que o advento da LGPD – Lei elaborada para regular o tratamento de dados pessoais, dos consumidores e cidadãos, por parte das empresas e instituições – trouxe interesse para o tema e gerou responsabilidade. Muitas coisas eram informais, do ponto de vista de segurança dos dados. Com a Lei, o que era opcional nos sistemas acabou se tornando obrigatório. Quando não cuidamos adequadamente das informações pessoais, corremos o risco de violação de dados – um problema grave. Pela nossa LGPD, por exemplo, dados pessoais sensíveis são dados de saúde, dados biométricos, entre outros. E tudo isso, essa compreensão, fez com que a sociedade começasse a amadurecer, no sentido de buscar mais segurança da informação, mais privacidade de dados, incorporando esses valores nos projetos de sistema.