Recentemente, vimos notícias sobre ataques hackers na Itália que acabaram, também, impactando outros países ao redor do mundo. A categoria das agressões foi de ransomware, que causa o bloqueio de grandes quantidades de dados da vítima, que é coagida a pagar resgate para obtê-los de volta.

Esses ataques causaram bloqueio de sistemas e dificuldades de conectividade para os cidadãos daquele país.

Com a crescente onda de ataques desse tipo, a preocupação com segurança da informação, políticas que considerem a privacidade são cada vez mais importantes, pois acabam complementando as variáveis de todas as frentes de cyber security.

Por que analistas de dados precisam se preocupar com isso?

Quando falo de políticas, não se tratam somente de manuais, mas de processos que possam ajudar a garantir a segurança de organizações, bem como a privacidade dos usuários no tratamento dos dados. Isso é importante, pois, segundo a LGPD (Lei Geral de Proteção de Dados), por exemplo, o analista é um agente que participa do tratamento dos dados, sendo assim, conhecer e respeitar políticas e regras de governança pode garantir a legalidade do seu trabalho, bem como aumentar o nível de segurança.

Políticas de governança de dados

Toda empresa precisa praticar o exercício de autoridade e controle de seus dados. O que significa isso? Significa que ela tem em suas mãos todas as decisões importantes, além da plena administração dos dados.

É necessário haver um planejamento que mostre as condições de tratamento, monitoramento e deveres dos responsáveis que estarão diretamente ligados a esse trabalho.

As políticas de governança de dados não implementam as normativas, mas dizem quais delas precisam existir, bem como quem são os responsáveis. Por exemplo, políticas de: segurança; cookies; privacidade; entre outras.

A governança de dados visa a fazer, também, a aplicação regulatória. Isso, na prática, seria a busca de órgãos reguladores e suas regras para o entendimento das normas legais a fim de tratar os dados e, ainda, para determinadas aplicações que a organização irá realizar.

Também é responsável por encomendar projetos na área de inteligência e segurança da organização.

A organização possui seus indicadores de governança que visam a mostrar a evolução dos pilares de sustentação desse setor, para que o diretor de dados (Chief Data Officer — CDO) possa tomar decisões estratégicas junto ao conselho de administração da empresa.

Geralmente, através dessas políticas de governança, há também a requisição de estudos e análises para o analista de dados.

Políticas de privacidade

Criar políticas de privacidade é muito importante atualmente, principalmente com leis, como a brasileira LGPD, ou a GDPR, da Europa, entre outras. Se você vai manipular dados em algum país, é preciso saber quais são as leis locais. Essas leis surgiram para controlar a utilização de dados por parte das empresas. Ocorre que até pouco tempo atrás (e isso ainda acontece no Brasil), organizações faziam a requisição de dados das pessoas sem nenhum critério. Qualquer cadastro pedia informações, além daquelas necessárias para o cumprimento da função.

Para mim, a grande pergunta, sempre que uma empresa vai requisitar um dado, é: o que ela irá fazer com essa informação? Ela é necessária? Hoje, com as leis de privacidade, ter dados em demasia pode ser um “tiro no pé”, pois com as leis de privacidade, toda informação requerida precisa ser justificada e consentida pelo usuário.

Além disso, é importante entender que, se eu tenho dados a mais do que preciso, além de um custo maior para tratá-los e armazená-los, caso exista um incidente, é mais informação que pode ser furtada. Por isso, é importante ter somente as informações necessárias para o tratamento de dados, que justifiquem a sua posse na empresa.

O analista ou cientista de dados precisa avaliar os dados que irá utilizar para seus estudos, de modo que não inflija políticas de privacidade. Precisa analisar se os dados que está tratando são de caráter pessoal, se houve consentimento em sua captação, legítimo interesse, entre outros fatores.

Políticas de segurança

Talvez, sejam, dentre todas, as políticas mais discutidas, contudo, ainda é possível encontrar muitas empresas que tratam esse assunto sem a devida atenção, o que é um grande risco atualmente. Faça uma pesquisa por “incidente de segurança” no Google News e veja a quantidade de notícias recentes de ataques e vazamento de dados.

Hoje, os dados são o alvo principal de criminosos, para que possam passar golpes em pessoas físicas, envolvendo phishing (técnica de fraude eletrônica), roubo, entre outras categorias.

Se a governança de dados diz que é necessário manter um documento, uma equipe e uma cultura de políticas de segurança, essa última irá implantar na prática: softwares, processos e procedimentos; para garantir que uma organização, caso venha a sofrer um ataque, esteja pronta para tomar as medidas e contramedidas de defesa necessárias para a continuidade do negócio.

Certamente, boa parte do investimento em segurança de uma empresa vai para softwares de segurança, mas comento, em várias oportunidades, sobre a importância de uma cultura que seja implantada em cada indivíduo, de modo que cada um se torne um agente de segurança.

O cientista de dados precisa estar ciente dos cuidados ao manipular grandes quantidades de dados. Garantir que seu computador esteja seguro, que a rede que está usando é segura, que possui credenciais de uso único e intransferível. Muitos roubos de dados podem acontecer no momento de sua manipulação, dessa forma, todo cuidado é pouco.

Políticas de cookies

Muitos dos dados captados de usuários, através de sites e redes sociais, são de cookies. Eles são pequenos arquivos de texto armazenados no computador ou celular do usuário quando ele visita um site. 

Alguns sistemas de monitoramento utilizam cookies, por exemplo: como sistemas de marketing, de modo que possam monitorar comportamentos, preferências de navegação (para oferecer conteúdo), contatos, etc. Os cookies também podem permitir a memorização de dados pessoais, importantes para identificação em sites de e-commerce, serviços, etc. Atualmente, existem políticas que regem e normatizam a prática de captura de dados, que precisam ter o consentimento do usuário. Além disso, como já comentei, deve haver uma justificativa para a captura desses dados.

Os dados capturados através deles podem ser armazenados em um banco de dados e analisados posteriormente. Com eles, o analista pode realizar estudos para identificar comportamento, tendências, etc.

Nesse ponto, principalmente, o profissional de web analytics precisa cuidar para garantir que no site da empresa, que está trabalhando para analisar esses dados, existam políticas de cookies, bem como o consentimento por sua utilização, de modo que não tenha problemas futuros por manipular esses dados. Além disso, no caso de dados de tráfego e comportamento, eles podem ser anonimizados, uma vez que a identificação dos indivíduos em alguns desses processos de análise são irrelevantes.

Conclusão

• Conheça as políticas de governança de dados da empresa em que você está trabalhando ou prestando serviço;
• Tenha acesso às políticas de privacidade e de cookies, entenda como os dados são captados e como acontece o consentimento por parte do usuário;
• Saiba os limites de tratamento de dados e quais você pode ter acesso;
• Garanta que dados pessoais, que identificam o usuário, estejam anonimizados; e
• Segurança sempre. Dependendo da empresa, não é necessário um grande ataque hacker para que seja considerado incidente de segurança. Um vírus detectado, por exemplo, pode ser categorizado como um incidente, sendo assim, mantenha suas proteções e softwares atualizados, tente entender com a empresa quais são as regras de segurança e acesso aos dados.