http://www.culturadigital.br/segblog/feed/

sábado, 11 de fevereiro de 2012

Imprimir

Para Inglês ver?

Artigo originalmente publicado no nº 6 da revista Antebellum

Dentre as muitas expressões que sempre estão na boca do povo brasileiro, uma em especial possui uma relação estreita com a forma pela qual nosso povo se relaciona com normas e regulamentações: trata-se do famoso “para inglês ver”. Esta expressão é usada desde a época em que a Inglaterra, detentora de forte influência em nossa política, pressionava o governo brasileiro no sentido da libertação dos escravos. Por sua vez, as autoridades brasileiras emitiam decretos que em tese atendiam à pressão inglesa, mas que, no entanto possuíam pouco efeito prático. Na maioria das situações dava-se um “jeitinho” e tudo permanecia como estava. A situação dos escravos somente foi resolvida por completo a partir do momento em que esta condição política se tornou insustentável.

De lá para cá, muito se legislou e ainda nos deparamos com indícios de que muitas regulamentações sejam elas padrões, leis ou normas, são mesmo só “para inglês ver” e que o “jeitinho brasileiro” infelizmente é o que domina nossa vida na prática. Entretanto, também não é de hoje que alguns setores do mercado se esforçam no sentido de definir e respeitar determinadas, regras reconhecendo que esta atitude deve ser inerente à competitividade. Desta forma, apesar de todas as dificuldades, muitas companhias brasileiras vem adequando seus ambientes a diversos padrões ou normas com o objetivo de entrar (ou se manter) no jogo do mercado.

O PCI DSS, padrão do qual muito se têm falado no mercado de segurança e que é o assunto desta edição da Antebellum, encontra em sua aplicação nas empresas do Brasil um cenário complexo de desigualdade envolvendo empresas com tamanhos diversos e em lugares com os mais variados níveis de maturidade no que tange ao uso de tecnologia e gestão de segurança da informação. De modo geral, entendo que a sua implementação neste cenário possui a mesma proporção de dificuldades e oportunidades.

Dificuldades

As dificuldades residem basicamente na parte ruim daquilo que formou o mercado brasileiro: o pensamento antiquado segundo o qual uma empresa é soberana em sua atuação no mercado; A baixa dedicação nos assuntos que envolvem organização, padronização de processos e gestão dos assuntos de segurança; A vida corporativa baseada em acordos e maneiras informais de conduzir o trabalho.

Tenho conhecido muitas empresas em minha jornada com o objetivo de fomentar a conformidade ao PCI DSS no Brasil e um pensamento com o qual muitas vezes tenho me deparado nas empresas que visito é a de que estas acreditam que possuem total soberania sobre a sua atuação no mercado. De que o ciclo que envolve fornecedores, empresa e cliente possui total controle.

Embora isto possa ser óbvio para a maioria dos leitores desta revista, alguns representantes de empresas brasileiras ainda não entendem que basta olhar de uma maneira mais geral para o mercado dos dias de hoje para entender que este é atualmente formado por diversas redes de dependência nas quais os “papéis” de fornecedores e clientes se misturam e as vezes os primeiros chegam a ter influência nos rumos do segundo . Esta é uma das características presentes no que Thomas Friedman chama “mundo plano”.

Quando passamos a analisar o fluxo de informações que trafegam nestas redes de dependência o cenário fica ainda mais complexo. Por isso hoje torna-se necessário a estas empresas não somente se concentrar nos limites de suas paredes, mas sim colocá-la no contexto de um sistema complexo de dependências.

Outra pedra no caminho para a aderência ao PCI DSS é que o padrão exige um nível de organização e padronização de processos sobre os quais não existe qualquer dedicação em boa parte do mercado, principalmente quando olhamos para o varejo, um dos setores-alvo do padrão. Ter uma gestão dos assuntos de segurança da informação nestas empresas também é um aspecto ao qual geralmente é dedicado pouca ou nenhuma atenção.

Por último, e em minha opinião a dificuldade mais importante à aderência do PCI DSS no Brasil, é o elevado nível de informalidade que contamina a vida corporativa. De acordo com o antropólogo Roberto DaMatta a incidência do “jeitinho” pode ser encontrada em diversos países do mundo, mas somente no Brasil este comportamento se torna um valor, de maneira que aquele que resolve as coisas com “jeitinho” é o “malandro” e o que respeita as “regras do jogo” é o otário. Desta forma, quando olhamos para a forma pela qual nossos políticos lidam com as questões do estado, estas se tornam somente um reflexo da maneira que vivemos em sociedade.

No que se refere à aderência a normas e padrões, sobretudo ao PCI DSS, não é possível ter vários pesos e várias medidas: é preciso estar de acordo com os controles e aqui o “jeitinho brasileiro” não pode ser aplicável.

Oportunidades

Mas nem tudo está perdido. A aderência ao PCI DSS não é a solução para todos os males mas, pode ajudar as empresas a curarem feridas abertas há muito tempo.

O padrão compreende a visão na qual os dados de portador de cartão podem estar sendo trafegados, processados ou armazenados em uma estrutura complexa que contemple as redes de dependência presentes no mercado atual. Por contemplar este tipo de estrutura, a adequação ao padrão obriga a todos os atores da cadeia a estarem em conformidade, o que eleva o nível de segurança do mercado como um todo.

Atualmente nosso país vive uma situação econômica inédita na qual, embora o mundo esteja em crise, o crescimento possui números nunca vistos antes. Para mantermos o ritmo é necessário que as empresas se organizem e sabemos que quanto mais uma empresa se organiza, mais ela reduz os seus custos e dinamiza sua atividade, o que proporciona aos seus executivos um horizonte mais favorável a boas decisões. Se o motivador desta organização for um padrão de segurança reconhecido internacionalmente, todo o ciclo envolvendo redução de custos, dinamismo e proteção dos ativos se fecha, de maneira a colocar a empresa em pé de igualdade na competição internacional. Em outras palavras, a aderência ao PCI DSS pode ser um dos fatores de modernização de uma companhia, não deixando nada a dever à concorrência internacional em um cenário tão conturbado, mas com tantas oportunidades ao mercado brasileiro quanto o atual.

Existem aqueles que dizem que o “jeitinho” e este elevado nível de informalidade presentes em nossa sociedade são os pais da criatividade internacionalmente reconhecida do brasileiro. Esta afirmação pode até ser verdadeira e a criatividade do brasileiro é, em minha o opinião, não só o que torna nossa cultura uma das mais ricas do mundo, mas o que nos torna mais adaptáveis às mais diversas situações. No entanto, quando olhamos para a gestão de segurança nas empresas, sabemos que o número de vulnerabilidades é diretamente proporcional ao da adoção de exceções aos processos oficiais. Diante das potencialidades da tecnologia disponível hoje e da concorrência que vivemos no mercado, a rigidez nos processos pode ser o que determina a vida ou morte de uma empresa. Não pode ser algo suscetível a informalidade.

O que “pega”

Assim como o “para inglês ver” é uma exclusividade do povo brasileiro dizer que tem “lei que pega e lei que não pega”. Em tese, lei não foi feita para “pegar” e sim para ser cumprida ou refutada através do uso dos mecanismos legais da democracia. No entanto, quando falamos de padrões de mercado, estes geralmente “pegam” quando alcançam um forte apelo ao ganho financeiro no qual sua aderência resultará, ou por conta das sanções a serem impostas no caso da não aderência.

Acredito que o PCI DSS é um padrão que “pega” porque tenho visto diversos esforços no mercado na busca da aderência. Estes esforços têm vindo de empresas que já possuem uma cultura na qual a disciplina de conformidade faz parte da realidade. Elas estão empurrando os seus fornecedores também à conformidade e penso que em breve esta onda chegará até as companhias menores.

Entendo também que o PCI DSS não pode ser um padrão “para inglês ver” por que seu ciclo de vida não se manifesta somente em uma relação na qual um órgão cria as regras, outro adéqua o ambiente e outro audita. Existe outro ator na figura do adquirente que faz a gestão dos resultados e motiva todas as entidades envolvidas (estabelecimentos, data centers, fornecedores de soluções de pagamento, etc.) a estarem de acordo com o padrão e a manter o bom nível das análises. Os Relatórios de Conformidade ou ROCs tendem a assumir cada vez mais o papel de uma certidão de que uma entidade trata os dados de portador de cartão de acordo com padrões internacionalmente reconhecidos. Somente sinto falta de uma divulgação do padrão ao cidadão comum, portador de cartão e maior interessado no tratamento de suas informações com segurança, mas penso que isto será uma conseqüência óbvia na medida em que as empresas forem se certificando.

Referências Bibliográficas

FRIEDMAN, Thomas L.. O Mundo é Plano: Uma Breve História do Século XXI. 2. ed. Rio de Janeiro: Objetiva, 2005.

DAMATTA, Roberto. Carnavais, Malandros e Heróis: Para uma Sociologia do Dilema Brasileiro. Rio de Janeiro: Rocco, 1981.

Faça seu comentário

  • Please leave these two fields as-is:

    Protected by Invisible Defender. Showed 403 to 1 bad guys.