Até para os CISOs da Inglaterra o Brexit traz problemas e preocupações. Num artigo publicado ao final da semana passada, o analista sênior Paul McKay, da consultoria da Forrester, diz que os CISOs devem se preocupar com pelo menos três situações: o tráfego internacional de dados entre o Reino Unido e a União Europeia; o quadro de pessoal; e as relações e obrigações regulatórias para informar violações de segurança cibernética.
Segundo ele, sabe-se que, de uma forma ou de outra, “a base jurídica do fluxo de dados depende do regime regulatório de proteção de dados do Reino Unido ser considerado equivalente ao da União Europeia”. Várias entidades e governos, disse McKay, começaram a trabalhar nessa decisão-chave de adequação para a saída do Reino Unido da UE (com acordo ou não). Embora atualmente existam muitas semelhanças entre os regimes, não há como garantir que essa decisão ocorra e nem quando. No caso de um “Brexit sem acordo”, ele acha que o padrão legal será que os regimes não sejam equivalentes, e então a UE tratará o Reino Unido como um país diferente, invalidando a base jurídica atualmente utilizada para promover a transferência de dados legais entre o Reino Unido e os outros estados membros da UE.
A recomendação dele é que os CISOs e os DPOs comecem a procurar meios alternativos para garantir a base legal dos seus fluxos de dados internacionais com a UE. “Isso pode ser por meio de cláusulas de modelo ou de um programa de regras corporativas vinculativo, por exemplo, que já é amplamente utilizado para transferências para fora da UE”.
Sobre o quadro de pessoal, ele afirma que “felizmente ambos os lados concordaram que trabalharão bastante para proporcionar alguma segurança aos cidadãos da UE e do Reino Unido que trabalhem fora de seus países de origem. Para os CISOs, isso significa que sua equipe precisará de garantias e apoio caso precise de ajuda nos procedimentos de solicitação de visto ou, em alguns casos, nos custos dessas propvidências. A área mais problemática está no campo do recrutamento – um desafio que já é difícil o suficiente, pela escassez de especialistas de segurança.”
O Brexit, diz McKay, “exigirá que você pense com mais cuidado sobre onde implanta sua equipe e serviços de segurança. Geralmente, são esperadas restrições ao número de cidadãos da UE que entram no Reino Unido e vice-versa; portanto, revise seu modelo operacional com cuidado para mitigar o impacto que as restrições à liberdade de movimento podem trazer para a estrutura da organização de segurança e a distribuição de funcionários. Além disso, considere as implicações das viagens de negócios para qualquer prestador de serviços e equipe que o suporte fora dos locais da sede principal”.
Finalmente, em relação às relações e obrigações regulatórias de informar violações de segurança cibernética, McKay observa que “a UE tem sido um dos legisladores mais ativos das regulamentações de segurança e privacidade cibernética, criando uma infinidade de relações regulatórias. Muitas delas, principalmente NISD, PSD2 e GDPR, contêm requisitos para relatar certos tipos de eventos e incidentes de segurança aos órgãos reguladores. Os relacionamentos foram estabelecidos e muitas organizações no escopo deste regulamento precisarão revisar e atualizar os canais de informação, pois os relacionamentos regulatórios atuais podem mudar”. Ele recomenda que se revisem e atualizem os planos de resposta a incidentes e se apoiem os processos operacionais com cuidado, para garantir as alterações nos relacionamentos regulatórios estejam cobertas por essas providências.
