Em BigIDeas em movimentoOmkhar Arasaratnam, diretor de engenharia de segurança em nuvem do Google, compartilha insights de sua carreira em segurança e serviços financeiros, fala sobre a interação entre privacidade e proteção e oferece suas ideias sobre migração para a nuvem em serviços financeiros.
Mordido pelo “bug da segurança”
Arasaratnam descreve sua carreira como "um sanduíche de tecnologia" que o levou da IBM, onde atuou como testador de penetração, ao setor financeiro e de volta à tecnologia no Google, onde atualmente desenvolve controles de software para clientes usando a Google Cloud Platform (GCP). No meio tempo, ele liderou equipes de engenharia de segurança no TD Bank, Deutsche Bank, Credit Suisse e JP Morgan.
Regulamentação em FinServ — Uma Evolução dos Direitos
No início da carreira de Arasaratnam, as respostas das empresas a regulamentações como a Lei Gramm-Leach-Bliley (GLBA) e a Lei Sarbanes–Oxley (SOX) centradas na “integridade dos controles quando se trata de relatórios financeiros… e, por causa disso, grande parte da responsabilidade recaiu sobre o CFO”.
Arasaratnam viu um cenário diferente enquanto trabalhava no sistema bancário europeu. "Eles adotaram uma abordagem um pouco diferente no final da década de 2010 e se concentraram muito mais na privacidade. O setor financeiro começou a se preocupar muito mais com a forma como as informações pessoais de seus clientes e funcionários eram tratadas."
Agora, anos depois, o estado evolutivo de direitos de dados está influenciando ainda mais bancos e outras organizações em serviços financeiros. “Internamente, estamos todos esperando para ver como o novo governo pode considerar um nível federal de proteção de privacidade — e já estamos vendo muitas mudanças sendo feitas em relação a CCPA [a Lei de Privacidade do Consumidor da Califórnia]”, diz Arasaratnam.
“Isso está realmente mudando a visão do setor financeiro em termos de como as PII são tratadas. Quase assumimos como padrão que certos tipos de informação... poderiam ser usados dentro do setor financeiro para melhorar o marketing, melhorar a segmentação e coisas dessa natureza. Devido a regulamentações como GDPR, assim como o CCPA, a atitude em relação a isso está mudando muito.”
A intersecção entre proteção de dados e privacidade de dados
Os esforços de proteção de dados, desde o mascaramento de dados até a restrição de acesso, precisam cada vez mais trabalhar lado a lado com princípios de privacidade de dados, como não vender e não transferir — e esse alinhamento pode apresentar uma interação complicada.
“Cada vez mais”, diz Arasaratnam, “teremos que depender da tecnologia para isso. Não será uma pessoa ou um grupo de pessoas tomando essas decisões”. A realidade emergente é “que a escolha das pessoas — a autonomia que as pessoas desejam para ter voz sobre o que acontece com seus PII — é realmente o que incorpora grande parte da legislação de privacidade que vemos hoje.”
Citando a sabedoria da Dra. Ann Cavoukian – criadora do Privacy by design – Arasaratnam descreve a privacidade como “você, o indivíduo, tendo a autonomia para fornecer consentimento informado sobre o que deseja que seja feito com suas PII”. A confidencialidade, por outro lado, “acaba sendo as proteções ou controles que implementamos, caso você não queira divulgá-los”.
Por exemplo, Arasaratnam afirma: "Se eu revelasse voluntariamente a você e aos ouvintes deste podcast que tenho asma, essa seria uma escolha minha. No entanto, eu não gostaria que essa escolha fosse feita em meu nome."
Hoje em dia, existem muitos negócios “que foram construídos em torno da ideia de que podemos realizar uma melhor segmentação de anúncios, podemos fornecer aos consumidores conteúdo mais personalizado com base no que conseguimos inferir sobre suas preferências por meio do processamento de PII. Acredito que isso se tornará cada vez mais interessante com o passar do tempo. À medida que há cada vez mais consentimento informado, os padrões das pessoas podem mudar ligeiramente, o que, da perspectiva do setor financeiro, também significa que algumas das áreas que antes eram monetizadas... podem começar a mudar junto com isso.”
Oportunidades para Migrar para a Nuvem em FinServ
Embora os serviços financeiros sejam normalmente considerados hesitantes em migrar os seus dados para o nuvem, Arasaratnam tem uma interpretação diferente.
Acredito que muitas empresas do setor financeiro estão, de fato, enxergando [a migração para a nuvem] como uma oportunidade. É muito fácil embarcar em um agente de mudança paralelo. Então, se eu quiser refatorar meu aplicativo, uma ótima oportunidade para isso é migrar para a nuvem. E se eu quiser refatorar meu aplicativo de forma que ele permita melhores controles de privacidade, esse é um caminho que muitas empresas do setor financeiro estão trilhando.
Da perspectiva de Arasaratnam, trata-se de uma questão de lógica darwiniana e da sobrevivência do mais apto. "Aqueles que evoluírem mais rápido e se adaptarem a essa nova mudança e impulso — e talvez aqueles que até encontrarem outras maneiras de diferenciar sua marca por meio de maior privacidade e de dar mais autonomia ao cliente — serão os que acabarão se tornando líderes de mercado."
Ouça o podcast completo para descobrir como Arasaratnam acredita que as organizações financeiras continuarão evoluindo para acomodar regulamentações emergentes — bem como a maneira única como ele ensina seus filhos nativos digitais sobre a importância da privacidade de dados e da educação em segurança.