Como a Pokemon Company conseguiu cumprir antecipadamente com a GDPR
Popularidade do Pokemon Go trouxe um lago massivo de dados para a companhia. Diretor de segurança da informação da empresa detalha jornada de conformidade
O jogo de realidade aumentada Pokemon Go foi um grande hit quando foi lançado em 2016, conquistando mais de 800 milhões de downloads até hoje. Entretanto, essa incrível escala traz consigo um grande lago massivo de dados de informações pessoais identificáveis para a Pokemon Company International, incluindo dados sensíveis sobre crianças. Quando combinado com regulamentações como a GDPR (General Data Protection Rules), isso cria uma série de possíveis problemas de conformidade, com os quais a empresa não pode se dar ao luxo de de vacilar.
Tenha como exemplo o fato de que a Pokémon Company também administra uma loja na Amazon Web Services e suas plataformas contêm informações, incluindo dados de geolocalização, datas de nascimento e endereços de e-mail – sem mencionar outros métodos de autenticação de login único por meio do Google.
Para lidar com essas questões de conformidade, John Visneski, diretor de segurança da informação e proteção de dados da Pokemon Company, procurou a Sumo Logic, fornecedora de análise de dados de máquinas nativas na nuvem, para endurecer as defesas da empresa.
Nos Estados Unidos, a Lei de Privacidade de Proteção Online para Crianças (COPPA, sigla em inglês para Children’s Online Protection Privacy Act) exige políticas rígidas de proteção de dados. Juntamente com a GDPR, a Pokemon Company International (que gerencia a franquia em vários territórios no mundo ocidental) viu nos requisitos de regulamentação uma oportunidade para fortalecer suas equipes de segurança. A companhia já havia anteriormente aderido às práticas mais modernas de DevOps, executando o máximo possível de suas cargas de trabalho na nuvem.
Antes dessa função, Visneski serviu na Força Aérea dos EUA com o Chefe de Gabinete do Pentágono, seus colegas de segurança têm experiência como agentes federais e na NSA. Ele explicou que a infraestrutura da Pokemon Company é toda baseada na AWS. Nos últimos dois anos, a organização montou uma loja de DevOps, ampliou sua equipe de privacidade, melhorou os serviços online e Visneski ajudou a criar a equipe de segurança da informação.
Os desenvolvedores da empresa já estavam fazendo a maior parte da segurança para esta funcionalidade.
“A equipe de serviços on-line estava fazendo o melhor e trabalhando com a AWS, porque a AWS tem muita gente inteligente no setor de segurança”, ressalta Visneski. “Mas a ideia era criar realmente um departamento de segurança de informações com uma visão e uma estratégia… Tudo, desde a nossa arquitetura de segurança até a contratação de uma equipe, passando pelo gerenciamento de fornecedores, passando por novos fornecedores, organizando diferentes tipos de recursos e diferentes tipos de conjuntos de ferramentas, desenvolvendo uma visão e uma estratégia para nos tornarmos uma loja de primeira classe na nuvem.
Pouco antes de o GDPR entrar em ação, Visneski foi nomeado oficial de proteção de dados e acredita que existe uma necessidade vital de as organizações convergirem suas capacidades de privacidade e segurança. Em sua experiência, os problemas de ambos os lados acabam perdidos na tradução, onde os profissionais de segurança tentam comunicar problemas em termos não técnicos, enquanto as equipes de privacidade podem estar falando em termos jurídicos. Uma ampla integração da Sumo Logic, diz ele, ajudou a derrubar esses silos.
“Temos todas essas ótimas ferramentas, todos esses alertas realmente ótimos, todo esse tipo de coisa”, ressaltou, “mas como agarramos nossos braços em torno da visibilidade de dados? Como agregamos logs, como realmente começamos a alavancar os logs? ferramentas de tal forma que possamos automatizar o máximo que pudermos? Para que os humanos envolvidos, meus analistas de segurança, possam se concentrar no que fazem melhor – que é fornecer contexto nessas situações.”
Os funcionários ficaram “muito entusiasmados” com a integração da Sumo Logic ao ambiente da empresa e ficaram particularmente impressionados com a visibilidade oferecida. Eles optaram por se inscrever para os serviços de gerenciamento de eventos e informações de segurança da empresa, bem como para os Fluxos de Trabalho de Investigação, e há planos de fazer parceria com o fornecedor para construir um novo centro de operações de segurança.
Alterando o relacionamento fornecedor-cliente
É esse nível de colaboração que não apenas diferencia a Sumo Logic de outras empresas, mas, de acordo com Visneski, sinaliza um abandono do antigo relacionamento cliente-fornecedor em algo mais mutuamente benéfico, com ambos mantendo um interesse no sucesso de cada um.
“Acredito que o relacionamento fornecedor-cliente evoluiu na última década. Costumava ser que um cliente como nós ou um grande cliente com um orçamento saudável costumava ir a um fornecedor como a Sumo e dizer, ei, quanto é isso e quanto custa, eu quero gastar”, diz Visneski. “Me dê o mundo, certifique-se de que os teus melhores engenheiros estão aqui, pedindo funcionalidades que não existem fora de alcance ou impossíveis. Acho que essa relação mudou e mudou mais para relações comerciais estratégicas e substantivas onde um cliente como eu só quer fazer negócios com fornecedores que têm interesse em me ver ser bem sucedido”.
“E, por outro lado, espero que um fornecedor como a Sumo Logic só queira fazer negócios com clientes que tenham interesse em que eles sejam bem-sucedidos. Quando você começar a adotar essa abordagem, especialmente com os elementos básicos de seu programa de segurança, abraçar a transparência que precisa acontecer para trás e para frente – isso melhora sua postura de segurança”, acrescenta.
E a parceria também tem sido benéfica para outras áreas de negócios fora da equipe de segurança – com a equipe de finanças e a equipe de devops, todos apreciando a visibilidade que ela oferece sobre um miríade de soluções em ambientes complexos.
“Começamos a ver esse crescimento fora do espaço de segurança, mas com nossa equipe de segurança sendo uma espécie de agente integrado em toda a organização, o que isso nos dá é a visibilidade”, diz ele. “Quando um incidente de segurança acontece, você pode não receber um alerta através do seu conjunto de ferramentas principal – nós usamos o Crowdstrike – podemos não obter o alerta através do Crowdstrike primeiro. Pode ser um ticket de atendimento ao cliente que chega”.
“Mas nossa equipe de segurança, porque usamos a Sumo para integrar tantos feeds de dados não apenas no espaço de segurança, mas em outros lugares, podemos começar a ver indicadores em todo o nosso ambiente que podem ser realmente úteis se houver um incidente”, diz Visneski “O mesmo vale para os nossos devops, pessoal de operações de rede, onde alguns dos indicadores podem não estar no conjunto de ferramentas inicial, mas em algum outro lugar. E, porque lançamos a Sumo tão amplamente, é uma maré crescente que está aumentando todos os navios, o que acaba sendo fantástico para nós”.