Em 1943, aviões americanos danificados retornavam do combate com buracos de bala concentrados nas asas e na fuselagem. Os planejadores militares propuseram reforçar essas áreas. O estatístico Abraham Wald, porém, fez a pergunta certa: “E os aviões que não voltaram?”
Wald reconheceu o viés de sobrevivência. Os danos visíveis mostravam onde os aviões podiam ser atingidos e ainda sobreviver. Os que não voltaram foram abatidos nas áreas aparentemente intactas — motores, cabines, tanques de combustível. A lição: blindar o que parece intacto.
A Aplicação ao Compliance e Proteção de Dados
As organizações cometem o mesmo erro na governança de dados. Reforçam os elementos visíveis — políticas, banners de cookies, treinamentos genéricos — enquanto deixam os “motores” críticos vulneráveis.
Seis Áreas Críticas Frequentemente Negligenciadas
1. Pessoas
- Onboarding/offboarding inadequado (acessos ativos após desligamento);
- Times comerciais sem orientação sobre bases legais;
- Matrizes RASCI indefinidas gerando fragmentação de decisões.
2. Controles (Motor Técnico-Operacional)
- Ausência de MFA em sistemas críticos;
- Procedimentos de restauração de backup não testados;
- Logs não revisados e inventário de fornecedores desatualizado;
- Contratos genéricos sem clareza de papéis, SLAs e DPAs;
- Ausência de PIA antes do lançamento de projetos.
3. Treinamentos
- Treinamento anual genérico no lugar de programas por função;
- Ausência de simulações de phishing e resposta a incidentes.
4. Monitoramento
- KPIs de “zero incidentes” que mascaram falhas de detecção;
- Falta de indicadores líderes: tempo de revogação de acessos, cobertura de MFA, status de DPA com fornecedores.
5. Melhoria Contínua
- RoPA desatualizado e desconectado das operações;
- Revisões pós-incidente sem ajuste de controles;
- Auditorias que avaliam documentação, não funcionalidade.
6. Patrocínio Executivo (Tone at the Top)
- Sponsor C-level nomeado com accountability explícito;
- Comitê de Privacidade e Segurança com quórum fixo e pauta mensal;
- Independência e autonomia consultiva do DPO;
- Orçamento dedicado, FTEs e metas de privacidade integradas aos OKRs.
O Checklist WALD
A BBA Consultoria desenvolveu um Checklist WALD para medir maturidade com indicadores líderes, pontuação por seção e foco em ações de impacto:
- ✔ Pessoas: RASCI claro + treinamento por função + onboarding/offboarding em até 24h;
- ✔ Controles: MFA administrativo, restauração de backup testada, revisão periódica de logs;
- ✔ Treinamentos: simulações trimestrais, conteúdo customizado, quick-guides nos fluxos;
- ✔ Monitoramento: substituir métricas de vaidade por indicadores líderes;
- ✔ Melhoria contínua: revisões pós-incidente, contratos atualizados, roadmaps trimestrais.
Você está olhando os dados certos — ou só os sobreviventes?