Assunto da moda, privacidade definitivamente é uma disciplina que ganhará cada vez mais importância, principalmente em um momento em que novas legislações e recorrentes incidentes envolvendo informações pessoais recebem cada vez mais atenção da grande mídia e da população em geral. Ainda assim, proteção de dados está longe de ser um tema novo. Nós, profissionais de segurança da informação, já tínhamos a missão de proteger dados antes da existência de qualquer legislação de privacidade. Mesmo com todo o avanço das tecnologias de proteção de dados e legislações sobre o tema, muita coisa não mudou. Por exemplo, não se faz proteção de dados (ou segurança da informação, ou privacidade, ou ciber segurança, etc) sem a definição de um programa alinhado aos objetivos da organização, que seja mensurável e continuamente melhorado. E é aí que o programa de certificação CIPM - Certified Information Privacy Manager mostra seu valor.

A maior comunidade de privacidade do mundo

O CIPM é promovido pelo IAPP - International Association of Privacy Professionals, organização sem fins lucrativos, reconhecida por muitos e autodenominada como a maior comunidade global de privacidade. Além do CIPM, o IAPP também promove outros programas de certificação bastante reconhecidos no mercado, como o CIPP - Certified Information Privacy Professional (com suas concentrações) e o CIPT - Certified Information Privacy Technologist.

O “como” da operação e gestão de um programa de privacidade

Segundo o IAPP, o CIPM é a primeira e única certificação em gestão de programa de privacidade, e a sua obtenção demonstra que não apenas o profissional conhece regulações e requisitos de privacidade, mas também sabe como fazê-los trabalhar para a organização, estabelecendo, mantendo e gerindo um programa de gestão da privacidade por todas as etapas de seu ciclo de vida.

Os principais conceitos e tópicos cobertos pelo programa, são:

• Como criar a visão da organização no que se refere a privacidade
• Como estruturar um time de privacidade
• Como desenvolver e implementar um framework para o programa de privacidade
• Como comunicar com as partes interessadas
• Como medir a performance
• O ciclo de vida operacional do programa de privacidade

O conteúdo do CIPM é dividido em dois domínios:

• Governança do programa de privacidade
• Ciclo de vida operacional do programa de privacidade

Quem tem familiaridade com outros programas de certificação voltados para gestão de segurança da informação, como por exemplo o CISSP (especialmente nos domínios 1 e 2), CISSP-ISSMP e o CISM, tem uma base bastante sólida para entender os conceitos do CIPM. Afinal, é sobre o desenvolvimento, estabelecimento, manutenção, gestão e operação de um programa de proteção de dados, embora seja fundamental conhecer conceitos e requerimentos de privacidade e como eles se diferenciam dos conceitos de segurança da informação (ainda que como eu, você nem sempre concorde com a distinção que o conteúdo do CIPM faz, mas isso é assunto para outro texto).

Minha preparação

Como já citei anteriormente, os conhecimentos que obtive na preparação para certificações de gestão de segurança da informação, além, claro, da experiencia profissional, me deram uma base bastante sólida para entender os conceitos e o conteúdo do CIPM.

Material e processo de estudo

O IAPP oferece cursos em diversos formatos para ajudar na preparação dos candidatos ao CIPM, mas como para as outras certificações escolhi estudar por conta própria. Comprei o livro texto base dos cursos de preparação, entitulado Privacy Program Management, e disponível na própria loja do IAPP em formato digital e em papel. Li o livro de capa a capa, destacando alguns pontos e fazendo algumas anotações, embora tenha lido rapidamente algumas seções que me parecem um pouco superficiais para profissionais experientes em proteção de dados e segurança da informação, o que é compreensível dado que o programa é voltado para gestores de programas de privacidade, que frequentemente não possuem experiencia relevante com a temática de segurança da informação. O próximo passo foi revisar minhas anotações e marcações no livro e desenhar mapas mentais, que certamente me ajudam a organizar melhor o conteúdo e revisar os pontos mais importantes. Também adquiri questões de exemplo disponíveis na loja do IAPP. Se trata de um arquivo pdf com 22 questões descritas como similar em formato e conteúdo com as encontradas no exame, além das explicações para cada questão. Respondi as 22 questões em pouco mais de 25 minutos, com 18 acertos e 4 erros. Revisei as questões que errei e julguei a preparação concluída, me senti pronto para o exame.

Dia do exame

Cheguei ao centro de testes pouco antes do horário agendado, confirmei minha identidade e assinei o termo em que aceitei ser monitorado por vídeo durante o exame, após guardar meus pertences em um armário, iniciei o exame que teria a duração de 120 minutos, para responder 90 questões de múltipla escolha com quatro alternativas cada uma, sendo possível navegar pelas questões e marcá-las para posterior revisão.

Minhas impressões sobre o exame

Certamente o exame com o inglês mais rebuscado que já realizei, o que pode ser um desafio adicional. Ainda sobre apresentação textual, muitas questões são baseadas em cenários descritos por meio de textos de 3 ou 4 parágrafos, após o segundo cenário, percebi que ler o cenários inteiros pode causar problemas com o tempo e pior, de forma desnecessária, já que para muitas das questões baseadas em cenários, estes não eram imprescindíveis para responder as questões corretamente. A partir daí, lí as questões antes de ler a descrição do cenário, e quando necessário lí a descrição do cenário rapidamente já procurando pelas informações que necessitava. Não foi o exame mais desafiador que já fiz, mas muitas questões tem mais de uma possível resposta, a alternativa mais adequada deve ser selecionada, isso me fez marcar para revisão posterior muitas questões, seguindo meu habitual processo para exames deste tipo: ler a questão e alternativas uma vez, se tiver convicção ler rapidamente uma vez mais (ou não) e então selecionar a resposta e seguir adiante; quando não há convicção, selecionar uma opção mais provável, marcar para revisão e seguir para a próxima. Esse processo me fez marcar para revisão mais questões do que era necessário, ao todo foram 44 (sim, quase metade). Após responder as 90 questões, tinha aproximadamente 40 minutos para revisar as questões marcadas, a partir daí removendo o flag de revisão das que tinha um nível maior de segurança e mantendo o flag quando ainda inseguro em relação a resposta mais adequada, neste processo mudei poucas respostas. Para a terceira passagem, 11 questões permaneceram marcadas, menos de 10 minutos para o fim do tempo, destas mudei apenas 1 resposta e submeti as respostas quando o cronometro marcava menos de 3 minutos para o fim do tempo. Bastava agora aguardar o resultado.

Resultado final melhor do que o esperado

Ao final do exame, recebi na tela o resultado por domínio:

• Domínio 1 (Governança do programa de privacidade): 95%
• Domínio 2 (Ciclo de vida operacional do programa de privacidade): 80%

Mesmo confiante, é sempre um alivio submeter um exame e receber o resultado PASS. Recebi um email de confirmação com o resultado do exame assim que peguei meu celular do armário onde estava guardado, bem diferente de outras certificações em que essa confirmação pode levar semanas para ser recebida. O que levou alguns dias para chegar foi o email do IAPP por meio da Accredible, o provedor de credenciais online (open badges) parceiro do IAPP, com o certificado em formato digital: Também pelo Accredible é possível acessar e validar a credencial.

O mais importante: O que aprendi

Cada vez mais convencido da convergência entre a gestão da privacidade e a gestão de segurança da informação, no final do dia os objetivos, em linhas gerais, são os mesmos: proteção de dados para se gerir riscos e viabilizar negócios. Ainda que o conteúdo do programa CIPM por vezes queira separar as duas temáticas mais do que julgo adequado. Em linhas gerais, não aprendi muita coisa nova, o que por si só é um aprendizado relevante: se você é capaz de estabelecer, manter e gerir um programa de gestão de segurança da informação, você também é capaz de fazer o mesmo para um programa de gestão de privacidade.