Com a criação de novos regulamentos de privacidade ao redor do mundo os parâmetros de segurança da informação estão mudando rapidamente. Diversas novas regulações, incluindo a Lei Geral de Proteção de Dados (LGPD), General Data Protection Regulation (GDPR) a Lei de privacidade do consumidor da California (CCPA) e similares estão sendo promulgadas em resposta as preocupações constantes sobre privacidade e má utilização dos dados pessoais.
Essas preocupações estão sendo impulsionadas em grande parte pelo fluxo continuo de violações de dados que resultam em perda de confiança do cliente, como o escândalo de 2018 no qual a Cambridge Analytica colheu dados pessoais de milhões de usuários sem o consentimento deles para propósitos de publicidade política. Como resultado, os CIOs e os CISOs estão sendo forçados a repensar suas estratégias de segurança e conformidade.
O impacto de novos regulamentos de privacidade
Quando a GDPR entrou em vigor em maio de 2018, se tornou claro que as organizações precisam de mais visão para garantir um controle mais restrito sobre como armazenar e manusear os dados do que eles tinham antes, assim como uma visão interna melhor do que está acontecendo com esses dados. Os regulamentos de privacidade mais recentes como LGPD e CCPA tem requisitos similares em termos de processamento de dado legal e direitos do titular, que trouxe mudanças para as atitudes das organizações sobre privacidade e conformidade.
As organizações começaram a tratar a privacidade mais seriamente: A inabilidade de provar que os dados são processados de forma legal podem resultar em multas, litígios e perda de oportunidades de negócio, as organizações estão se tornando mais preocupados com os dados que eles armazenam e onde eles residem. Eles também querem saber como os dados são usados ao longo do processo e quem tem acesso a eles. Finalmente, as organizações estão se tornando mais preocupados sobre manter a segurança de dados e provar aos auditores que eles tem o controle no lugar para proteger a informação do titular dos dados.
Demanda por segurança e produtos de conformidade crescem: Como resultado da pressão dos regulamentos de privacidade, as organizações estão comprando e utilizando cada vez mais ferramentas requeridas para ajudar a preencher uma gama de obrigações de conformidade, assim como garantir a privacidade e segurança. De acordo com a pesquisa de previsão de produtos de segurança da GDPR dos EUA. 2018/2022: Impacto da GDPR na pesquisa de gastos da ISC, nos EUA, o mercado da GDPR gerou 416 milhões de dólares em 2017 com perspectiva de crescimento no mercado para até 537 milhões de dólares em 2022.
Habilidades de conformidade estão em grande demanda, novas funções aparecerão: Já que os novos padrões requerem que as organizações sejam consistentes nos esforços de conformidade, as companhias precisam contratar profissionais que possam aliviar a carga de conformidade e os ajudem a superar problemas comuns. Os novos padrões até levam a introdução de novas posições de trabalho. Por exemplo, a LGPD requereu que as organizações contratassem um oficial de proteção de dados (DPO), que seria o responsável por monitorar a conformidade interna, aconselhar sobre obrigações de proteção de dados e atuar como ponto de contato para titulares de dados e autoridades de supervisão. Para a GDPR, diversas organizações já cumpriram esse requisito: Um estudo pela Associação de profissionais de privacidade Internacional (IAPP) mostra que um estimado de 500.000 organizações registraram DPOs ao redor, muito mais do que foi esperado em 2017.
Medidas para garantir a segurança e a conformidade
Enquanto as organizações são desafiadas a se manter com novos regulamentos de privacidade, CIOs e CISOs nessas organizações precisam adotar procedimentos que garantam a coleta legal e o processamento de dados e, mais amplamente, fortalecer a segurança de dados ao redor da organização. Abaixo estão algumas das principais práticas a se seguir.
Gerenciamento de risco
O gerenciamento de risco é um processo recorrente de identificar, acessar e responder ao risco. Avaliando a probabilidade de vários eventos aconteceram e o impacto que cada um deles teria, assim você pode priorizar as atividades e investimentos de segurança cibernética. Riscos incluem tudo desde roubo de dados por funcionários até ataques externos.
Descobrimento e classificação de dados
As organizações sempre criaram, armazenaram e processaram um grande volume de dados. Entretanto, as organizações modernas precisam de uma visão mais profunda nos seus dados para garantir a segurança e a conformidade. Descobrimento e classificação de dados automatizada permite que as organizações entendam quais dados sensíveis elas tem e onde eles estão. Dessa forma as organizações podem implementar controles apropriados para proteger a informação mais crítica e extrair ou deletar dados em resposta a requisição do titular dos dados.
Governança de acesso aos dados
A governança de acesso aos dados dá as organizações mais visão sobre o que estão acontecendo com os dados e a quem eles pertencem, o que te possibilitará a ter controle rígido sobre o controle de acesso aos dados, prevenindo vazamentos de informação crítica do negócio e garantindo que todos os direitos de acesso se alinhem com as regulações aplicáveis. Mais importante, é um grande instrumento para dar evidencia aos auditores que apenas os funcionários elegíveis tem permissão para trabalhar com informação sensível.
Gerenciamento do consentimento
Diversas regulações têm requisitos sobre consentimento. Por exemplo a CCPA requer que as organizações tenham o consentimento dos clientes caso eles queiram vender seus dados e a LGPD e GDPR permitem que as organizações coletem e processem os dados dos clientes apenas se eles confirmarem ativamente o seu consentimento (como clicar em uma caixa de marcação).
As organizações atribuem a responsabilidade de obter o consentimento e gerenciar os registros ao DPO, cujo objetivo é oferecer evidencia o suficiente para os auditores que a organização tem todo o consentimento requisitado. Idealmente, as organizações tem que ter uma lista de consentimento de atividades como: “Revisar regularmente o consentimento para checar se a relação, o processamento e o proposito não mudou” e “Manter um registro de quando e como você conseguiu o consentimento de cada indivíduo.” Além disso, um software de preferência de gerenciamento e consentimento pode te ajuda a automatizar o processo.
Colaboração com as partes interessadas
Os CIOs precisam comunicar os requisitos de segurança cibernética as partes interessadas para ter certeza de que eles tenham total entendimento dos riscos do negócio associados com armazenamento, processamento e segurança dos dados pessoais. O Framework de segurança cibernética da NIST e ferramentas similares podem facilitar essa colaboração e ajudar a alinhar os métodos de negócio e tecnológicos para garantir um gerenciamento apropriado de segurança e riscos de conformidade.
Consciência e treinamento
As organizações também precisam investir em treinamento de segurança cibernética regularmente, comunicar a importância da privacidade dos funcionários que trabalham com dados de clientes e contratar talentos de segurança cibernética ou desenvolvê-los dentro do ambiente.
Com a adoção dessas práticas, as organizações serão capazes de aumentar a efetividade dos seus esforços de conformidade, assim como aprimorar o gerenciamento de dados e a segurança. Além disso, uma aproximação compreensiva dos controles necessários para implementação e privacidade permitirá aos CIOs se comunicarem melhor em como o investimento em segurança cibernética contribui para a otimização do processo do negócio, ganhando uma margem competitiva demonstrando respeito pela privacidade humana.
