0
0
Há duas tendências significativas ocorrendo agora que não devem ser uma surpresa para ninguém que lê este post. Em primeiro lugar, as empresas estão coletando e aproveitando cada vez mais dados para melhorar seus principais serviços. Em segundo lugar, mais normas de conformidade e regulamentação estão surgindo de governos e organizações privadas. À medida que essas empresas percebem que coletar e utilizar dados melhora a eficiência, as vendas ou outras metas, os reguladores estão esperando nas asas para examinar como os dados estão sendo usados.
Isso é melhor, é claro. As empresas precisam ser capazes de acessar e usar os dados rapidamente para manter a lucratividade e a eficácia, mas também precisam garantir que estão protegendo os dados para proteger os interesses de privacidade de todos os envolvidos. A produtividade de uma organização é essencialmente sem sentido se começar a incorrer em multas por violações do GDPR, HIPAA, PCI ou qualquer uma das numerosas e crescentes regulamentações estaduais sobre dados pessoais.
Uma boa governança de dados exige que as empresas mantenham a produtividade alta, ao mesmo tempo em que garantem a privacidade e a integridade dos dados. Neste artigo, ofereço conselhos sobre como lidar adequadamente com dados confidenciais no cenário de 2020.
Definindo dados confidenciais
Não há como alcançar seus objetivos a menos que você crie primeiro a estrutura para defini-los. Muitas organizações ficam entusiasmadas em atualizar sua tecnologia ou criar novas formas de trabalhar, mas não consideram a estrutura em torno disso até mais tarde. Se você quer obter melhores resultados e evitar responsabilidade, a política deve realmente vir em primeiro lugar.
O primeiro passo é definir o que você considera ser informação sensível. Pode ser difícil listar cada pedaço de dados que podem ser considerados sensíveis, então você precisa manter isso amplo.
Uma abordagem é listar coisas que você sabe que são sensíveis, como listas de usuários, senhas e informações do sistema. Você pode então continuar com dados coletados, como nomes de clientes, segredos comerciais, registros médicos, informações financeiras e assim por diante.
Ao listar muitos exemplos específicos, mas também deixar a política aberta para dados que você pode coletar no futuro, você define a expectativa de que grande parte das informações coletadas por sua equipe seja sensível. Dessa forma, quando eles se deparam com um pedaço de dados que pode ser novo ou talvez não especificamente definido em sua lista, a política deve ajudar a orientar sua equipe a pensar criticamente no momento e tomar as decisões certas.
Os dados também podem ser classificados em diferentes categorias. Todos os dados privados são importantes, mas é óbvio que um cartão de crédito ou número da Previdência Social é mais sensível do que, digamos, o trabalho em progresso de propaganda que o marketing está montando.
Também é uma boa ideia definir tipos de dados que a equipe nunca deve lidar. Por exemplo, talvez você queira evitar o escrutínio regulatório associado à coleta de informações de cartão de crédito devido às exigências do PCI. Nesse caso, você vai querer especificamente afirmar em sua política que a equipe não deve coletar detalhes do cartão de crédito em nenhuma circunstância. Uma vez que os dados são coletados intencionalmente, você é responsável por isso, quer você decidiu como um negócio que você queria ou não.
Avaliação
As chances são de que sua organização já esteja em algum lugar no ciclo de manipulação de dados confidenciais, se você acabou de começar a colecioná-los e construir seu sistema ou já está gerenciando um sistema e pensando na próxima fase do seu roteiro tecnológico. De qualquer forma, algum tipo de conformidade e/ou avaliação de risco é apropriada regularmente, talvez anualmente, embora isso varie com base em suas necessidades específicas.
Ao construir e gerenciar um sistema que lida com dados confidenciais de uma forma que adere às melhores práticas, você terá que fazer ajustes ao longo do caminho. Mesmo que você pense que está fazendo tudo corretamente, uma boa avaliação identificará áreas onde você errou a marca. Além disso, relatórios de avaliação que delineiam deficiências lhe darão a clareza para tomar as decisões certas em primeiro lugar. A maioria das empresas tem pessoas inteligentes que são especialistas em sua linha de negócios, mas não necessariamente gerenciando a conformidade com PCI, por exemplo. Tenha em mente que os padrões evoluem e mudem ao longo do tempo, de qualquer maneira, então você não pode tomar como certo que os controles de dados sensíveis que você tem em vigor agora serão suficientes no futuro.
As avaliações também devem ocorrer no caso de algum tipo de problema importante, como uma falha no sistema que resulta de coisas como perda de conexão, queda de energia, falha de hardware ou incidente de segurança que o expôs a riscos inaceitáveis de uma violação de dados.
Armazenamento
Uma vez definido quais dados são confidenciais, você pode começar a criar regras para o quão confidenciais existem em seu ambiente. Isso começa com a forma como você armazena seus dados.
Primeiro, considere como você quer que seus dados se organizem digitalmente quando armazenados em repouso, independentemente da plataforma. Você provavelmente deve organizar dados de uma maneira que se alinhe logicamente com a sensibilidade dos dados. Isso ajudará a criar regras de acesso para funcionários com privilégios mínimos e ajudará você a projetar soluções de segurança e gerenciamento de riscos especificamente para dados confidenciais. Você vai querer aplicá-lo para onde os dados estão, mas se não forem organizados logicamente, você não pode gerenciar suficientemente seus dados. Muitas organizações têm esse tipo de desafio, embora tenham excelentes ferramentas de segurança.
As chances são, especialmente durante esses tempos sem precedentes, que você provavelmente estará aproveitando a nuvem de alguma forma para armazenar suas informações confidenciais. Mas mesmo que você esteja armazenando dados localmente, padrões de conformidade como HIPAA,PCI, GDPR e assim por diante precisarão ser levados a sério. Não basta simplesmente encontrar um provedor de armazenamento em nuvem que afirma ser seguro. Identifique quais padrões de conformidade você precisa tomar e certifique-se de que os fornecedores que você está olhando podem atestar ter soluções seguras que falem com essas normas. Muitos provedores oferecem excelentes serviços… mas nem sempre são suficientes para tipos específicos de dados confidenciais.
Entrar nas especificidades de quais controles você vai precisar está além do escopo deste blog, mas você estará procurando por coisas como autenticação multifatorial; criptografia em trânsito e em repouso; soluções de backup e redundância; certificações de data center, geografia e histórico de auditoria; e outras áreas onde o armazenamento de seus dados confidenciais enfrenta comprometimento potencial ou falta de conformidade. Os investimentos que você faz nessas soluções tecnológicas e os fornecedores com os que você associa serão proporcionais à importância dos dados. Criptografia sofisticada não é necessária ao compartilhar e-mails perguntando sobre o que estamos comendo no almoço, mas é importante ao manter registros médicos em um servidor que você utiliza.
Supondo que você tenha configurado controles adequados em seu ambiente de armazenamento (talvez uma grande suposição), o próximo passo é garantir que sua equipe esteja realmente usando-o corretamente. Isso nos leva ao conceito de SHADOW IT. É aí que os usuários finais decidem utilizar uma tecnologia que não é gerenciada ou aprovada pela organização. Isso se tornou especialmente prevalente agora, à medida que mais pessoas trabalham em casa e estão usando seus dispositivos pessoais. Nenhum sistema pode lidar adequadamente com dados confidenciais se não estiver sendo usado da maneira como são projetados.
Apesar de histórias legitimamente desconcertantes sobre violações de dados e hacks maliciosos nas notícias, as organizações que utilizam adequadamente soluções tecnológicas compatíveis são muito menos propensas a se encontrar no lado errado de um incidente de segurança com dados confidenciais.
Compartilhar
Os dados não existem no vácuo. Na maioria das vezes, as organizações que recebem dados confidenciais vão repassá-los a outras partes por razões importantes. Seu departamento de RH, por exemplo, pega os dados confidenciais de seus funcionários e os repassa ao governo, empresas de folha de pagamento e assim por diante.
Mas imagine se o seu departamento de RH pegasse essa informação e decidisse enviar algumas delas por correio normal em um envelope claro. Ou usaram quatro maneiras diferentes de enviá-lo dependendo do seu humor com poucos meios de rastreamento. Ou talvez o pior de tudo, eles simplesmente não validaram os nomes e endereços das partes com quem compartilharam essas informações, oferecendo informações pessoais a um criminoso no processo.
Para compartilhar adequadamente dados confidenciais como parte do curso normal dos negócios, você precisa estabelecer controles processuais e técnicos. Para isso, primeiro comece com o processo e o fluxo de trabalho. Tire a tecnologia da equação e pense no que as pessoas da sua equipe que compartilham dados confidenciais com terceiros têm que realizar. A partir daí, você pode estabelecer um processo de trabalho que pode então ser aumentado com soluções tecnológicas. Se você sabe o que sua equipe precisa fazer para fazer o trabalho principal, você pode então encontrar os produtos certos para fazê-lo de uma maneira apropriada.
Você, sem dúvida, precisará implementar criptografia em trânsito para qualquer dado que saia para terceiros. Além disso, você vai querer implementar soluções de verificação de identidade para que, quando você compartilhar dados confidenciais com terceiros, você possa estar confiante de que ele está indo para as pessoas certas. Você também deve considerar as soluções de monitoramento de ponto final e gerenciamento de dispositivos para proteger os dispositivos que tocam dados confidenciais de serem comprometidos.
Finalmente, os métodos reais para compartilhar dados confidenciais devem ser limitados. Existem muitas soluções de compartilhamento de arquivos ou mensagens que podem criptografar dados em trânsito e atender aos padrões de conformidade associados a dados confidenciais, mas isso não significa que você deve utilizar todos eles. Quanto mais tecnologia você implementar para compartilhar dados, mais ferramentas você terá que gerenciar e proteger, o que soma o aumento do risco ao longo do caminho. Depois de estabelecer suas soluções tecnológicas, force sua equipe a utilizá-las e fique longe de soluções de compartilhamento não autorizadas.
Remoção e Destruição
À medida que as empresas coletam cada vez mais dados, elas criam cofres de informações de que precisam para as operações. Mas à medida que criam um repositório maior, eles também criam mais responsabilidade e mais potencial para violações de dados que poderiam resultar em multas, auditorias e outras consequências. Além disso, dispositivos e usuários acabam por deixar a organização, criando o potencial de exposição de dados. Então, você precisa ter boas políticas e processos em vigor para lidar com a remoção e destruição de dados.
Dispositivos que armazenam qualquer tipo de dados confidenciais em repouso devem ter seus discos rígidos triturados quando eles estão aposentados do uso diário. E a destruição deve ser feita por uma empresa que o faz de forma compatível e documentada. Para dispositivos que não armazenam informações confidenciais, mas podem tê-las tocado no passado, é melhor restaurar esses dispositivos às configurações de fábrica antes de enviá-los para reciclagem ou doação. As normas específicas para remoção e destruição de dados variam de acordo com suas necessidades específicas de conformidade.
Além disso, quando um usuário deixa sua organização, certifique-se de que suas credenciais sejam alteradas ou revogadas para que eles não possam mais acessar as informações às quais eles já foram privilegiados. Essa é uma responsabilidade fundamental da gestão, já que os departamentos de TI e os provedores de serviços geralmente não estão cientes das mudanças de pessoal, mas podem responder às necessidades de gerenciamento de mudanças para proteger a empresa de riscos.
Diligência e uma Mente Aberta
Para as empresas que lidam com qualquer tipo de dados confidenciais, haverá limitações sobre o que pode ser feito, então você tem que obter a maior gestão de risco para os investimentos que você faz no que diz respeito à proteção de seus dados confidenciais. Lidar com dados confidenciais de forma segura e compatível requer diligência constante e nunca assumir que tudo está seguro. Mantenha a mente aberta de que a única constante é a mudança.
FONTE: TRIPWIRE