0
0
As agências governamentais continuam criando novas regras de privacidade, enquanto os usuários finais são vítimas de práticas ilícitas e fraudes.
Bill Tolson, vice-presidente de conformidade e descoberta eletrônica da Archive360 , passou muitos anos consultando reguladores e aconselhando empresas sobre medidas concretas para aumentar a privacidade dos dados. Nesta entrevista da Help Net Security, ele discute como as organizações devem garantir que a privacidade seja incorporada ao processo de design, investimentos em segurança cibernética para melhor privacidade e muito mais.
Quais etapas práticas as empresas devem seguir para garantir que a privacidade seja adequadamente incorporada ao processo de design? Que benefícios isso terá a longo prazo?
Vamos entender a mudança contínua nas prioridades. Tradicionalmente, vimos organizações criando processos para preservar registros específicos para cumprir mandatos específicos. Estes são geralmente limitados em escopo, afetando talvez 5% de todos os dados/registros internos. Agora, é sobre tudo — todos os dados corporativos, incluindo informações mantidas e/ou controladas pelos funcionários em seus dispositivos pessoais. Além disso, as organizações são obrigadas a capturar, indexar, proteger e descartar todas as PII com base em diferentes leis de privacidade de dados estaduais, federais e estrangeiras .
Nada disso acontecerá sem que tecnologias, políticas e processos de privacidade de dados sejam implantados antecipadamente. Como observou Jen Easterly da CISA, precisamos distinguir entre segurança por design e segurança por padrão.
Considere como isso funciona com tecnologias populares. Por exemplo, nossa experiência no Archive360 mostra que muitas organizações enviam compartilhamentos de arquivos locais para a nuvem por meio do Microsoft SharePoint Online. Isso oferece duas vantagens: permite uma mudança completa para a nuvem e oferece acesso aprimorado e segurança de dados. Isso é possível com a criação de um compartilhamento de arquivos na plataforma SharePoint Online da organização, que permite a sincronização automática de pastas específicas nos computadores dos funcionários até o compartilhamento de arquivos do SharePoint. Ele coloca os processos certos no início: as políticas são configuradas apenas para permitir que os dados do funcionário sejam armazenados em pastas específicas no dispositivo do funcionário, que é sincronizado regularmente com o SharePoint Online. Esses dados podem ter políticas de retenção/disposição definidas para gerenciamento contínuo; todos os novos arquivos podem ser verificados quanto ao conteúdo PII,
Este é um exemplo. Em todos os casos, tecnologias e processos devem ser projetados para abranger todos os dados, com processos incorporados antecipadamente para simplificar a captura, digitalização, retenção, pesquisa e recuperação.
Embora os regulamentos globais de proteção de dados tenham forçado as organizações a prestar mais atenção em como lidam com PII, ainda vemos violações maciças e milhões perdem sua privacidade diariamente. Os indivíduos serão capazes de controlar como suas informações são usadas? Há algo que eles possam fazer?
Embora ainda estejamos longe do ideal, é bom ver a privacidade de dados consagrada como um direito humano. Desde o progenitor GDPR na Europa, passando pela explosão de mandatos estaduais até (talvez) um padrão nacional, os direitos individuais estão em primeiro plano.
Dito isso, as leis da natureza humana determinam que sempre teremos ações malignas de maus atores. A diferença agora é que os indivíduos podem adquirir mais facilmente informações sobre quais organizações têm um histórico de segurança e violações de PII insatisfatórias e optar por levar seus negócios para outro lugar. Caso contrário, as leis prescritivas de privacidade de dados e a aplicação agressiva que forçam as empresas a investir em tecnologias inovadoras e melhores práticas continuam sendo o melhor remédio para violações de privacidade.
Essa mudança é impulsionada por indivíduos cada vez mais conscientes de seus direitos à privacidade de dados. Assim como os debates públicos levam a novas leis em todo o país, os fornecedores mudam a forma como coletam e usam dados sobre indivíduos — notificação e coleta de cookies em sites, configurações de privacidade mais robustas, etc. Essas são mudanças incrementais, mas estão ganhando força.
O conhecimento é uma arma poderosa e novos mandatos de privacidade de dados aumentam o arsenal do consumidor. Isso inclui o direito privado de ação, por meio do qual eles podem iniciar ações judiciais contra organizações que falharam em implementar protocolos de segurança adequados; e a solicitação de acesso do titular dos dados, por meio da qual ele pode solicitar a uma empresa informações sobre quais dados essa empresa possui sobre eles e como estão sendo usados. À medida que essas medidas ganharem força e alimentarem mais ações legais, esperamos ver menos infrações e violações.
As multas são significativas o suficiente? Para algumas empresas, pagar centenas de milhões em multas ainda é uma gota no oceano em comparação com o que ganham com o manuseio incorreto dos dados de seus usuários.
Há um consenso geral de que as sanções do GDPR – até 4% da receita global ou 20 milhões de euros, juntamente com as ondas da má publicidade – chamaram a atenção até mesmo das maiores organizações. No entanto, muitas novas leis estaduais diminuem as multas possíveis e não fornecem punição suficiente para gerar mudanças reais.
Uma violação é indiscutivelmente diferente: enquanto os dados do consumidor são comprometidos, as organizações também sofrem um grande golpe, incluindo ações judiciais individuais, danos à marca, perda de patrimônio dos acionistas e diminuição dos negócios.
Digamos que uma organização deseja lidar com dados confidenciais com segurança. Que tipo de investimento em segurança cibernética eles estão olhando? Hardware, software, conscientização de segurança, etc.
Nenhuma abordagem isolada pode afastar todos os perigos — é necessária uma combinação potente de tecnologias, políticas e práticas, tudo com o suporte da diretoria. Lembre-se de que os funcionários geralmente representam o elo mais fraco na cadeia de segurança de dados, pois um simples e-mail de phishing pode contornar as defesas mais sofisticadas. Uma proteção forte começa com treinamento prático e aplicação.
A gestão também pode ajudar a garantir que cada estratégia seja construída sobre uma base sólida. Muitas empresas estão agora envolvidas em grandes iniciativas de transformação digital e migração para a nuvem. No entanto, alguns ainda precisam de ajuda para responder a perguntas básicas: sabemos onde residem todos os dados da casa? Sabemos quanto dele contém PII e quem tem acesso a ele? Como os dados são gerenciados na nuvem? Que tipo de criptografia foi aplicada? Onde estão armazenadas as chaves de criptografia e quem tem acesso a elas?
A implementação de uma arquitetura de confiança zero com direito de acompanhamento pode ajudar muito a limitar o acesso a dados confidenciais. Em determinadas situações, também é possível implantar software para funções específicas dentro de um ambiente isolado, o que ajuda a garantir segurança de rede, escalabilidade, contas de armazenamento, controles de acesso e muito mais. Dessa forma, não há recursos de rede compartilhados e a segurança aprimorada é combinada com maior flexibilidade para garantir uma implantação específica da empresa – um inquilino de nuvem dedicado e software personalizado para atender a necessidades específicas.
Alguns argumentam que os regulamentos que temos hoje são muito rígidos ou precisam permitir mais latitude para as empresas trabalharem com dados. O que definiria um conjunto de recursos realistas de privacidade de dados?
Essa premissa é inaceitável: as leis atuais de privacidade de dados não são prescritivas o suficiente e não trazem uma desvantagem grande o suficiente para que muitas empresas as levem a sério. A ideia de que não podemos trabalhar com dados sem violar os direitos de privacidade de dados é ridícula, até mesmo ofensiva.
Precisamos de mais aplicação, a possibilidade de litígio individual de titulares de dados e penalidades maiores. As empresas que estão fazendo certo não têm com o que se preocupar; sanções estritas podem persuadir o resto.
FONTE: HELPNET SECURITY