Hoje, a privacidade e o NIST estão nas manchetes e no bom sentido! É com satisfação que anunciamos o lançamento do esboço preliminar da estrutura de privacidade do NIST: uma ferramenta para melhorar a privacidade por meio do gerenciamento de riscos corporativos para comentários do público.
Desde nosso workshop de lançamento em outubro de 2018, em Austin, Texas, apresentamos uma Solicitação de informações e viajamos pelo país realizando uma série de workshops e mesas redondas para ouvir as partes interessadas sobre seus desafios com a proteção da privacidade e como podemos desenvolva o Privacy Framework em uma ferramenta que ajudará. Este esboço preliminar é o resultado dessas conversas. Nosso objetivo era fornecer uma ferramenta que pudesse ajudar as organizações a se comunicarem melhor sobre os riscos de privacidade ao projetar e implantar produtos e serviços, fornecer soluções mais eficazes que podem levar a melhores resultados de privacidade e facilitar o cumprimento de suas obrigações legais. Agora é sua vez de nos informar se atingimos esse objetivo.
Claro, não seria tão divertido se não houvesse um pouco de emoção durante o processo de desenvolvimento. Discussões robustas sobre como descrever o relacionamento entre privacidade e segurança cibernética ocuparam o centro do palco. Como colocamos o gerenciamento de riscos de privacidade em paridade com o gerenciamento de riscos de segurança cibernética, bem como com os portfólios de riscos corporativos mais amplos das organizações? Como abordamos a sobreposição entre segurança de dados e violações de privacidade de maneiras práticas e econômicas? Onde o framework de segurança cibernética desempenha um papel?
OK, não é exatamente um material compatível com a gaiola, mas se queremos fazer progressos significativos na otimização de usos benéficos dos dados e minimizar consequências adversas para indivíduos (ou para a sociedade como um todo), precisamos lidar com esses problemas. Desde o início, ouvimos das partes interessadas o desejo de modelar a estrutura do Privacy Framework após o Cybersecurity Framework, como usar a construção do Core com suas funções de alto nível e um conjunto cada vez mais granular de atividades e resultados de proteção. Mas houve respostas contraditórias sobre se a Estrutura de Privacidade e a Estrutura de Cibersegurança deveriam ter Funções sobrepostas em relação à segurança dos dados, por isso decidimos realizá-lo. Propusemos duas opções para o núcleo da estrutura de privacidade discutir em nosso terceiro workshop em Boise, Idaho:uma opção incluía funções do Cybersecurity Framework para tratar da segurança dos dados, enquanto a outra não.
Alerta de spoiler: se você está procurando a grande revelação em que Core nós selecionamos, lamentamos desapontá-lo, mas esta é uma zona livre de drama! Embora os pontos de vista estivessem divididos de maneira bastante uniforme nas opções Principais, os interessados sentiram-se fortemente sobre suas preferências, porque refletiram o quão estreitamente suas organizações colaboravam em privacidade e segurança cibernética e a maturidade de seus programas de privacidade. Esses motivos nos disseram que devemos projetar o Núcleo para atender às organizações onde estão hoje e fornecer flexibilidade para permitir que eles “escolham sua própria aventura” quando se trata de usar as duas estruturas. Para demonstrar essa flexibilidade, criamos o seguinte diagrama de Venn, espelhando o que usamos para descrever a relação entre privacidade e segurança cibernética (consulte a seção 1.2.1 do esboço preliminar).
Crédito: NIST
Conforme apresentado no esboço preliminar, há cinco funções na estrutura de privacidade: Identify-P, Govern-P, Control-P, Communicate-P e Protect-P, onde o -P distingue atividades focadas na privacidade versus atividades de segurança cibernética. Os quatro primeiros podem ser usados para gerenciar riscos de privacidade decorrentes do processamento de dados, enquanto o Protect-P pode ajudar as organizações a gerenciar riscos de privacidade associados a violações de privacidade, além de Detectar, Responder e Recuperar a partir do Cybersecurity Framework. Protect-P não é a única maneira de gerenciar riscos de privacidade associados a violações de privacidade. Como alternativa, as organizações podem usar todas as funções da estrutura de segurança cibernética em conjunto com Identify-P, Govern-P, Control-P e Communicate-P para lidar coletivamente com os riscos de privacidade e segurança cibernética.
No NIST, acreditamos na importância da colaboração entre as equipes de privacidade e segurança cibernética. É por isso que trabalhamos para integrar a privacidade às nossas diretrizes de segurança cibernética. Publicações especiais 800-37 Rev. 2, Estrutura de gerenciamento de risco para sistemas e organizações de informações: uma abordagem de ciclo de vida do sistema para segurança e privacidade, 800-53 Rev. 5 (rascunho), Controles de segurança e privacidade para sistemas federais de informação e 800- 63 Rev. 3, Diretrizes de identidade digital são todos bons exemplos de nossos esforços até o momento. Mas, como observado acima, também reconhecemos que é importante criar uma ferramenta que seja utilizável, independentemente da estrutura de uma organização. Percebemos que essa flexibilidade tem um custo de alguma complexidade. Portanto,
Até o momento, o desenvolvimento da Estrutura de Privacidade foi um verdadeiro prazer, devido ao envolvimento fantástico de nossas partes interessadas. Embora a versão 1.0 seja realmente o primeiro de muitos marcos, se você já participou da jornada, obrigado! Se ainda não o fez, não perca esta oportunidade de compartilhar seus comentários conosco.
Aceitaremos comentários públicos sobre o Projeto Preliminar até 24 de outubro de 2019. As instruções para envio podem ser encontradas aqui . Se você quiser saber mais sobre o Rascunho Preliminar, participe de nosso Seminário on-line do NIST Privacy Framework: Pronto, Conjunto, Comentário sobre o Rascunho Preliminar em 17 de setembro de 2019 (uma gravação será publicada posteriormente). Também estaremos circulando em vários eventos nos próximos meses – visite nosso site para obter mais informações sobre onde se envolver conosco ou entrar em contato.para saber mais sobre como se tornar um dos primeiros a adotar a Estrutura de Privacidade. Boa revisão!
FONTE: https://www.nist.gov/blogs/cybersecurity-insights/preliminary-draft-nist-privacy-framework-here