.
As empresas vivem com medo constante de experimentar uma violação de dados porque entendem o dano que isso pode causar - não apenas para sua reputação, mas também para seus resultados. Devido a essas preocupações, eles fazem o que é necessário para proteger seus dados, redes e infra-estrutura tanto de pessoas de fora quanto de pessoas mal-intencionadas. Mas isso é apenas metade da história e mais organizações estão começando a perceber isso. A outra metade - privacidade de dados é igualmente importante.
A segurança de dados refere-se às formas pelas quais as organizações protegem seus dados, incluindo salva guardas técnicas que ajudam a garantir a confidencialidade, integridade e disponibilidade dos dados. A privacidade de dados gira em torno do uso e controle de dados pessoais. Isso pode incluir desde informações de identificação pessoal (PII) a informações financeiras, até informações sobre a carreira, a educação, a saúde, a família ou a história criminal de uma pessoa.
A partir dessas definições, fica claro que esses dois termos - “ segurança de dados ” e “privacidade de dados” - não devem ser usados de maneira intercambiável. Embora estejam certamente relacionados e sejam extremamente importantes, devem ser abordados de maneiras diferentes, mas integradas.
Essa integração é crítica, mas complicada.
“Gostamos de dizer que você pode ter segurança sem privacidade, mas não pode ter privacidade sem segurança”, diz Cindy Compert, CTO Data Security and Privacy for IBM Security. “Considere os dados que você acredita estarem solidamente protegidos: ele é criptografado, o acesso é restrito e você implementa vários sistemas de monitoramento sobrepostos. Em todos os sentidos significativos da palavra, os dados são seguros. Mas quando você adiciona privacidade à mistura, ela se torna um pouco mais complicada. Por exemplo, embora o agente de atendimento ao cliente possa ser fornecido para acessar os detalhes da sua conta após passar por algumas perguntas de segurança, a privacidade não permitirá que o mesmo indivíduo verifique a conta de um membro da família, mesmo que tenha privilégios de acesso a essa informação. "
.
.
A crescente importância - e complexidade - da privacidade de dados
Regulamentações cada vez mais rigorosas nos Estados Unidos e no exterior colocam as preocupações e a conformidade com a privacidade de dados como o front-and-center da maioria das empresas. Por exemplo, os regulamentos de privacidade em leis como a Lei de Portabilidade e Responsabilidade de Seguro de Saúde (HIPAA) e a Política de Proteção à Privacidade Online das Crianças (COPPA) dão aos clientes o direito de ver todos os dados coletados sobre eles e permitem que eles solicitem a exclusão desses dados. Alguns estados, como a Califórnia, têm suas próprias leis de privacidade.
O mais recente Regulamento Geral de Proteção de Dados (GDPR) da União Europeia é ainda mais amplo, definindo uma violação de privacidade como a recuperação ou divulgação ilegal de "qualquer informação relacionada a uma pessoa física identificada ou identificável". Essas informações podem incluir publicações em mídias sociais, endereços de e-mail, dados bancários, fotos e endereços IP.
O não cumprimento deste regulamento pode resultar em multas de até 4% da receita bruta.
Cada organização define suas próprias políticas de privacidade de dados, que normalmente incluem quais dados serão coletados, como esses dados serão coletados e usados, quem terá acesso a eles, se ou como os dados podem ser compartilhados com terceiros, se os dados puderem ser legalmente coletados ou armazenados e por quanto tempo os dados serão armazenados. Eles também detalham quais restrições regulamentares a organização deve cumprir.
Essas informações são críticas, não apenas para as empresas que esperam evitar multas e outras penalidades, mas também para os próprios clientes. De acordo com um relatório recente da RSA, as preocupações com privacidade de dados estão muito altas agora. O relatório constatou que 80% dos entrevistados consideram a informação financeira e bancária a principal preocupação, enquanto 72% consideram a informação de identidade pessoal uma área significativa de preocupação. Mais da metade dos millennials estão preocupados com informações pessoais sendo usadas para chantagem. Uma pesquisa da Harris no ano passado, patrocinada pela IBM, apoiou isso, concluindo que três quartos dos consumidores globais não comprariam um produto ou serviço de uma empresa se não confiassem nessa empresa para proteger seus dados.
Claramente, a falha em levar a sério a privacidade dos dados pode ter sérias consequências para as próprias empresas. De acordo com um relatório da Cisco, dois terços das empresas dizem que estão vendo atrasos de vendas devido a questões de privacidade de dados de seus clientes .
“Basicamente, uma boa privacidade é boa para os negócios”, diz Robert Waitman, diretor de privacidade de dados do Gabinete de Segurança e Confiança da Cisco.
.
.
Encontrando o equilíbrio entre privacidade e segurança
Satisfazer tanto a privacidade de dados quanto as preocupações com segurança de dados é um ato de equilíbrio delicado, mas importante. Por um lado, eles às vezes exigem diferentes ferramentas ou abordagens. Tipos populares de ferramentas de privacidade de dados incluem extensões de navegador e add-ons, gerenciadores de senhas, navegadores privados e serviços de e-mail, mensagens criptografadas, mecanismos de pesquisa privados, proxies da web, software de criptografia de arquivos e bloqueadores de anúncios e rastreadores. As ferramentas de segurança de dados incluem gerenciamento de identidade e acesso, prevenção de perda de dados (DLP), antimalware e antivírus, gerenciamento de informações e eventos de segurança (SIEM) e software de mascaramento de dados.
Mas certamente existem tecnologias que podem funcionar duplamente, fornecendo algum nível de segurança de dados e proteção de privacidade de dados. Isso inclui redes privadas virtuais (VPNs), gerenciamento de chaves, software de monitoramento em tempo real, controle de acesso baseado em atributos (um nível mais granular de controle do que controle de acesso baseado em funções) e gerenciamento de acesso e identidade do cliente (CIAM). A maioria dos especialistas recomenda uma mistura de todas essas tecnologias.
“As empresas que estão fazendo o certo têm um programa unificado, com uma estrutura de classificação acordada, juntamente com um processo de avaliação e controles baseados na sensibilidade dos dados”, diz Compert.
Mas não é tão simples assim. Para tornar as coisas ainda mais complicadas, nem todos os dados são criados igualmente. Em outras palavras, alguns dados são simplesmente mais sensíveis do que outros, exigindo diferentes tipos de proteção.
"Digamos que sua linha de base para todos os dados pessoais seja a criptografia, mas para dados altamente confidenciais, você pode adicionar coisas como monitorar os usuários privilegiados que têm acesso", diz Compert. "Por exemplo, você pode optar por monitorar toda a atividade de um administrador de banco de dados, criando uma trilha de auditoria para garantir que eles estejam acessando apenas os dados que precisam acessar."
Este é um exemplo do que o Compert chama de programa unificado; ele descreve uma obrigação de privacidade de dados junto com um conjunto de controles de segurança de dados que controlará o acesso (identidade), protegerá contra perda inadvertida (criptografia) e monitorará a atividade e procurará atividades incomuns.
.
.
Juntando Tudo
Claramente, casar privacidade e segurança de dados em um programa abrangente não é fácil. Para muitos, a estrutura GDPR tornou-se uma estrutura de controle de privacidade de fato, porque define tudo bem.
"Passar pelo processo de preparação do GDPR ou por qualquer regulamentação de privacidade pode ajudar as organizações a obter a privacidade de seus dados em ordem", diz Waitman. Ele observou que o relatório da Cisco descobriu que as empresas que fizeram o esforço para se preparar para o GDPR estão vendo atrasos de vendas mais curtos do que aqueles que não o fizeram. Eles também estão incorrendo em menos impacto de violações de dados quando ocorrem.
“Se você tem sua casa de dados em ordem e sabe onde seus dados estão, como protegê-los e quem tem acesso a eles, se algo der errado e houver uma violação, você já fez a coisa certa para controlar seus dados, " ele diz.
Além de cumprir as regulamentações e manter os clientes felizes, há outra razão importante para tomar a iniciativa: os data stores continuam a crescer e grande parte desses dados é uma preocupação com a privacidade. Segundo o Gartner , o backup e o arquivamento de dados pessoais representarão a maior área de risco de privacidade para 70% das organizações até 2020.
Embora os principais diretores de privacidade, os CIOs e o departamento jurídico certamente desempenhem um papel importante nesse esforço, os profissionais de TI também têm um papel importante.
“Muitos profissionais de privacidade não entendem a natureza da tecnologia disponível para ajudar a acelerar o processo, como a digitalização de dados pessoais”, diz Compert. “Se os profissionais de TI dedicarem tempo para se informar sobre privacidade de dados e os regulamentos que se aplicam à sua organização, eles poderão se unir a profissionais de privacidade para fazer a diferença.”
Fonte: itprotoday.com