Na última década, a legislação relacionada à privacidade se desenvolveu consideravelmente. A’indústria da privacidade’passou por uma metamorfose não vista em muitas outras disciplinas. Agora, enquanto refletimos sobre o futuro pós-pandemia, devemos reconhecer que poder acessar e compartilhar dados precisos rapidamente é fundamental para todos.
Ao pensar sobre isso, é importante lembrar que há uma forte sobreposição entre os aspectos comerciais e pessoais, um exemplo disso são os gerenciadores de senhas. Eles terão credenciais pessoais e relacionadas ao trabalho salvas neles, o que pode ser difícil de distinguir, e é por isso que existem planos corporativos de uso familiar.
Como organização, como você mede a conformidade em sua empresa quando quantidades crescentes de dados estão sendo compartilhadas? E como você decide quando’bom o suficiente’é realmente bom o suficiente?
Para indivíduos, como você mantém suas informações privadas?
Uma equação de tudo ou nada?
Os dados como uma mercadoria cresceram de visões antigas de estrutura e rigidez para armazenamentos de informações de big data que são em sua maioria precisos. Esses armazenamentos de dados podem ser usados para entender os comportamentos individuais, geralmente para fins comerciais.
Por exemplo, você pode começar a receber mensagens sobre carros porque postou uma foto de seu novo veículo nas redes sociais. Esta é uma invasão sutil de privacidade se você não souber que isso está acontecendo (chamamos isso de consentimento obrigatório) e pode ser especialmente irritante se você não estiver mais no mercado automotivo e não quiser ser alvo de tais anúncios.
Como indivíduos, podemos ter certeza de que há um esforço de pelo menos alguma grande tecnologia para aplicar a privacidade por padrão. Isso é inestimável, pois significa que muitos de nós podemos nos beneficiar de tais medidas de privacidade, como as promulgadas pelo GDPR e CPRA, mesmo sem perceber.
No entanto, para as empresas, muito mais esforço precisa ser feito nisto.
Muitas vezes medimos o sucesso dos negócios puramente em termos de vitórias e derrotas, como estar no preto ou no vermelho, estar em conformidade ou não. Por exemplo, você não pode ter um orçamento 80% equilibrado ou um dispositivo médico 90% seguro. Os dados nem sempre seguem essas regras.
Haverá exceções notáveis para níveis extremamente altos de precisão para, digamos, organizações nucleares ou ativos militares. Em geral, porém, os setores comercial e público têm recursos finitos e precisam escolher sabiamente para obter o melhor retorno.
Isso é novidade e pode fazer com que as funções sim/não de uma empresa pareçam desconfortáveis. Especialmente diante de novas tecnologias (como ChatGPT) e padrões de conformidade atualizados recentemente (ISO 27001/2 2022) ou novos (NIST anuncia os primeiros quatro algoritmos criptográficos resistentes a quantum | NIST). Isso significa escolher e priorizar quais estruturas de conformidade implementar, quais códigos de conduta seguir e quais certificações buscar.
O que é”bom o suficiente”para conformidade e manutenção da privacidade?
Esta é uma questão que nos desafia continuamente. Em que ponto devemos considerar nossos esforços satisfatórios? Há duas coisas a considerar:
Qual é a importância de sua atividade para a estratégia geral ou objetivo de vida? Quais são os riscos envolvidos no cenário?
Dependendo de onde você está em sua jornada de privacidade, você se concentrará em diferentes áreas. Como indivíduo, isso pode ser tão simples quanto entender como proteger e gerenciar suas senhas e excluir ou desativar contas de mídia social. Além disso, você pode ativar o modo de bloqueio da Apple se for um provável alvo do crime organizado.
Uma organização pode achar que precisa atender a certos requisitos mínimos de certificação ou credenciamento para fazer negócios–e pode haver muitos requisitos diferentes que você precisa atender! Frequentemente, há sobreposições nessas estruturas. Uma rápida pesquisa on-line por um mapeamento NIST para ISO 27001 e várias planilhas mostrará que atender a uma estrutura atinge 75 por cento da outra.
Independentemente de qual estrutura você está focando, não está fazendo nada sobre o lacunas que seriam uma preocupação séria. Se você é um PME, considere começar com a orientação em nosso site e CISA e NCSC websites.
Melhorar o comportamento do funcionário e ficar confortável com a privacidade
Você já assistiu a uma reunião de equipe e perto do final há uma breve declaração de que seu treinamento de conformidade é devido na próxima semana? É provável que muitos funcionários se apressem e esqueçam muito do que acabaram de fazer.
O truque para melhorar esse processo não é realmente um truque-a chave é estar visível e engajado com seus colegas-trabalhadores. Ouça ativamente seus desafios e esteja preparado para mudar sua opinião sobre como a conformidade pode ser alcançada. (Lembre-se, há mais de uma maneira de obter conformidade!). Quando seus colegas se preocupam com segurança e privacidade como você, esse é um momento positivo e seu risco humano ativado será menor.
Ficar confortável com o gerenciamento de privacidade pessoal é uma curva de aprendizado para todos nós. Alguns anos atrás, conversar sobre o uso de um gerenciador de senhas era muito incomum. Infelizmente, o número de golpes direcionados a pessoas vulneráveis ainda está aumentando. Parar para pensar e falar sobre quais permissões um aplicativo solicita em seu smartphone está se tornando um pouco mais comum. Isso se deve a algumas coisas, como treinamento de conscientização nos negócios e às infelizes vítimas do crime que aprenderam da maneira mais difícil compartilhando essas experiências na imprensa.
The Stick
Seja FTC, FCA, ICO, CNIL, Dept of HHS ou qualquer outro dos vários órgãos públicos que podem impor a aplicação, o tema consistente é o tamanho e a frequência crescentes das multas. Agora é difícil não ver uma manchete popular sem perceber uma violação ou multa. Meta, Clearview AI, Nissan, LastPass, Amazon, Vodafone, Dialpad e Yale University se viram sujeitas a hackers ou violações de suas obrigações de conformidade. Descobrir que não está investindo em ferramentas, pessoas e decisões de design para manter as informações privadas não só está se tornando mais importante, mas também mais caro se você não o fizer.
Crédito da imagem: BeeBright/depositphotos.com
Kevin Tunison é Data Protection Officer, Egress. Os produtos Egress Defend, Egress Prevent e Egress Protect mantêm suas informações criptografadas. Para as empresas, usar o Defend também significa que a conformidade será muito mais fácil de demonstrar ao renovar uma certificação ISO 27001 para Threat Intelligence.