As ferramentas de proteção de dados funcionam praticamente sem contexto sobre os dados que elas supostamente protegem. Descoberta A proteção de dados sensíveis, confidenciais e regulamentados tem estado no topo da lista de tarefas de quase todos os CISOs nos últimos 10 anos. Em resposta, o setor de segurança de TI desenvolveu uma gama de soluções para ajudar a descobrir e classificar informações, permitindo melhor proteção. No entanto, essas soluções enfrentavam um problema persistente: as ferramentas de proteção de dados funcionam praticamente sem contexto sobre os dados que supostamente protegem.
Os desafios para manter os dados pessoais e privados protegidos estão cada vez maiores: não apenas as divulgações sobre violações são quase diárias, como também há uma lista crescente de regras e regulamentos de privacidade de dados que enfatizam a obrigação das empresas de proteger os dados que possuem sobre clientes e usuários. Outras regras exigem controles adequados por parte das empresas e um conjunto de processos de resposta e notificação de violações para usuários e clientes afetados pela exposição de seus dados privados.
Com as preocupações com a privacidade agora sendo primordiais tanto para consumidores quanto para empresas, agora obrigadas a atender a novos requisitos de conformidade, a pergunta com a qual muitos estão lutando é: como posso proteger a privacidade dos meus clientes se não sei nada sobre os dados que estou protegendo?
O ambiente evoluiu para assumir um foco maior na privacidade, mas as ferramentas de proteção de dados ainda precisam se adaptar a essa mudança. As soluções de segurança de TI têm se concentrado em maneiras de construir barreiras ao redor das informações e garantir que elas sejam criptografadas, a menos que o acesso seja autorizado. Firewalls na periferia, agentes no servidor, gateways na frente do servidor, IPS, AV, DLP, IPS, SIEM, EDR, UEBA, PIM, IAM, SSO — a lista continua. Ainda assim, uma questão fundamental permanece sem resposta: de quem são esses dados e qual a relevância dos dados — é o CPF de um cliente? De um funcionário? De uma pessoa aleatória? De uma criança? De um residente estrangeiro?
Há um elemento-chave que falta na proteção de dados hoje em dia: saber a identidade dos dados — ou quem é o "titular dos dados", como os profissionais e regulamentadores de privacidade se referem a ele. Por que saber a identidade dos dados ajuda? Aqui estão cinco razões rápidas:
1. Precisão aprimorada
A maioria das ferramentas de proteção de dados hoje em dia utiliza expressões regulares para identificar informações pessoais e sensíveis — como um CPF ou número de cartão de crédito. O problema é que o que parece um CPF nem sempre é um CPF. Pode ser um número de telefone com 9 dígitos e hífens. No entanto, se você sabe que um CPF pertence a um cliente ou funcionário seu, sabe que está diante de um CPF real.
2. O contexto de identidade define a sensibilidade
Informações de identificação pessoal (PII) são consideradas sensíveis apenas no contexto de um usuário específico. Informações pessoais como gênero, religião, idade, rotas de corrida, preferências de compras, endereço residencial... todas elas são sensíveis apenas se puderem ser vinculadas a um indivíduo específico. As ferramentas atuais de proteção de dados não conseguem analisar se um arquivo ou registro contendo informações sobre gênero, altura e peso de um indivíduo são atributos de um cliente específico. Não existe uma expressão regular ou algoritmo de aprendizado de máquina que possa dizer isso sem saber de quem são os dados. Para isso, você precisa da identidade dos dados.
3. Plano de Resposta a Violações
Sua suposição de trabalho deve ser que você será violado. É por isso que 25 estados nos EUA e o iminente GDPR exigem que você tenha um plano de resposta a violações em vigor e que seja capaz de notificar seus clientes em caso de violação dentro de 72 horas. A menos que você queira notificar todos os seus clientes ao descobrir uma violação de um data center ou banco de dados, você precisa saber quais dados do cliente estão armazenados e onde. Além disso, se você obtiver um despejo de dados de registros pessoais hackeados e quiser saber quais dos seus clientes foram afetados para que você possa notificá-los ou pelo menos solicitá-los a redefinir suas senhas, você precisa ter a capacidade de correlacionar esse despejo de dados aos dados dos seus clientes. Isso requer, novamente, saber a identidade dos dados.
4. Honrar os direitos do titular dos dados
Embora o termo "direitos do titular dos dados" seja normalmente associado ao Regulamento Geral sobre a Proteção de Dados (RGPD) da UE, o princípio da propriedade dos dados do consumidor está amplamente incorporado nos EUA por meio de várias regulamentações existentes, como a HIPAA, e cada vez mais enfatizado nas novas regras emitidas pela FTC e FCC. Os direitos do titular dos dados referem-se a um conjunto de direitos que os indivíduos têm em relação aos seus dados pessoais e às limitações de como eles são coletados e processados por provedores de serviços, agências governamentais e outros órgãos. Isso inclui o direito de saber quais dados são armazenados sobre você, o direito de acessar os dados, bem como o direito de apagá-los ou modificá-los. Não ser capaz de satisfazer e honrar esses direitos pode se traduzir em penalidades pesadas — até 4% de receitas globais sob o RGPD. Para que uma organização cumpra esses direitos, é preciso saber onde residem os dados de cada indivíduo. Lidar com os direitos do titular dos dados requer conhecer a identidade dos dados.
5. Determinar a residência e a soberania dos dados
A aplicabilidade de muitas regulamentações de proteção de dados depende da residência dos indivíduos. Mais notavelmente, a aplicabilidade do GDPR depende da residência do indivíduo na UE, mas agora também na Rússia, China e outros países. Isso significa que, se você estiver processando dados de residentes desses países, estará sujeito às regulamentações de proteção de dados deles. Como saber quais sistemas de dados contêm os dados de quais residentes? Novamente, você precisa saber a identidade dos dados.
As ferramentas de proteção de dados existentes precisam se adaptar a esses novos requisitos para atender aos requisitos de privacidade. Na prática, isso exige a criação de um inventário dos dados pessoais dos seus clientes, que indique onde você armazena os dados pessoais de cada indivíduo. A boa notícia é que ter esse tipo de inventário pode não apenas melhorar a privacidade e a segurança, mas também ajudar você a monetizar com eles.
As ferramentas de proteção de dados existentes precisam se adaptar a esses novos requisitos para atender aos requisitos de privacidade. Na prática, isso exige a criação de um inventário dos dados pessoais dos seus clientes, que indique onde você armazena os dados pessoais de cada indivíduo. A boa notícia é que ter esse tipo de inventário pode não apenas melhorar a privacidade e a segurança, mas também ajudar você a monetizar com eles.
Autor
