As ferramentas de proteção de dados funcionam praticamente sem nenhum contexto sobre a quem pertencem os dados que supostamente protegem. Descoberta A proteção de dados sensíveis, confidenciais e regulamentados tem estado no topo da lista de prioridades de quase todos os CISOs nos últimos 10 anos. Em resposta, a indústria de segurança de TI desenvolveu uma série de soluções para ajudar a descobrir e classificar informações, de modo a protegê-las melhor. No entanto, essas soluções enfrentaram um problema persistente: as ferramentas de proteção de dados funcionam praticamente sem contexto sobre a quem pertencem os dados que supostamente protegem.
A importância de manter dados pessoais e privados está cada vez maior: não só as divulgações sobre violações de dados são quase diárias, como também há um número crescente de regras e regulamentações de privacidade de dados que enfatizam a obrigação das empresas de proteger os dados que detêm sobre clientes e usuários. Outras regras exigem controles adequados por parte das empresas e um conjunto de processos de resposta e notificação a violações de dados para usuários e clientes afetados pela exposição de seus dados privados.
Com as preocupações com a privacidade se tornando primordiais tanto para os consumidores quanto para as empresas, que agora são obrigadas a atender aos novos requisitos de conformidade, a pergunta que muitos estão se fazendo é: como posso proteger a privacidade dos meus clientes se não sei nada sobre os dados que estou protegendo?
O ambiente evoluiu para priorizar a privacidade, mas as ferramentas de proteção de dados ainda não se adaptaram a essa mudança. As soluções de segurança de TI têm se concentrado em maneiras de criar barreiras em torno das informações e garantir que elas permaneçam criptografadas, a menos que o acesso seja autorizado. Firewalls na periferia, agentes no servidor, gateways na frente do servidor, IPS, AV, DLP, SIEM, EDR, UEBA, PIM, IAM, SSO — a lista é extensa. No entanto, uma questão fundamental permanece sem resposta: de quem são esses dados e qual a sua relevância? Trata-se do número do Seguro Social de um cliente? De um funcionário? De uma pessoa aleatória? De uma criança? De um residente estrangeiro?
Existe um elemento fundamental que está faltando na proteção de dados atualmente: o conhecimento da identidade do titular dos dados, ou seja, quem é o "titular dos dados", como os profissionais e regulamentações de privacidade o denominam. Por que conhecer a identidade do titular dos dados é importante? Aqui estão cinco razões rápidas:
1. Precisão aprimorada
A maioria das ferramentas de proteção de dados atuais utiliza expressões regulares para identificar informações pessoais e sensíveis, como um número de CPF ou de cartão de crédito. O problema é que o que parece ser um CPF nem sempre é um CPF de fato. Pode ser um número de telefone com 9 dígitos e hífens. No entanto, se você sabe que um CPF pertence a um cliente ou funcionário, você sabe que está diante de um CPF verdadeiro.
2. O contexto de identidade define a sensibilidade.
Informações de identificação pessoal (IIP) são consideradas sensíveis apenas no contexto de um usuário específico. Informações pessoais como sexo, religião, idade, percursos de corrida, preferências de compras, endereço residencial... todas essas informações são sensíveis apenas se puderem ser vinculadas a um indivíduo específico. As ferramentas atuais de proteção de dados não conseguem analisar se um arquivo ou registro contendo informações sobre o sexo, altura e peso de um indivíduo são atributos de um cliente específico. Não existe uma expressão regular ou algoritmo de aprendizado de máquina que possa dizer isso sem saber a quem pertencem os dados. É necessário identificar a origem dos dados para isso.
3. Plano de Resposta a Incidentes de Segurança
Sua premissa básica deve ser a de que você sofrerá uma violação de segurança. É por isso que 25 estados nos EUA, e a iminente GDPR, exigem que você tenha um plano de resposta a incidentes de segurança e que seja capaz de notificar seus clientes em caso de violação em até 72 horas. A menos que você queira notificar todos os seus clientes ao descobrir uma violação em um data center ou banco de dados, você precisa saber quais dados de clientes estão armazenados e onde. Além disso, se você obtiver um vazamento de dados pessoais comprometidos e quiser saber quais clientes foram afetados para notificá-los ou, pelo menos, incentivá-los a redefinir suas senhas, você precisa ser capaz de correlacionar esse vazamento de dados com os dados de seus clientes. Isso requer, novamente, o conhecimento da identidade dos dados.
4. Respeito aos direitos do titular dos dados
Embora o termo "direitos do titular dos dados" seja normalmente associado ao Regulamento Geral de Proteção de Dados (RGPD) da UE, o princípio da propriedade dos dados pelo consumidor está amplamente consolidado nos EUA por meio de diversas regulamentações existentes, como a HIPAA, e cada vez mais enfatizado em novas normas emitidas pela FTC e FCC. Os direitos do titular dos dados referem-se a um conjunto de direitos que os indivíduos possuem em relação aos seus dados pessoais e às limitações de como esses dados são coletados e processados por provedores de serviços, agências governamentais e outras entidades. Isso inclui o direito de saber quais dados são armazenados sobre você, o direito de acessar esses dados, bem como o direito de apagá-los ou modificá-los. O não cumprimento desses direitos pode resultar em penalidades severas — até 41 trilhões de dólares em receitas globais, de acordo com o RGPD. Para que uma organização atenda a esses direitos, é fundamental saber onde os dados de cada indivíduo estão armazenados. A defesa dos direitos do titular dos dados exige o conhecimento da identidade dos dados.
5. Determinar a residência e a soberania dos dados
A aplicabilidade de muitas normas de proteção de dados depende da residência dos indivíduos. Notavelmente, a aplicabilidade do RGPD depende da residência do indivíduo na UE, mas agora também na Rússia, China e outros países. Isso significa que, se você processa dados de residentes desses países, está sujeito às respectivas normas de proteção de dados. Como saber quais sistemas de dados armazenam os dados de quais residentes? Novamente, você precisa saber a identidade dos dados.
As ferramentas de proteção de dados existentes precisam se adaptar a esses novos requisitos para que possam atender às exigências de privacidade. Na prática, isso requer a criação de um inventário dos dados pessoais de seus clientes, que indique onde você armazena os dados pessoais de cada indivíduo. A boa notícia é que ter esse tipo de inventário não só pode melhorar a privacidade e a segurança, como também pode ajudar a monetizar esses dados.
As ferramentas de proteção de dados existentes precisam se adaptar a esses novos requisitos para que possam atender às exigências de privacidade. Na prática, isso requer a criação de um inventário dos dados pessoais de seus clientes, que indique onde você armazena os dados pessoais de cada indivíduo. A boa notícia é que ter esse tipo de inventário não só pode melhorar a privacidade e a segurança, como também pode ajudar a monetizar esses dados.
Autor
