O NIST Estrutura de Privacidade, finalizado no início deste ano, é um conjunto de diretrizes para ajudar as organizações a gerenciar o risco de privacidade. Criado pela Instituto Nacional de Padrões e Tecnologia (NIST)O quadro de privacidade estabelece um entendimento comum e um conjunto de práticas para melhorar as posturas de privacidade de dados e reduzir os riscos – podendo servir como base para que as organizações construam seus programas de privacidade.
Os programas tradicionais de segurança de dados já não são suficientes para gerir as preocupações com a privacidade dos dados, cumprir os regulamentos e proteger os dados dos consumidores. Precisam de ser coordenados com programas de privacidade de dados específicos – e, em conjunto, construir uma postura de segurança mais robusta em todo o panorama de dados.
Os principais objetivos da Estrutura de Privacidade do NIST são:
- Ajude as organizações a aprimorarem seus padrões de privacidade de dados por meio da gestão de riscos corporativos.
- Fornecer às organizações um conjunto de diretrizes que abordem as práticas de privacidade atuais.
- Adapte-se às mudanças e aos desafios que as novas regulamentações de privacidade de dados apresentarão.
- Alinhar-se com a estrutura de cibersegurança do NIST
A privacidade se baseia na segurança: Estrutura de cibersegurança do NIST
A Estrutura de Privacidade do NIST complementa a Estrutura de Segurança Cibernética (CSF) existente do NIST, ambas oferecendo medidas para que as organizações adotem uma postura mais firme em relação a riscos, privacidade e segurança.
A Estrutura de Segurança Cibernética (CSF) do NIST foi originalmente elaborada para suprir a lacuna existente em padrões de segurança cibernética de terceiros – para ajudar a lidar com o problema emergente (e crescente) de ataques cibernéticos e vazamentos de dados, mantendo uma abordagem de defesa em profundidade. Essas diretrizes foram criadas para ajudar a construir uma mentalidade compartilhada, criar alinhamento e melhor preparar as organizações para desenvolverem posturas de segurança robustas para lidar com o aumento dos riscos.
O CSF permite que as organizações avaliem e aprimorem sua capacidade de prevenir, detectar e responder a ataques cibernéticos. Tudo isso em nome da proteção de dados, para que as organizações possam minimizar riscos e construir um programa de segurança cibernética sustentável.
O projeto foi tão bem-sucedido e bem recebido que eles decidiram criar uma estrutura de privacidade – como diretrizes paralelas e complementares para gerenciar a privacidade. privacidade risco.
Em conjunto, essas duas estruturas foram concebidas para ajudar as empresas a priorizar e desenvolver a estratégia correta para a privacidade e proteção de dados, e a colmatar a lacuna entre privacidade e segurança.
Elementos fundamentais para a privacidade de dados
O NIST CSF se divide em cinco funções principais: Identificar, proteger, detectar, responder e recuperar. A Estrutura de Privacidade adota essa mesma estrutura, mas concentra-se nas funções principais para Identificar, governar, controlar, comunicar e proteger.
Identificar: Desenvolver o entendimento organizacional necessário para gerenciar os riscos à privacidade dos indivíduos decorrentes do processamento de dados.
Dentro da função de identificação, as organizações precisam ser capazes de conhecem seus dados a fim de inventário preciso e mapear seus dados (juntamente com todo o seu ambiente de negócios), avaliar riscos e obter uma visão unificada e completa de seus dados – onde quer que eles estejam armazenados.
Para identificar eficazmente os riscos decorrentes dos dados processamento, as organizações devem tomar uma atitude abordagem de descoberta aprofundada para poder criar um inventário de cujos dados estão sendo processados, Registre a finalidade do processamento.e identificar dados de alto risco.
Governar: Desenvolver e implementar a estrutura de governança organizacional para permitir uma compreensão contínua das prioridades de gestão de riscos da organização, que sejam orientadas pelos riscos à privacidade.
A função de governança destaca a necessidade de uma estratégia robusta de gestão de riscos: para gerir os riscos, as organizações devem identificar os requisitos regulamentares e de conformidade. estabelecer fluxo de trabalho de políticass, implementar políticas de retenção de dados e estabelecer parâmetros de qualidade de dados.
Controlar: Desenvolver e implementar atividades adequadas para permitir que organizações ou indivíduos gerenciem dados com granularidade suficiente para lidar com os riscos à privacidade.
A função de controle da Estrutura de Privacidade do NIST destaca a necessidade de políticas, processos e procedimentos para o processamento de dados. O primeiro passo para abordar essa questão é criar um inventário de dados unificado que mapeie todos os dados, em todos os lugares – juntamente com um catálogo de dados Visualizar para gerenciar, monitorar e rastrear facilmente os dados que estão sendo processados. As organizações podem então incorporar inteligência de acesso para identificar quem pode (e quem deve) ter acesso a dados pessoais e sensíveis, aplicar e fazer cumprir políticas sobre dados sensíveis, e obtenha visibilidade completa em seus ambientes de dados para gerir o risco de forma eficaz.
Comunicar: Desenvolver e implementar atividades adequadas para permitir que organizações e indivíduos compreendam de forma confiável e dialoguem sobre como os dados são processados e os riscos de privacidade associados.
As organizações precisam ser capazes de comunicar quais dados estão sendo processados e por quê, garantindo transparência na coleta e no processamento de dados. Elas devem ser capazes de relatar quais dados estão sendo processados (e por quê). monitorar (e divulgar) o compartilhamento de dados, relatar e validar a exclusão de dados, e ser capaz de identificar e notificar indivíduos caso seus dados tenham sido comprometidos em uma violação de segurança.
Proteger: Desenvolver e implementar salvaguardas adequadas para o processamento de dados..
Para proteger dados pessoais e sensíveis, as organizações devem estabelecer práticas básicas de segurança, identificar e gerenciar riscos e manter políticas consistentes para proteger dados pessoais e sensíveis. Isso abrange desde o estabelecimento de planos de resposta a incidentes até o gerenciamento e monitoramento proativos de dados sensíveis em toda a organização — tanto dados em repouso quanto dados em trânsito. É fundamental ser capaz de gerenciar e monitorar o acesso a dados sensíveis, proteger dados vulneráveis contra possíveis vazamentos e ataques cibernéticos e aplicar automaticamente as políticas de segurança em caso de violação.
Uma estrutura para gestão da privacidade
Com a constante evolução das regulamentações sobre privacidade e proteção de dados, torna-se ainda mais importante estabelecer uma estrutura para a gestão da privacidade.
Regulamentações que vão desde a Lei SHIELD de Nova York até a CCPA e o GDPR da UE ressaltam a importância de estabelecer um programa de privacidade que não apenas esteja alinhado com a segurança, mas que também possa se adaptar às definições em constante evolução de dados sensíveis:
“Uma classe de dados pessoais que consideramos de baixo valor hoje pode ter uma utilidade totalmente nova daqui a alguns anos.” Diz Naomi Lefkovitz, consultora sênior de políticas de privacidade do NIST.“Ou você pode ter duas classes de dados que não são sensíveis individualmente, mas que, se combinadas, podem se tornar sensíveis como um conjunto. É por isso que você precisa de uma estrutura para gerenciamento de riscos de privacidade, e não apenas de uma lista de tarefas: você precisa de uma abordagem que permita reavaliar e se adaptar continuamente a novos riscos.”
A BigID foi desenvolvida especificamente para a era da privacidade: como uma plataforma moderna de inteligência de dados com uma base de descoberta aprofundada, a BigID alinha-se com as estruturas de privacidade para oferecer conformidade sustentável com a privacidade, proteção de dados acionável e inteligência de dados de última geração. Veja como o BigID se alinha à Estrutura de Privacidade do NIST com uma demonstração ao vivo. – e aprenda como agir em prol da privacidade, da proteção e da perspectiva.
Autor
