O NIST Estrutura de Privacidade, finalizado no início deste ano, é um conjunto de diretrizes para ajudar as organizações a gerenciar os riscos de privacidade. Criado pela Instituto Nacional de Padrões e Tecnologia (NIST), a estrutura de privacidade estabelece um entendimento comum e um conjunto de práticas para melhorar as posturas de privacidade de dados e reduzir riscos – e pode servir como base sobre a qual as organizações constroem seus programas de privacidade.
Os programas tradicionais de segurança de dados não são mais suficientes para gerenciar preocupações com privacidade de dados, alinhar-se às regulamentações e proteger os dados dos consumidores. Eles precisam ser coordenados com programas de privacidade de dados específicos – e, juntos, construir uma postura de segurança mais forte em todo o cenário de dados.
Os principais objetivos do NIST Privacy Framework são:
- Ajudar organizações a melhorar seus padrões de privacidade de dados por meio do gerenciamento de riscos corporativos
- Fornecer às organizações um conjunto de diretrizes que abordem as práticas de privacidade atuais
- Adapte-se às próximas mudanças e desafios que as regulamentações emergentes de privacidade de dados apresentam
- Alinhar com a Estrutura de Segurança Cibernética do NIST
A privacidade se baseia na segurança: Estrutura de segurança cibernética do NIST
O Privacy Framework do NIST complementa o NIST Cybersecurity Framework (CSF) existente, ambos oferecendo etapas para que as organizações adotem uma postura mais forte em relação a riscos, privacidade e segurança.
O Quadro de Segurança Cibernética (CSF) do NIST foi originalmente elaborado para suprir a lacuna nos padrões de segurança cibernética de terceiros – para ajudar a lidar com o problema emergente (e crescente) de ataques cibernéticos e vazamentos de dados, mantendo uma abordagem de defesa em profundidade. Essas diretrizes foram elaboradas para ajudar a construir uma mentalidade compartilhada, criar alinhamento e equipar melhor as organizações para desenvolver posturas de segurança sólidas para lidar com o aumento do risco.
O CSF permite que as organizações avaliem, analisem e aprimorem sua capacidade de prevenir, detectar e responder a ataques cibernéticos. Tudo em nome da proteção de dados – para que as organizações possam minimizar riscos e desenvolver um programa de segurança cibernética sustentável.
Foi tão bem sucedido e bem recebido que eles decidiram então criar uma estrutura de privacidade – como diretrizes paralelas e complementares para gerenciar privacidade risco.
Juntas, essas duas estruturas foram projetadas para ajudar as empresas a priorizar e desenvolver a estratégia certa para privacidade e proteção de dados, além de preencher a lacuna entre privacidade e segurança.
Blocos de construção para privacidade de dados
O NIST CSF é dividido em cinco funções principais: Identificar, proteger, detectar, responder e recuperar. O Quadro de Privacidade adota a mesma estrutura, mas concentra-se nas principais funções para Identificar, governar, controlar, comunicar e proteger.
Identificar: Desenvolver o entendimento organizacional para gerenciar o risco de privacidade de indivíduos decorrente do processamento de dados.
Dentro da função de identificação, as organizações precisam ser capazes de conheça seus dados a fim de inventariar com precisão e mapear seus dados (junto com todo o seu ambiente de negócios), avaliar riscos e obter um painel único para visibilidade total de seus dados, onde quer que eles estejam.
Para identificar eficazmente os riscos decorrentes dos dados processamento, as organizações devem tomar uma abordagem de descoberta em profundidade para poder criar um inventário de cujos dados estão sendo processados, registrar a finalidade do processamentoe identificar dados de alto risco.
Governar: Desenvolver e implementar a estrutura de governança organizacional para permitir uma compreensão contínua das prioridades de gerenciamento de risco da organização que são informadas pelo risco de privacidade.
A função de governança destaca a necessidade de uma estratégia forte de gestão de riscos: para gerir os riscos, as organizações devem identificar os requisitos regulamentares e de conformidade, estabelecer fluxo de trabalho de políticas, promulgar políticas de retenção de dados e estabelecer parâmetros de qualidade de dados.
Controlar: Desenvolver e implementar atividades apropriadas para permitir que organizações ou indivíduos gerenciem dados com granularidade suficiente para gerenciar riscos de privacidade.
A função de controle do NIST Privacy Framework descreve a necessidade de políticas, processos e procedimentos de processamento de dados. O primeiro passo para abordar isso é criar um inventário de dados unificado que mapeie todos os dados, em todos os lugares – juntamente com uma catálogo de dados Visualização para gerenciar, monitorar e rastrear facilmente os dados que estão sendo processados. As organizações podem então incorporar inteligência de acesso para identificar quem pode (e quem deve) ter acesso a dados pessoais e confidenciais, aplicar e fazer cumprir políticas sobre dados confidenciais e obtenha visibilidade total em seus ambientes de dados para gerenciar riscos de forma eficaz.
Comunicar: Desenvolver e implementar atividades apropriadas para permitir que organizações e indivíduos tenham uma compreensão confiável e se envolvam em um diálogo sobre como os dados são processados e os riscos de privacidade associados
As organizações precisam ser capazes de comunicar quais dados estão sendo processados e por quê, garantindo transparência na coleta e no processamento de dados. Elas devem ser capazes de relatar quais dados estão sendo processados (e por quê). monitorar (e divulgar) o compartilhamento de dados, relatar e validar a exclusão de dados e ser capaz de identificar e notificar indivíduos se seus dados foram comprometidos em uma violação.
Proteger: Desenvolver e implementar salvaguardas adequadas ao processamento de dados.
Para proteger dados pessoais e sensíveis, as organizações devem estabelecer práticas básicas de segurança, identificar e gerenciar riscos e manter políticas consistentes para proteger dados sensíveis e pessoais. Isso abrange desde o estabelecimento de planos de resposta a incidentes até o gerenciamento e monitoramento proativos de dados sensíveis em toda a organização – tanto para dados em repouso quanto para dados em movimento. É fundamental conseguir gerenciar e monitorar o acesso a dados sensíveis, proteger dados vulneráveis contra possíveis vazamentos de dados e ataques cibernéticos e ser capaz de aplicar automaticamente violações de políticas.
Uma estrutura para gerenciamento de privacidade
À medida que as regulamentações de privacidade e proteção de dados continuam a evoluir, é mais importante do que nunca estabelecer uma estrutura para o gerenciamento de privacidade.
Regulamentações desde o New York SHIELD Act até o CCPA e o GDPR da UE ressaltam a importância de estabelecer um programa de privacidade que não apenas esteja alinhado com a segurança, mas que possa se adaptar às definições em evolução de dados confidenciais:
“Uma classe de dados pessoais que hoje consideramos de baixo valor pode ter um uso totalmente novo dentro de alguns anos”, diz Naomi Lefkovitz, consultora sênior de política de privacidade do NISTOu você pode ter duas classes de dados que não são sensíveis isoladamente, mas, se você as juntar, elas podem repentinamente se tornar sensíveis como um todo. É por isso que você precisa de uma estrutura para gerenciamento de riscos de privacidade, não apenas de uma lista de tarefas: você precisa de uma abordagem que permita reavaliar e se ajustar continuamente a novos riscos.
O BigID foi desenvolvido especificamente para a era da privacidade: como uma plataforma moderna de inteligência de dados com uma base de descoberta em profundidade, o BigID se alinha com estruturas de privacidade para fornecer conformidade de privacidade sustentável, proteção de dados acionável e inteligência de dados de última geração. Veja como o BigID é mapeado para o NIST Privacy Framework com uma demonstração ao vivo – e aprenda como agir para obter privacidade, proteção e perspectiva.
Autor
