O GDPR da UE, em sua essência, trata do risco à privacidade. Evitar violações de privacidade significa compreender e mitigar o risco à privacidade. Mas o que é risco à privacidade? O GDPR da UE o menciona 75 vezes, mas nunca explica como medi-lo. Sim, ele alerta que comportamentos de risco incluem o processamento de dados em larga escala com a intenção de criar perfis pessoais. Ele até descreve uma recomendação para eliminar o risco de identificação por meio da desidentificação — mas não especifica como uma organização pode operacionalizar o monitoramento de riscos à privacidade e torná-lo acionável.
Identificando a insegurança
A mensuração de riscos se tornou moda em segurança nas últimas décadas. Acontece que a insegurança não surge do nada. É o acúmulo de pequenos deslizes não intencionais. Pequenos erros, enganos e mau comportamento dão origem a vulnerabilidades. Identificar e eliminar esses fatores de risco não garante zero violação de segurança, mas pode contribuir significativamente para reduzir sua probabilidade. Assim, as organizações hoje se utilizam de ferramentas para mensurar o risco de segurança de código, risco de código aberto, risco de firewall, risco de site e risco de parceiro, para citar alguns exemplos. Mas o risco em privacidade não alcançou o mesmo nível de atenção ou operacionalização.
Risco de Privacidade Redux
Há vários motivos pelos quais as medições de risco de privacidade nunca alcançaram a mesma popularidade que a medição de risco de segurança. Primeiro, os advogados — os supervisores tradicionais da política de privacidade — tinham uma hesitação natural em relação ao termo. Segundo, nunca houve muita ênfase em tecnologia em privacidade; pessoas e processos, sim, mas não em produto — o que dificultava a quantificação do risco e tornava sua acionável quase impossível. Por fim, a ideia de pontuação de risco em privacidade não tinha um catalisador para impulsioná-la. A segurança enfrentava a ameaça de violações ou regulamentações de multas pesadas como a SOX; o risco de privacidade não tinha urgência semelhante — até o GDPR.
Risco em Números
O Regulamento Geral sobre a Proteção de Dados (RGPD), juntamente com outras novas regulamentações nacionais de privacidade, embora não especifique como mensurar o risco à privacidade, detalha um conjunto claro de expectativas de privacidade por parte de coletores e processadores de dados pessoais. Não atender a essas expectativas é uma potencial violação da regulamentação. Portanto, os direitos e obrigações de dados que as organizações devem cumprir definem um conjunto de métricas para mensurar o risco à privacidade — supondo que essas métricas possam ser facilmente quantificadas e comparadas. No entanto, a maioria das empresas também desejará a flexibilidade de complementar esses parâmetros de risco baseados em regulamentação com configurações específicas da empresa com base em dados encontrados, metadados e comportamentos de acesso a dados, como tipo de dados, uso de dados, sensibilidade do titular dos dados, sensibilidade do processo de negócios (por meio de mapa de fluxo de dados), consentimento ou comportamento de acesso. Esse tipo de dado nem sempre é fácil de descobrir. No entanto, novas ferramentas de mapeamento de dados, como o BigID, tornam a localização e o uso dessas informações práticas, tornando sua utilidade na análise de risco viável.
Mas, assim que uma organização adota uma ferramenta de mapeamento de dados orientada por dados, outras medidas objetivas de risco também se tornam disponíveis. Por exemplo, muitas organizações promulgam políticas internas para retenção de dados, fluxos transfronteiriços, reidentificação de dados anonimizados ou quais dados tokenizar. Tudo isso pode ser medido e, portanto, utilizado em uma pontuação de risco com uma ferramenta de mapeamento de dados como o BigID.
Saiba se você medir
Como os profissionais de segurança aprenderam há muito tempo, mensurar o risco de segurança pode ser instrutivo para o gerenciamento de riscos de segurança. Historicamente, a ideia de mensuração de risco acionável era problemática em privacidade, visto que benchmarks eram mais legais do que baseados em dados. À medida que novas regulamentações como o GDPR são implementadas gradualmente e as organizações obtêm melhor conhecimento dos dados que coletam e processam em resposta, torna-se possível mover o risco de um âmbito de "saber se o vejo" para um âmbito prescritivo e exato.
Autor
