A essência do Regulamento Geral de Proteção de Dados (RGPD) da UE é o risco à privacidade. Evitar violações de privacidade significa compreender e mitigar esse risco. Mas o que é risco à privacidade? O RGPD menciona o termo 75 vezes, mas nunca explica como mensurá-lo. Sim, alerta que comportamentos de risco incluem o processamento de dados em larga escala com a intenção de criar perfis pessoais. Chega mesmo a apresentar uma recomendação para eliminar o risco de identificação através da desidentificação — mas não especifica como uma organização pode operacionalizar o monitoramento do risco à privacidade e torná-lo acionável.
Identificando a insegurança
A mensuração de riscos tornou-se uma grande tendência na área de segurança nas últimas décadas. Acontece que a insegurança não surge do nada. Ela é o acúmulo de pequenos deslizes não intencionais. Pequenos erros, equívocos e comportamentos inadequados dão origem a vulnerabilidades. Identificar e eliminar esses fatores de risco não garante zero violações de segurança, mas pode reduzir significativamente a probabilidade de sua ocorrência. Assim, hoje em dia, as organizações utilizam ferramentas para mensurar riscos de segurança de código, riscos de código aberto, riscos de firewall, riscos de sites e riscos de parceiros, para citar alguns exemplos. Mas a mensuração de riscos em privacidade não recebeu o mesmo nível de atenção ou operacionalização.
Análise do Risco de Privacidade
Existem várias razões pelas quais as medições de risco à privacidade nunca alcançaram a mesma popularidade que as medições de risco à segurança. Primeiro, os advogados — os supervisores tradicionais das políticas de privacidade — tinham uma hesitação natural em relação ao termo. Segundo, nunca houve muita ênfase na tecnologia em privacidade; pessoas e processos, sim, mas não o produto — o que dificultava a quantificação do risco e tornava a sua aplicação prática praticamente impossível. Por fim, a ideia de pontuação de risco em privacidade não tinha um catalisador para impulsioná-la. A segurança tinha a ameaça de violações ou de grandes multas regulamentadas, como a Lei Sarbanes-Oxley (SOX); o risco à privacidade não tinha uma urgência semelhante — até a entrada em vigor do GDPR.
Risco em Números
O Regulamento Geral de Proteção de Dados (RGPD), juntamente com outras novas regulamentações nacionais de privacidade, embora não especifique como mensurar o risco à privacidade, detalha um conjunto claro de expectativas de privacidade para quem coleta e processa dados pessoais. O não cumprimento dessas expectativas constitui uma potencial violação do regulamento. Portanto, os direitos e obrigações relativos aos dados que as organizações devem cumprir definem um conjunto de métricas para mensurar o risco à privacidade — pressupondo que essas métricas possam ser facilmente quantificadas e comparadas. Contudo, a maioria das empresas também desejará a flexibilidade de complementar esses parâmetros de risco definidos pela regulamentação com configurações específicas da empresa, baseadas em dados encontrados, metadados e comportamentos de acesso a dados, como tipo de dados, uso de dados, sensibilidade do titular dos dados, sensibilidade do processo de negócios (por meio de mapeamento do fluxo de dados), consentimento ou comportamento de acesso. Esse tipo de dado nem sempre é fácil de descobrir. No entanto, novas ferramentas de mapeamento de dados, como o BigID, tornam a busca e o uso dessas informações práticos, viabilizando, assim, sua utilidade na análise de riscos.
Mas, uma vez que uma organização adota uma ferramenta de mapeamento de dados orientada por dados, outras medidas objetivas de risco também se tornam disponíveis. Por exemplo, muitas organizações estabelecem políticas internas para retenção de dados, fluxos internacionais, reidentificabilidade de dados anonimizados ou quais dados devem ser tokenizados. Todas essas medidas podem ser mensuradas e, portanto, utilizadas em uma pontuação de risco com uma ferramenta de mapeamento de dados como o BigID.
Saiba se você medir
Como os profissionais de segurança aprenderam há muito tempo, medir o risco de segurança pode ser instrutivo para gerenciá-lo. Historicamente, a ideia de mensuração de risco acionável era problemática na área de privacidade, uma vez que os parâmetros de referência eram mais baseados em critérios legais do que em dados. No entanto, com a implementação gradual de novas regulamentações como o GDPR e com as organizações obtendo uma compreensão mais profunda dos dados que coletam e processam, torna-se possível migrar a avaliação de risco de um âmbito de "sei se vejo" para um âmbito prescritivo e preciso.
Autor
