A gestão da privacidade situa-se na intersecção da segurança da informação, da gestão de dados e da análise, mas é mais do que a soma das partes.
Há muito tempo se discute nos círculos de segurança da informação que conformidade não é sinônimo de segurança. Certamente, violações de dados devastadoras e ataques que permitem o acesso a dados sensíveis em empresas consideradas em conformidade com os requisitos do PCI DSS ou outras regulamentações corroboram esse argumento. Mas será que a mesma relação se aplica à governança e à gestão de dados de identidade do cliente e à segurança da informação? A resposta é sim, mas por razões bem diferentes.
Uma dessas coisas não é como as outras.
Os requisitos de conformidade são melhor compreendidos como um subconjunto da segurança da informação: representam uma base para uma segurança adequada — ou o que os céticos poderiam descrever como o mínimo denominador comum. Além disso, devido à discrepância entre a velocidade com que os requisitos de conformidade ou outras regulamentações são implementados e a rápida proliferação de novos ataques, os detalhes técnicos específicos dos requisitos de conformidade muitas vezes ficam atrás das medidas necessárias para conter efetivamente as ameaças e prevenir ataques.
A gestão e proteção da privacidade dos dados de identidade do cliente envolve não apenas avaliar se existem controles de segurança adequados, mas também como esses controles estão sendo implementados para proteger tipos específicos de dados contra acesso não autorizado. Nesse sentido, a gestão e a proteção de dados privados são mais complementares à infraestrutura e aos processos de segurança da informação do que a conformidade tradicional.
Isso também implica que uma organização pode ser segura, mas ainda assim estar violando regulamentações de privacidade — o oposto da relação entre a conformidade com o PCI DSS, por exemplo, e a segurança da informação. Outro elemento que distingue essa relação é que as expectativas dos consumidores em relação à privacidade de dados — e não apenas à segurança de dados — superaram a implementação de regulamentações, incluindo até mesmo novas disposições sobre residência de dados como parte do Safe Harbor 2.0.
Eis outra distinção importante: as organizações possuem processos bem definidos para determinar quais sistemas e dados estão dentro do escopo de conformidade. Definir quais dados do cliente estão dentro do escopo da proteção de privacidade é uma tarefa muito menos madura. Esse desafio tem múltiplas facetas — as organizações precisam descobrir onde os dados residem e, em seguida, mapear quais regulamentações, como a HIPAA, políticas internas de privacidade e residência de dados, devem ser aplicadas a esses dados. Esses requisitos são ainda mais complicados pela proliferação de plataformas de Big Data nas organizações, impulsionada por tendências como a transformação digital, e por novas regulamentações que mapearam silos de dados de identidade criados devido a iniciativas desconectadas de engajamento de clientes ou pacientes.
O risco não é sempre binário.
É uma verdade óbvia que não se pode proteger o que você desconhece. Especialmente quando consideramos que o acesso a dados privados de clientes pode ser permitido em algumas circunstâncias, mas não em outras. Por exemplo, muitas organizações mantêm relações de compartilhamento de dados com terceiros ou consomem dados de terceiros por meio de APIs. Os dados que trafegam em qualquer direção podem ter sido coletados sob termos que não são consistentes com as políticas internas ou em violação das disposições sobre residência de dados. Sem visibilidade da transferência de dados privados e alguma forma de avaliar o risco da ação, as ferramentas de segurança da informação têm utilidade limitada ou nenhuma.
Em um cenário ideal, a inteligência e a análise de risco sobre potenciais violações da privacidade dos dados do cliente, sejam elas cometidas por agentes internos ou externos, orientariam a aplicação das medidas de segurança. As ferramentas de segurança da informação — incluindo gerenciamento de identidade e acesso e segurança de dados — adotam um modelo binário: ou você deve ou não deve ter acesso. A análise comportamental pode detectar quando uma atividade não é normal, mas não consegue aplicar inteligência para identificar quando essa atividade pode violar as políticas de privacidade.
Para garantir uma aplicação eficaz das normas, as ferramentas de segurança precisam saber onde procurar e o que procurar. O risco à privacidade e a inteligência sobre a utilização no contexto dos requisitos de privacidade completam o ciclo.
@bigidsecure | www.bigid.com
Autor
