O gerenciamento de privacidade fica na intersecção entre segurança da informação, gerenciamento de dados e análise, mas é mais do que a soma das partes.
Há muito tempo, a discussão nos círculos de segurança da informação é que conformidade não é sinônimo de segurança. Certamente, violações de dados devastadoras e invasores obtendo acesso a dados confidenciais em empresas consideradas em conformidade com os requisitos do PCI DSS ou outras regulamentações corroborariam esse argumento. Mas será que a mesma relação se aplica à governança e à gestão de dados de identidade de clientes e à segurança da informação? A resposta é sim, mas por razões muito diferentes.
Uma dessas coisas não é como a outra
Os requisitos de conformidade são mais bem compreendidos como um subconjunto da segurança da informação: eles representam uma base para uma segurança adequada — ou o que os céticos descreveriam como o menor denominador comum. Além disso, devido à incompatibilidade entre a velocidade com que os requisitos de conformidade ou outras regulamentações são implementados e a rápida proliferação de novos ataques, os detalhes técnicos específicos dos requisitos de conformidade muitas vezes ficam aquém das medidas necessárias para conter ameaças e prevenir ataques de forma eficaz.
A gestão da privacidade e a proteção dos dados de identidade dos clientes envolvem não apenas avaliar se os controles de segurança adequados estão em vigor, mas também como eles estão sendo implementados para proteger tipos específicos de dados contra acesso não autorizado. Nesse sentido, a gestão e a proteção de dados privados são mais complementares à infraestrutura e aos processos de segurança da informação do que a conformidade tradicional.
Isso também implica que uma organização pode ser segura, mas ainda assim violar as normas de privacidade — o oposto da relação entre a conformidade com o PCI DSS, por exemplo, e a segurança da informação. Outro elemento que distingue essa relação é que as expectativas dos consumidores em relação à privacidade de dados — e não apenas à segurança de dados — ultrapassaram a implementação de normas, incluindo até mesmo novas disposições sobre residência de dados como parte do Safe Harbor 2.0.
Aqui está outra distinção importante: as organizações têm processos bem definidos para determinar quais sistemas e dados estão dentro do escopo de conformidade. Definir quais dados do cliente estão no escopo de proteção de privacidade é muito menos complexo. Esse desafio tem múltiplas facetas — as organizações precisam descobrir onde os dados residem e, em seguida, mapear quais regulamentações, como HIPAA, políticas internas de privacidade e residência de dados, devem ser aplicadas a eles. Esses requisitos são ainda mais complicados pela proliferação de plataformas de Big Data nas organizações, impulsionadas por tendências como a transformação digital e por novas regulamentações que mapearam silos de dados de identidade criados devido a iniciativas desconectadas de engajamento de clientes ou pacientes.
Risco não é visualizador privado do Instagram sempre binário
É um truísmo dizer que não se pode proteger o que não se conhece. Principalmente quando consideramos que o acesso a dados privados de clientes pode ser permitido em algumas circunstâncias, mas não em outras. Por exemplo, muitas organizações mantêm relacionamentos de compartilhamento de dados com terceiros ou consomem dados de terceiros por meio de APIs. Os dados que trafegam em qualquer direção podem ter sido coletados sob termos que não são consistentes com as políticas internas ou violam as disposições sobre residência de dados. Sem visibilidade da transferência de dados privados e alguma forma de avaliar o risco da ação, as ferramentas de segurança da informação são de pouca ou nenhuma utilidade.
Em uma situação ideal, a inteligência e a análise de risco sobre potenciais violações da privacidade dos dados do cliente, seja por agentes internos ou externos, informariam como a aplicação da segurança é realizada. Ferramentas de segurança da informação — incluindo gerenciamento de identidade e acesso e segurança de dados — adotam um modelo binário: você deve ou não ter acesso. A análise comportamental pode detectar quando a atividade não é normal, mas não consegue aplicar inteligência para detectar quando a atividade pode violar as políticas de privacidade.
Para garantir uma aplicação eficaz, as ferramentas de segurança precisam saber onde procurar e o que procurar. Risco de privacidade e inteligência sobre o uso no contexto dos requisitos de privacidade completam o círculo.
@bigidsecure | www.bigid.com
Autor
