Privacidade e proteção de dados: equilibrando sua abordagem ao risco de segurança cibernética

Por Eric Schmitt – diretor global de segurança da informação e Brenda G. Corey – vice-presidente sênior de conformidade e regulamentação

Em um mundo cada vez mais preocupado com privacidade e proteção, as empresas devem equilibrar sua consciência dos riscos com a conformidade em meio a regulamentações em rápida mudança.

Do ponto de vista da proteção de dados, nos últimos 24 meses, tem havido uma ênfase crescente em garantir que os dados sejam retidos apenas pelo período necessário ou conforme exigido por lei. Com as leis de transparência e direitos de dados agora em vigor em dois estados dos EUA (CPRA da Califórnia,Virgínia) e entrando em vigor em três outros estados dos EUA durante 2023 (Colorado,Connecticut,Utah), agora é o momento para as empresas avaliarem sua infraestrutura, isolarem áreas de potencial exploração por agentes mal-intencionados e educarem os funcionários sobre as melhores práticas para proteger dados confidenciais.

Retenção de registros

Uma grande área de foco é a conformidade total com um cronograma de retenção de registros. O cronograma de retenção de registros é vital para garantir que estamos retendo dados apenas pelo período necessário, reduzindo o risco ao diminuir os dados armazenados e para cumprir a legislação emergente. Empresas em todo o mundo estão nessa jornada hoje e estão revalidando suas políticas existentes para garantir a conformidade. É importante garantir que as obrigações de retenção de registros sejam cumpridas para várias partes interessadas — estatutárias, clientes e seguradoras — e em jurisdições específicas, bem como em nível global.

Resiliência cibernética

No lado tecnológico do negócio, é importante que as equipes de segurança cibernética, backup e recuperação de desastres se unam e ofereçam um programa mais unificado sob a bandeira da “resiliência cibernética”. Esse nível de parceria ajuda a garantir que os planos de continuidade, incluindo negócios e tecnologia, levem em consideração como implementar proteções em caso de uma ameaça cibernética, permitindo que uma organização responda rapidamente a ameaças emergentes. As empresas devem se certificar de que seu programa de continuidade inclua questões relacionadas à segurança cibernética.

Caça às ameaças

Com a missão de “quebrar a si mesmo antes que alguém o faça”, as equipes de segurança cibernética procuram atacar os próprios ambientes cibernéticos de uma organização da mesma forma que um agente mal-intencionado faria – um processo chamado caça às ameaças. Isso dá visibilidade não apenas para identificar os pontos fracos onde os ataques podem ocorrer, mas também para construir uma resposta mais rápida, de modo que os dados de backup possam ser protegidos para garantir que nem tudo seja perdido em caso de uma ameaça. A caça às ameaças deve complementar um programa robusto de testes de vulnerabilidade e penetração, não substituí-lo. Há duas grandes vantagens na caça às ameaças: seus defensores aprendem a identificar ataques ao trabalhar com os caçadores de ameaças, e a empresa pode ajudar a identificar áreas que podem precisar de controles adicionais.

Estabelecendo uma linha de defesa

Você precisa saber o que tem antes de poder protegê-lo. Ao mapear todos os ramos de atividade e os tipos de dados que circulam entre eles — incluindo quais fornecedores compartilham essas informações —, você pode obter uma visão clara de como e onde os dados estão protegidos. O uso dos “exercícios da joia da coroa” do MITRE permite destacar vulnerabilidades em torno dos dados a serem protegidos, para que as defesas possam ser organizadas em camadas de acordo com a necessidade.

A educação dos colegas é outro nível de esforços ideais de privacidade e proteção de dados. Quando se trata de riscos de segurança cibernética, seus funcionários são sua primeira e última linha de defesa. A questão de como os funcionários podem ser melhor educados para identificar positivamente ameaças recebidas, como e-mails de phishing e outras atividades maliciosas — e como reforçar esse comportamento de forma positiva — deve estar sempre em primeiro lugar. Exercícios de treinamento sobre e-mails de phishing devem ser realizados regularmente para toda a organização. Os colegas de equipes que lidam constantemente com dados confidenciais podem precisar de avaliações mais frequentes para a prevenção de violações de dados.

No setor de sinistros, os responsáveis pela privacidade trabalham para garantir que as solicitações de direitos de dados sejam atendidas de forma rápida e eficiente para os requerentes individuais. Em conformidade com as leis de privacidade, a inteligência artificial pode ser utilizada para fornecer melhores serviços aos indivíduos, como no caso de análises automatizadas de sinistros.

Privacidade desde a concepção

A privacidade e a segurança dos dados podem ser um diferencial para uma empresa e seus clientes quando são incorporadas à estratégia de investimento e operações. À medida que uma empresa desenvolve seus novos processos e programas, incluindo o fluxo de informações dentro do sistema, é essencial que as equipes da linha de frente saibam como lidar com a privacidade desde a concepção. As agências reguladoras estão pressionando cada vez mais para reduzir o impacto dos dados; as empresas devem agir com a devida diligência, fazendo perguntas profundas sobre seus programas de segurança de dados e avaliando seus investimentos em inteligência contra ameaças.