Por Eric Schmitt - diretor global de segurança da informação e Brenda G. Corey - vice-presidente sênior de conformidade e regulamentação
Em um mundo cada vez mais preocupado com a privacidade e a proteção, as empresas precisam equilibrar a consciência do risco com a conformidade em meio a regulamentações que mudam rapidamente.
Do ponto de vista da proteção de dados, nos últimos 24 meses, houve uma ênfase maior em garantir que os dados sejam retidos apenas pelo período necessário ou conforme exigido por lei. Com as leis de transparência e direitos de dados agora ativas em dois estados dos EUA(CPRA da Califórnia, Virgínia) e entrando em vigor em outros três estados dos EUA em 2023(Colorado, Connecticut, Utah), agora é o momento de as empresas avaliarem sua infraestrutura, isolarem áreas de possível exploração por agentes mal-intencionados e instruírem os funcionários sobre as práticas recomendadas para proteger dados confidenciais.
Retenção de registros
Uma grande área de foco é a conformidade total com um cronograma de retenção de registros. O cronograma de retenção de registros é vital para garantir que os dados sejam retidos apenas pelo período necessário, reduzindo o risco por meio da diminuição dos dados armazenados, e para cumprir a legislação emergente. Empresas de todo o mundo estão nessa jornada hoje e estão revalidando suas políticas existentes para garantir a conformidade. É importante garantir que as obrigações de retenção de registros sejam cumpridas por várias partes interessadas - estatutárias, clientes e seguradoras - e em jurisdições específicas, bem como em nível global.
Resiliência cibernética
No lado tecnológico dos negócios, é importante que as equipes de segurança cibernética, backup e recuperação de desastres se unam e forneçam um programa mais unificado sob a bandeira da "resiliência cibernética". Esse nível de parceria ajuda a garantir que os planos de continuidade, incluindo negócios e tecnologia, levem em conta como implementar proteções no caso de uma ameaça cibernética, permitindo que uma organização responda rapidamente às ameaças emergentes. As empresas devem se certificar de que seu programa de continuidade inclua questões relacionadas à cibernética.
Caça às ameaças
Armadas com a missão de "quebrar a si mesmas antes que alguém o faça", as equipes de segurança cibernética procuram atacar os ambientes cibernéticos da própria organização da mesma forma que um agente mal-intencionado faria - um processo chamado de caça a ameaças. Isso dá visibilidade não apenas para identificar os pontos problemáticos em que os ataques podem ocorrer, mas também para criar uma resposta mais rápida, de modo que os dados de backup possam ser protegidos para garantir que nem tudo seja perdido no caso de uma ameaça. A caça às ameaças deve complementar um programa robusto de testes de vulnerabilidade e penetração, e não substituí-lo. Há dois grandes benefícios na caça a ameaças: seus defensores aprendem a identificar ataques ao trabalharem com os caçadores de ameaças, e a empresa pode ajudar a identificar áreas que talvez precisem de controles adicionais.
Estabelecimento de uma linha de defesa
É preciso saber o que você tem antes de poder protegê-lo. Ao mapear todas as linhas de negócios e os tipos de dados que fluem entre elas, inclusive quais fornecedores compartilham essas informações, é possível ter uma visão clara de como e onde os dados estão protegidos. O uso dos "exercícios de joia da coroa" do MITRE permite destacar as vulnerabilidades em torno dos dados a serem protegidos, de modo que as defesas possam ser colocadas em camadas de acordo.
A educação dos colegas é outra camada dos esforços ideais de privacidade e proteção de dados. Quando se trata de risco de segurança cibernética, seu pessoal é a primeira e a última linha de defesa. A questão de como os funcionários podem ser mais bem instruídos para identificar positivamente as ameaças de entrada, como e-mails de phishing e outras atividades mal-intencionadas, e como reforçar esse comportamento de forma positiva, deve ser sempre uma prioridade. Os exercícios de treinamento sobre e-mails de phishing devem ser realizados regularmente para toda a organização. Os colegas das equipes que lidam constantemente com dados confidenciais podem precisar de avaliações mais frequentes para a prevenção de violações de dados.
No setor de sinistros, os diretores de privacidade trabalham para garantir que as solicitações de direitos de dados sejam atendidas de forma rápida e eficiente para os reclamantes individuais. Em harmonia com as leis de privacidade, a inteligência artificial pode ser aproveitada para fornecer melhores serviços aos indivíduos, como no caso de revisões automatizadas de sinistros.
Privacidade por design
A privacidade e a segurança dos dados podem ser um diferencial para uma empresa e seus clientes quando são "incorporadas" à estratégia de investimentos e operações. À medida que uma empresa desenvolve seus novos processos e programas, incluindo o fluxo de informações dentro do sistema, é essencial que as equipes na linha de frente saibam como lidar com a privacidade desde a concepção. As agências reguladoras estão fazendo um esforço maior para reduzir a pegada de dados; as empresas devem fazer a devida diligência, fazendo perguntas profundas sobre seus programas de segurança de dados e avaliando seu investimento em inteligência contra ameaças.