Austrália 
Canadá 
Dinamarca 
França 
Alemanha 
Grécia 
Irlanda 
Países Baixos 
Nova Zelândia 
Noruega 
Espanha e Portugal 
Reino Unido 
Estados Unidos 27 de janeiro de 2023
Por Eric Schmitt – diretor global de segurança da informação e Brenda G. Corey – vice-presidente sênior de conformidade e regulamentação
Num mundo cada vez mais preocupado com a privacidade e a proteção, as empresas devem equilibrar a sua consciência dos riscos com a conformidade em meio a regulamentações em rápida mudança.
Do ponto de vista da proteção de dados, nos últimos 24 meses, tem havido uma ênfase crescente em garantir que os dados sejam retidos apenas pelo período necessário ou conforme exigido por lei. Com as leis de transparência e direitos de dados agora em vigor em dois estados dos EUA (Califórnia CPRA,Virgínia) e entrando em vigor em mais três estados dos EUA durante 2023 (Colorado,Connecticut,Utah), agora é o momento para as empresas avaliarem a sua infraestrutura, isolarem áreas de potencial exploração por agentes mal-intencionados e educarem os funcionários sobre as melhores práticas para proteger dados confidenciais.
Retenção de registos
Uma grande área de foco é a conformidade total com um cronograma de retenção de registos. O cronograma de retenção de registos é vital para garantir que estamos a reter dados apenas pelo período necessário, reduzindo o risco ao diminuir os dados armazenados e para cumprir a legislação emergente. Empresas em todo o mundo estão nessa jornada hoje e estão a revalidar as suas políticas existentes para garantir a conformidade. É importante garantir que as obrigações de retenção de registos sejam cumpridas para várias partes interessadas — estatutárias, clientes e seguradoras — e em jurisdições específicas, bem como em nível global.
Ciber-resiliência
No lado tecnológico do negócio, é importante que as equipas de cibersegurança, backup e recuperação de desastres se unam e ofereçam um programa mais unificado sob a bandeira da «ciberresiliência». Esse nível de parceria ajuda a garantir que os planos de continuidade, incluindo negócios e tecnologia, levem em consideração como implementar proteções em caso de uma ameaça cibernética, permitindo que uma organização responda rapidamente a ameaças emergentes. As empresas devem garantir que o seu programa de continuidade inclua questões relacionadas à cibersegurança.
Caça às ameaças
Com a missão de «quebrar-se antes que alguém o faça», as equipas de cibersegurança procuram atacar os próprios ambientes cibernéticos de uma organização da mesma forma que um agente mal-intencionado faria — um processo chamado caça às ameaças. Isso dá visibilidade não apenas para identificar os pontos fracos onde os ataques podem ocorrer, mas também para criar uma resposta mais rápida, de modo que os dados de backup possam ser protegidos para garantir que nem tudo seja perdido em caso de uma ameaça. A caça às ameaças deve complementar um programa robusto de testes de vulnerabilidade e penetração, não substituí-lo. Há duas grandes vantagens na caça às ameaças: os seus defensores aprendem a identificar ataques ao trabalhar com os caçadores de ameaças, e a empresa pode ajudar a identificar áreas que podem precisar de controles adicionais.
Estabelecer uma linha de defesa
É preciso saber o que se tem antes de poder protegê-lo. Ao mapear os dados de todas as linhas de negócio e os tipos de dados que circulam entre elas — incluindo quais fornecedores partilham essas informações —, é possível obter uma visão clara de como e onde os dados estão protegidos. O uso dos «exercícios da joia da coroa» do MITRE permite destacar as vulnerabilidades em torno dos dados a proteger, para que as defesas possam ser organizadas em camadas de acordo com as necessidades.
A educação dos colegas é outro nível de esforços ideais de privacidade e proteção de dados. Quando se trata de riscos de cibersegurança, os seus funcionários são a sua primeira e última linha de defesa. A questão de como os funcionários podem ser melhor educados para identificar positivamente ameaças recebidas, como e-mails de phishing e outras atividades maliciosas — e como reforçar esse comportamento de forma positiva — deve estar sempre em primeiro lugar. Exercícios de formação sobre e-mails de phishing devem ser realizados regularmente para toda a organização. Os colegas de equipas que lidam constantemente com dados confidenciais podem precisar de avaliações mais frequentes para a prevenção de violações de dados.
No setor de sinistros, os responsáveis pela privacidade trabalham para garantir que as solicitações de direitos de dados sejam atendidas de forma rápida e eficiente para os requerentes individuais. Em harmonia com as leis de privacidade, a inteligência artificial pode ser aproveitada para fornecer melhores serviços aos indivíduos, como no caso de análises automatizadas de sinistros.
Privacidade desde a conceção
A privacidade e a segurança dos dados podem ser um diferencial para uma empresa e seus clientes quando são incorporadas à estratégia de investimento e operações. À medida que uma empresa desenvolve seus novos processos e programas, incluindo o fluxo de informações dentro do sistema, é essencial que as equipas na linha de frente saibam como lidar com a privacidade desde a concepção. As agências reguladoras estão a exercer uma pressão cada vez maior para reduzir a pegada de dados; as empresas devem agir com a devida diligência, fazendo perguntas profundas sobre os seus programas de segurança de dados e avaliando o seu investimento em inteligência contra ameaças.
Tags: Marcas Reivindicações Conformidade cibernética Resiliência cibernética Segurança cibernética Ameaças cibernéticas cibersegurança Dados Privacidade de dados Dia da Privacidade dos Dados Segurança de dados Leis Preservação de marcas Privacidade Privacidade desde a conceção leis de privacidade Regulamentação Resiliência Resiliência Segurança
