Por Eric Schmitt - diretor global de segurança da informação e Brenda G. Corey - vice-presidente sênior de conformidade e regulamentação
Num mundo cada vez mais preocupado com a privacidade e a proteção, as empresas têm de equilibrar a sua consciência do risco com a conformidade no meio de regulamentos em rápida mudança.
Do ponto de vista da proteção de dados, nos últimos 24 meses, tem havido uma maior ênfase na garantia de que os dados são conservados apenas durante o período necessário ou conforme exigido por lei. Com as leis de transparência e de direitos de dados agora activas em dois estados dos EUA(CPRA da Califórnia, Virgínia) e a entrar em vigor em mais três estados dos EUA durante 2023(Colorado, Connecticut, Utah), chegou a altura de as empresas avaliarem a sua infraestrutura, isolarem áreas de potencial exploração por parte de maus actores e educarem os funcionários sobre as melhores práticas para proteger dados sensíveis.
Retenção de registos
Uma grande área de foco é a conformidade total com um calendário de retenção de registos. O calendário de retenção de registos é vital para garantir que estamos a reter dados apenas durante o período necessário, reduzindo o risco através da diminuição dos dados armazenados, e para cumprir a legislação emergente. As empresas de todo o mundo estão atualmente nesta jornada e estão a revalidar as suas políticas existentes para garantir a conformidade. É importante garantir que as obrigações de retenção de registos são cumpridas por vários intervenientes - estatutários, clientes e companhias de seguros - e em jurisdições específicas, bem como a nível global.
Ciber-resiliência
No lado tecnológico do negócio, é importante que as equipas de cibersegurança, cópia de segurança e recuperação de desastres se juntem e forneçam um programa mais unificado sob a bandeira da "ciber-resiliência". Este nível de parceria ajuda a garantir que os planos de continuidade, incluindo negócios e tecnologia, têm em conta a forma de implementar protecções no caso de uma ameaça cibernética, permitindo que uma organização responda rapidamente a ameaças emergentes. As empresas devem certificar-se de que o seu programa de continuidade inclui questões relacionadas com o ciberespaço.
Caça às ameaças
Armadas com a missão de "quebrar-se a si próprio antes que alguém o faça", as equipas de cibersegurança procuram atacar os ambientes cibernéticos da própria organização da mesma forma que um mau ator o faria - um processo denominado caça às ameaças. Isto dá visibilidade não só para detetar os pontos problemáticos onde os ataques podem ocorrer, mas também para criar uma resposta mais rápida para que os dados de backup possam ser protegidos para garantir que nem tudo se perde no caso de uma ameaça. A caça às ameaças deve complementar um programa robusto de testes de vulnerabilidade e penetração, e não substituí-lo. A caça às ameaças tem duas grandes vantagens: os seus defensores aprendem a identificar os ataques à medida que trabalham com os caçadores de ameaças e a empresa pode ajudar a identificar as áreas que podem necessitar de controlos adicionais.
Criar uma linha de defesa
É preciso saber o que se tem antes de o poder proteger. Ao mapear todas as linhas de negócio e os tipos de dados que circulam entre elas - incluindo os fornecedores que partilham essa informação - pode obter uma imagem clara de como e onde os dados estão protegidos. A utilização dos "exercícios da joia da coroa" do MITRE permite destacar as vulnerabilidades em torno dos dados a proteger, para que as defesas possam ser colocadas em camadas em conformidade.
A formação dos colegas é outro nível dos esforços optimizados de privacidade e proteção dos dados. Quando se trata de risco de cibersegurança, os seus colaboradores são a primeira e a última linha de defesa. A questão de como os funcionários podem ser melhor educados para identificar positivamente as ameaças de entrada, como e-mails de phishing e outras actividades maliciosas - e como reforçar positivamente este comportamento - deve ser sempre uma prioridade. Os exercícios de formação sobre e-mails de phishing devem ser efectuados regularmente para toda a organização. Os colegas das equipas que lidam constantemente com dados sensíveis podem necessitar de avaliações mais frequentes para a prevenção de violações de dados.
No sector dos sinistros, os responsáveis pela privacidade trabalham para garantir que os pedidos de direitos de dados são tratados de forma rápida e eficiente para os sinistrados individuais. Em harmonia com a legislação em matéria de privacidade, a inteligência artificial pode ser aproveitada para prestar melhores serviços aos indivíduos, como no caso das análises automatizadas de sinistros.
Privacidade desde a conceção
A privacidade e a segurança dos dados podem ser um fator de diferenciação para uma empresa e para os seus clientes quando são "incorporadas" na estratégia de investimento e operações. À medida que uma empresa constrói os seus novos processos e programas, incluindo o fluxo de informação dentro do sistema, é essencial que as equipas no front-end saibam como lidar com a privacidade desde a conceção. As agências reguladoras estão a fazer um grande esforço para reduzir a pegada dos dados; as empresas têm de fazer a devida diligência, colocando questões profundas sobre os seus programas de segurança de dados e ponderando o seu investimento em informações sobre ameaças.