O Dia da Privacidade dos Dados não é mais apenas um dia.Pela primeira vez, a semana de privacidade de dados-um esforço de uma semana para capacitar indivíduos e empresas em todo o mundo a respeitar a privacidade, proteger dados, permitir a confiança e igualmente importante, aumentar a conscientização e promover práticas recomendadas de privacidade e proteção de dados.
Este ano, a National Cyber Security Alliance (NCSA) promove e incentiva as empresas a respeitar a privacidade.De acordo com o Pew Research Center, 79% de você.S.Os adultos relatam estar preocupados com a forma como as empresas estão usando seus dados - como tal, respeitar a privacidade dos consumidores é uma estratégia crucial para inspirar a confiança e aprimorar a reputação e o crescimento de seus negócios, sendo abertos e honestos sobre quais dados são coletados, usados e compartilhados com terceiropartidos.
Além disso, o NCSA está incentivando as empresas a tomar as seguintes medidas para alcançar e manter a privacidade:
- Conduct an assessment: Conducting a review of data collection practices is a critical step to understanding which privacy laws and regulations apply to your enterprise. Just as critical is maintaining oversight of partners and vendors as to how they collect and use consumers’ personal information.
- Adopt a privacy framework: Researching and adopting a privacy framework can help you manage risk and create a culture of privacy in your organization by building privacy into your business. Get started by checking out the following frameworks: NIST Privacy Framework, AICPA Privacy Management Framework, ISO/IEC 27701 – International Standard for Privacy Information Management.
- Educate employees: Organizations can create a culture of privacy by educating employees of the role they play in protecting assets and information.
Para criar diálogos entre as partes interessadas, aumentar a conscientização e incentivar a conformidade com as leis de privacidade, a segurança compilou perspectivas detalhadas, bem como algumas dicas para uma melhor proteção de dados corporativos sensíveis, a partir dos seguintes especialistas do setor de segurança:
Erkang Zheng, fundador e CEO, JUPITERONE:
A indústria está lutando com uma abordagem fragmentária da privacidade, que tem implicações de segurança significativas.Do ponto de vista da segurança, é um enorme desafio, porque não existe um único padrão de privacidade global, o que deixa espaço para erros.
A segurança geralmente é um jogo de detalhes, assim como o cenário de privacidade se torna cada vez mais complexo, introduz mais coisas que podem dar errado.Além disso, uma abordagem de retalhos torna as operações difíceis, pois os profissionais de segurança devem entender e implementar os regulamentos díspares de privacidade e conformidade de todo o mundo e Jerry-Rig Together para a continuidade dos negócios.
Idealmente, um consórcio internacional abordaria essas diversas regras de privacidade em todo o mundo.Novas regras de privacidade criam complexidade e não apenas do ponto de vista da conformidade.Ele também cria complexidades operacionais para equipes de segurança.
Precisamos ver maior simplificação no lado do processo, impulsionado pela unificação dos regulamentos.Tantas coisas parecem ótimas no papel, mas quão prática é implementar a segurança em tantas estruturas regulatórias diferentes?No mínimo, as regras nacionais precisarão se unir para as organizações implementarem uma estrutura de privacidade coesa para cada país.Ao não alcançar algum consenso sobre privacidade, introduzimos maiores riscos para que todos enfrentem proteções de segurança adequadas.
Corey O'Connor, diretor de produtos, Docontrol:
A privacidade dos dados tem sido o topo de espírito para indivíduos e organizações.Regulamentos globais, nacionais e locais exigem que empresas de todos os tamanhos e tipos tenham as medidas apropriadas de segurança cibernética para impedir que o PII entre no domínio público.Do ponto de vista dos negócios, as implicações negativas para a não conformidade com alguns desses regulamentos, como o Regulamento Geral de Proteção de Dados (GDPR) ou a Lei de Privacidade do Consumidor da Califórnia (CCPA), são significativos.No nível individual ou do consumidor, as pessoas estão mais frustradas do que nunca ao perder o controle sobre como seu próprio PII é tratado, manipulado e processado por empresas.
Os aplicativos de software como serviço (SaaS) são uma fonte de dados crítica para os negócios hoje.Essas ferramentas de produtividade e colaboração são o que impulsiona o negócio.Arquivos e dados PII são envolvidos em muitos dos aplicativos SaaS que os negócios utilizam.Se seus dados no SFDC ou arquivos trocados por Slack muitas das ferramentas e tecnologias que estão sendo aproveitadas pelas organizações hoje não são granulares o suficiente para impedir o vazamento de dados ou a exfiltração de dados.É necessário aprofundar a pilha e introduzir controles de acesso a dados granulares na camada de dados do aplicativo SaaS.
Os regulamentos da indústria evoluem.As técnicas dos cibertackers melhoram e evoluem também.As organizações precisam ter as pessoas, o processo e a tecnologia certos para ficar um passo à frente e estabelecer um forte programa de privacidade de dados que atenua efetivamente o risco de não conformidade e uma violação de dados.
Archie Agarwal, fundador e CEO, ThreatModeler:
Uma parte importante da privacidade de dados é proteger os dados.E quando se trata de proteger dados, sentimos que as organizações devem operar de um paradigma muito simples: identificar todas as ameaças e depois mitigá -las.
Proteger dados de proteção significa coisas diferentes para diferentes organizações.Mas para os envolvidos no desenvolvimento de sistemas de software, sentimos fortemente que a melhor maneira de identificar todas as ameaças e mitigá -las é incorporar a modelagem de ameaças diretamente em seu ciclo de vida de desenvolvimento.É a maneira mais eficaz de identificar ameaças antes da implantação, o que é obviamente preferível.
Heather Paunet, vice -presidente sênior, Uncangle:
Na era conectada de hoje, as pessoas divulgam dados pessoais durante dezenas de interações diárias, de compras on -line, portais de saúde, mídia social, dispositivos vestíveis a serviços de streaming.Esses dados são usados para criar experiências específicas de perfil em uma infinidade de dispositivos e mídias, resultando em campanhas de marketing personalizadas e eficazes.
No entanto, as informações que os usuários dão em troca de uma experiência personalizada podem ser muito atraentes para os hackers, mas há uma preocupação crescente sobre como as empresas estão usando informações.Como resultado, muitas pessoas querem confiar que as empresas às quais fornecem suas informações o manterão seguro, mas também significa que os consumidores devem levar alguns assuntos de privacidade em suas próprias mãos para manter seus dados seguros.
À medida que mais violações de dados e ataques cibernéticos de alto perfil vêm à tona, os clientes procuram empresas para encontrar um equilíbrio entre proteção de dados e coleta.
Para garantir a conformidade com os regulamentos atuais e novos, as empresas precisam entender os dados que estão recebendo e quem tem acesso.Leis como a Lei de Privacidade do Colorado (CPA), com versões semelhantes no CCPA e CDPA, incluem um requisito para realizar uma avaliação de proteção de dados.Este é um primeiro passo importante que qualquer negócio que coleta dados do consumidor deve dar.As empresas precisarão entender o que está sendo coletado e como proteger os dados do cliente enquanto continuam a educação dos funcionários sobre a propriedade e a proteção de dados.
Além disso, as empresas precisam de uma estratégia eficaz para comunicar como as informações do cliente são coletadas, usadas e quando podem ser vendidas ou divulgadas para fins relacionados aos negócios.A transparência na coleta de dados é um pilar fundamental para as empresas que procuram manter um relacionamento de confiança com seus clientes.
Mohit Tiwari, co-fundador e CEO da Systems Systems:
Você não precisa desistir da privacidade de dados para que as organizações possam prosperar com publicidade personalizada ou hospedando dados do cliente em um aplicativo de software como serviço (SaaS).A segurança rodoviária é um ótimo exemplo em que protocolos e treinamento estabelecem expectativas apropriadas entre motoristas, motociclistas, pedestres, etc..Da mesma forma, existe uma pesquisa considerável e novas ferramentas comerciais para as organizações medirem como os dados do cliente são usados internamente e protege -os - e o recente êxodo em relação ao sinal mostra que respeitar a privacidade do cliente pode realmente ser bom para os negócios.
Impor multas razoáveis é de fato uma boa maneira de fazer de medir e melhorar o risco de dados uma prioridade no nível do conselho.E isso só pode ser bom para clientes e empresas que hospedam seus dados.
Dan Frank, US Privacy leader, Deloitte Risk & Financial Advisory:
Como as leis de privacidade do tipo CCPA replicam internamente e os regulamentos de privacidade do tipo GDPR replicam globalmente, muitas organizações estão se perguntando como podem suportar os impactos operacionais.À medida que o aumento de quantidades de solicitações de direitos individuais, preferência e consentimento, bem como os pedidos de privacidade por design associados à inovação de negócios e tecnologia entram, há muito a gerenciar hoje na privacidade de dados e no futuro.Tecnologia emergente e vários serviços de suporte operacional de terceiros (e.g., co-Sourcing, Out-Sourcing) desempenhará um papel crítico em ajudar as organizações a acompanhar constantemente as demandas de privacidade de dados em constante.A tecnologia emergente de privacidade ajudará a automatizar processos de privacidade historicamente manuais, tornando-os menos trabalhosos e demorados.Serviços de suporte operacional para mais responsabilidades de privacidade transacionais ajudarão a aliviar a carga de trabalho de recursos internos, libertando -os para concentrar seu tempo em necessidades mais estratégicas de privacidade organizacional.
Vikram Kunchala, Cyber Cloud leader, Deloitte Risk & Financial Advisory:
Quando as organizações adotam uma estratégia na nuvem, é fundamental que entendam os dados que têm, como são usados, quem o está usando, quando está em movimento e onde está localizado.De fato, depois de uma raça pandemia para a nuvem, as principais organizações agora estão se concentrando na privacidade por design para construir e aprimorar a segurança da nuvem para privacidade e proteção de dados que atendem aos requisitos relevantes de privacidade, regulamentação e residência de dados relevantes do cliente.Depois que a privacidade dos dados é abordada em estratégias em nuvem, as organizações também podem discernir quais dados podem ser aproveitados de maneira segura e permissível para impulsionar a percepção e a agilidade dos negócios, bem como de gerar confiança do cliente.
Naresh Persaud, managing director in Cyber Identity Services, Deloitte Risk & Financial Advisory:
Uma abordagem da privacidade de dados não pode funcionar para todas as organizações, indivíduos ou geografia, pois as expectativas em torno da privacidade diferem muito.Apesar de muitas pessoas compartilharem quantidades consideráveis de dados pessoais on -line, espera -se que as organizações forneçam forte privacidade e proteção de dados dentro de experiências digitais cada vez mais adaptadas para clientes.Tentando inovar sem garantir a conformidade regulatória da privacidade necessária, a privacidade e a proteção dos dados que os guardares de proteção estão em vigor, riscos consideráveis danos à lealdade à marca e escrutínio regulatório.
Ricardo Amper, CEO e fundador, Incode:
Existem muitos conceitos errôneos sobre como a tecnologia de reconhecimento facial é atualmente usada.No entanto, apesar dos contratempos e preocupações de privacidade relatados, os consumidores têm uma verdadeira inclinação para abraçar essa tecnologia.A confiança é essencial e muitas vezes está faltando quando os consumidores não estão na vanguarda da conversa sobre privacidade.O indivíduo deve ser colocado em primeiro lugar, o que significa obter seu consentimento.Quanto mais as pessoas acham que podem confiar na tecnologia, mais abertas elas serão usá -la em capacidades adicionais.
Troy Saunders, diretor de segurança da informação da CentRalsquare Technologies:
À medida que as organizações coletam e gerenciam mais dados do que nunca, os regulamentos de privacidade de dados estão se tornando mais críticos para garantir que as informações pessoalmente identificáveis do cidadão sejam protegidas.É importante lembrar que o acesso aos dados não deve vir à custa de sacrificar a privacidade e segurança de dados.
A Semana de Privacidade de Dados nos lembra o valor dos dados para capacitar os governos a tomar decisões informadas e colaborar entre jurisdições e linhas estaduais.Seja através do GDPR, HIPAA, Ferma, PPRA ou legislação de privacidade e proteção de dados estaduais e locais, as organizações do setor público e privado devem trabalhar juntos para equilibrar a privacidade, a segurança e a confiança para construir comunidades mais inteligentes e seguras para o futuro.
Craig Lurey, CTO e co-fundador, Keeper Security:
Os dados pessoais das pessoas se tornaram uma mercadoria quente.Como resultado, vimos um número recorde de ataques cibernéticos e violações de dados nos últimos anos, já que os cibercriminosos não param por nada para colocar as mãos nos dados das pessoas.Dados pessoais são usados para ataques avançados de engenharia social, ataques de recheio de senha e ataques de ransomware contra empresas e indivíduos.
Apesar disso, pessoas e empresas não prestam atenção suficiente às ferramentas e software que acessam seus dados pessoais e corporativos.A verificação rigorosa de software instalada pelos usuários finais em dispositivos móveis e de mesa não está ocorrendo em muitos casos, o que pode inadvertidamente colocar dados de usuários e corporativos em risco.
Ao marcarmos o Dia da Proteção de Dados, é fundamental destacar a importância de usar ferramentas poderosas e sofisticadas que protegem adequadamente os dados das pessoas.Os usuários devem prestar atenção especial de que o software tenha políticas estritas de privacidade e utilize uma arquitetura zero-conhecimento, o que garante que a empresa que desenvolve o software não possa acessar ou descriptografar os dados do usuário armazenados dentro.Isso é fundamental se os consumidores e usuários de negócios desejam garantir que seus dados pessoais e confidenciais sejam - e continuam sendo - bem protegidos.
Joseph Carson, cientista de segurança e consultoria CISO, ThyCoticCentrify:
A noção de "privacidade" real é algo que não existe mais verdadeiramente.O uso do dispositivo conectado à Internet explodiu nos últimos anos, trazendo grandes mudanças para a nossa sociedade, mas isso veio com riscos, pois todos somos rastreados e monitorados 24/7.
Isso significa que precisamos considerar não apenas a privacidade de dados, mas as salvaguardas que governam como os dados são coletados e processados.Graças a regulamentos mais rigorosos, o público agora tem uma opinião maior sobre como seus dados são usados, mas os órgãos reguladores precisam continuar pressionando empresas e governos a manter boas práticas de segurança cibernética, incorporando o princípio do menor privilégio de proteger dados coletados e fornecer aos usuáriosacesso transparente a esses dados.
Nossos dados pessoais estão se tornando cada vez mais lucrativos, e muitos começarão a perguntar como os cidadãos serão incentivados ou talvez pagos por seus dados?O que o futuro manterá para o aluguel de dados pessoais?
Ryan Abraham, Ciso virtual, Wisetail:
A privacidade dos dados é incrivelmente importante na indústria de RH.Os profissionais de RH são encarregados dos dados sensíveis dos funcionários - desde números de previdência social a números de telefone até endereços domésticos e muito mais - por isso é vital que toda empresa tome as etapas adequadas para garantir que os dados estejam seguros.
Um passo importante aqui é certificar sua organização como SoC 2 Compatiant.O SOC 2 é baseado em cinco fatores - segurança, disponibilidade, processamento de integridade, confidencialidade, privacidade - e a certificação diz aos usuários que sua organização mantém um alto nível de segurança da informação e lida com seus dados com responsabilidade.Além disso, a conformidade do SOC 2 garante que sua organização tenha implementado práticas de segurança para se defender de ataques cibernéticos e violações.
Outra ótima maneira de homenagear o Dia da Privacidade de Dados deste ano é iniciar o treinamento regular dos funcionários sobre as melhores práticas de privacidade de dados, que podem ser facilmente criadas e designadas para sua equipe por meio de uma plataforma de experiência de aprendizado (LXP).Esses cursos de treinamento podem educar os funcionários sobre como identificar um ataque de phishing, criar senhas fortes, evitar sites suspeitos e perigosos e mais.Seus funcionários são sua primeira linha de defesa contra ameaças de privacidade de dados, por isso é essencial que eles estejam equipados para manter a si mesmos e a seus negócios seguros.”
Bots de software - pequenos pedaços de código que realizam tarefas repetitivas - existem em grandes números em organizações em todo o mundo, em bancos, governo e todas as outras principais verticais.A idéia por trás deles é que eles liberam funcionários humanos para trabalhar em trabalho crítico, cognitivo e criativo, mas também ajudam a melhorar a eficiência, precisão, agilidade e escalabilidade.Eles são um componente importante dos negócios digitais.
O problema de privacidade surge quando você começa a pensar sobre o que esses bots precisam para que possam fazer o que fazem.Na maioria das vezes, é acesso: se eles reúnem dados médicos sensíveis e pessoais para ajudar os médicos a fazer previsões clínicas informadas, precisam de acesso a ele.Se eles precisam processar os dados do cliente armazenados em um servidor de nuvem pública ou em um portal da web, eles precisam chegar a ele.
Vimos os problemas que podem surgir quando os humanos se comprometem, e o mesmo pode acontecer com os bots - e em escala.Se os bots forem configurados e codificados, podem acessar mais dados do que precisam, a saída poderá vazar esses dados para lugares onde não deve ser.
Da mesma forma, ouvimos falar de ataques internos e humanos sendo comprometidos para obter dados sensíveis praticamente diariamente.As máquinas têm os mesmos problemas de segurança;Se eles podem acessar dados confidenciais e não estão sendo protegidos corretamente, essa é uma porta aberta para os atacantes - que pode colocar em risco a privacidade dos indivíduos em risco.Os atacantes não têm como alvo os humanos para obter dados;Eles apenas têm como alvo os dados.Se máquinas, especialmente as responsáveis por processos automatizados (pense em tarefas repetíveis, como transferências bancárias, eliminar dados da Web e mover arquivos de dados do cliente) são o melhor caminho a seguir para chegar a ele, é o que eles escolherão.
