Desde a quebra de dados Equifax de setembro de 2017 que expôs as informações pessoais de 147 milhões de americanos, e as muitas outras violações de dados de alto nível que aconteceram desde então, a segurança e a privacidade dos dados se tornaram preocupações de nível de diretoria.
“O fracasso do Equifax é onde muitas das questões inerentes realmente emergiram ao nível empresarial”, disse Aaron Shum, líder prático, Segurança, Privacidade, Risco e Conformidade, no Info-Tech Research Group. “Foi onde descobrimos o nível de incompetência que pode existir em uma organização”.
De acordo com o Relatório Especial do Barómetro Edelman Trust de 2019: Em Brands We Trust?, 81% dos consumidores disseram que a confiança na marca tem um papel importante nas suas decisões de compra. Em outras palavras, as violações de dados hoje não só representam um risco de fundo na forma de penalidades, mas também comprometem a marca e a reputação de uma organização, impactando diretamente sua capacidade de atrair novos clientes e reter os já existentes.
“As empresas precisam tratar a privacidade como uma questão de conformidade e risco comercial para reduzir sanções regulatórias e impactos comerciais como danos à reputação e conseqüente perda de clientes devido a violações de privacidade”, disse
Steve Durbin, diretor administrativo do Fórum de Segurança da Informação no Reino Unido.
Mais do que semântica
Para muitos fora da comunidade infosec, os termos ‘segurança de dados’ e ‘privacidade de dados’ são frequentemente usados de forma intercambiável. Na realidade, apesar de compartilharem um objetivo comum, eles não são os mesmos, disse Greg Ewing, parceiro de segurança cibernética da Potomac Law.
“A diferença entre privacidade e segurança dos dados é a diferença entre proteger as informações pessoais de alguém e as medidas de segurança que você tem para proteger todas as informações do seu negócio”, disse ele.
Com regulamentos como o California Consumer Privacy Act (CCPA) e o General Data Protection Regulation (GDPR) da UE agora em vigor, esta distinção é mais do que uma questão de semântica. A GDPR, por exemplo, impõe sérias sanções financeiras que podem ir até aos milhares de milhões de dólares por violações de dados envolvendo informações pessoalmente identificáveis (PII) de cidadãos da UE. Entre US$ 2.500 e US$ 7.500 por registro de Dados de Identificação Pessoal, as penalidades por descumprimento sob o CCPA também podem se somar rapidamente.
Com a pandemia de COVID-19 não mostrando sinais de abater, mais pessoas estão gastando mais tempo online do que nunca. A mudança maciça no uso online, tanto antes como depois da COVID-19, combinada com a desconfiança geral de como as grandes empresas de mídia social e entretenimento rentabilizam os dados dos clientes, não está passando despercebida pelos reguladores estaduais. De acordo com a Conferência Nacional de Legisladores Estaduais, as leis de privacidade estão agora em consideração em 30 estados.
“A privacidade de dados é, em essência, um subconjunto da segurança de dados de uma organização”, disse Ewing. “A distinção é importante porque, embora as ferramentas usadas para manter a privacidade dos dados e para garantir a segurança dos dados possam se sobrepor, as duas são geralmente tratadas de forma diferente por equipes diferentes usando ferramentas diferentes”.
Essa sobreposição pode causar confusão, deixando as empresas que se concentram apenas na segurança dos dados com a falsa impressão de que, por padrão, a privacidade dos dados também está protegida. Este não é o caso. Ao contrário da segurança dos dados, que se concentra em proteger todos os dados de uma organização contra roubo ou corrupção (como durante um ataque de resgate), a privacidade dos dados é mais granular. Para garantir a privacidade dos dados, as organizações devem entender, rastrear e controlar coisas como quem está autorizado a acessar os dados e onde os dados são armazenados – em uma nuvem em conformidade com a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA), por exemplo.
Um bom exemplo das diferenças entre privacidade e segurança dos dados foi a coleta de 87 milhões de perfis de usuários do Facebook pela agora extinta empresa de consultoria política Cambridge Analytica durante as eleições presidenciais americanas de 2016-17, disse Joshua Kail, um consultor de comunicação que dirigiu a agência de relações públicas da Cambridge Analytica até o seu fechamento em maio de 2018. Embora os dados fossem seguros, o Facebook abusou de sua própria política de privacidade e de um decreto de consentimento da FTC de 2011 em relação ao uso dos dados dos usuários.
“Foi uma estranha instância de falha na segurança dos dados do ponto de vista de que eles basicamente entregaram os dados e depois foram usados de forma inapropriada, em vez de um ciberataque malicioso tradicional”, disse ele. “No que diz respeito à privacidade dos dados, todos nós perdemos isso no momento em que assinamos uma conta”. Realmente, não foram ‘nossos dados’ que foram usados por Cambridge, foram os dados do Facebook sobre nós”. Esta distinção é onde vive o perigo real nas actuais políticas de dados”.
Kail apareceu recentemente no podcast TechRepublic Dynamic Developer de Bill Detwiler, discutindo privacidade e direitos de dados.
Uma questão de confiança
Embora a privacidade dos dados esteja se tornando mais regulamentada a cada ano, ainda é um assunto que, hoje, em grande parte se resume à confiança, disse Kayne McGladrey, um membro do IEEE e estrategista de segurança cibernética da Ascent Solutions. Como mostra a reação no escândalo da Cambridge Analytica, o que as pessoas esperam das empresas com as quais fazem negócios é tão importante quanto as leis que regem o uso de seus dados.
“A privacidade de dados de hoje em dia preocupa-se principalmente com o processamento de dados pessoais com base em leis, regulamentos e normas sociais”, disse McGladrey. “Muitas vezes isso é representado por um consumidor ignorando uma política de privacidade incompreensível (que levaria quase 20 minutos para ser lida) antes de clicar em um botão para reconhecer seu consentimento a essa política. Sua aceitação da política permite que a organização trate seus dados de forma documentada, tal como usá-los para mostrar-lhes publicidade direcionada com base em seus interesses inferidos”. No entanto, se essa organização vendeu esses dados pessoais a outra organização para fazer algo inesperado (como usá-los para suprimir a liberdade de expressão protegida) sem o consentimento do consumidor, isso seria uma violação da privacidade, seja por controle regulatório ou por uma violação das normas sociais”.
Dado tudo o que tem acontecido nos últimos anos – o constante bater de tambores de violações maciças de dados e os ataques cibernéticos sempre crescentes a empresas e indivíduos – não é surpreendente que as pessoas sintam que seus dados não estão mais seguros nas mãos das empresas com as quais fazem negócios, ou dos governos que mandam sua coleta.
Por causa dessa desconfiança, o imperativo para as empresas saírem à frente dessas questões não poderia ser maior, disse Lili Ana, gerente de Governança da Segurança da Informação do Depósito de Empréstimos.
“À medida que a indústria de hacking cresce rapidamente e os criminosos cibernéticos se tornam mais bem financiados, e como a transformação global dos locais de trabalho digitais em casa continua a ser o novo normal, as empresas devem tomar medidas para compreender a segurança da informação e como a privacidade e a segurança dos dados funcionam em conjunto para proteger as empresas e os consumidores”, disse Ana. “Investir na salvaguarda do seu negócio numa abordagem proactiva é muito menos dispendioso do que a alternativa, que é um incidente ou violação de dados que não só pode destruir um negócio como pode arruinar a reputação, a credibilidade e a confiança dos consumidores”.
>
Veja também
- Empresas com práticas de privacidade deficientes estão 80% mais aptas a sofrer violação de dados (TechRepublic)
- As empresas geralmente confiam em processos manuais para cumprir a nova lei de privacidade da Califórnia (TechRepublic)
- Como usar a distribuição avançada de segurança e privacidade da Whonix (TechRepublic)
- Zoom: Nós cumprimos todas as nossas promessas de segurança e privacidade, exceto uma (TechRepublic)
- Os clientes não querem desistir de seus dados devido a preocupações com privacidade, o Okta encontra (TechRepublic)
- A maioria dos americanos está disposta a renunciar à privacidade de dados pessoais para combater a propagação da COVID-19 (TechRepublic)