Resumo
Not complying with regulations like DORA, GDPR, and HIPAA isn’t an option, but compliance doesn’t have to be an obstacle either. By making compliance a top priority and your business’s best friend, you can turn it into a competitive advantage.
A Lei de Resiliência Operacional Digital (DORA, Digital Operational Resilience Act) da União Europeia entrará em vigor em janeiro. Além disso, não nos esqueçamos da HIPAA, GDPR, CCPA e da Lei das empresas de telecomunicações (serviços), que também pedem às empresas que mudem a maneira como protegem seus dados e que tenham multas pesadas por violar as regras.
Há também a estrutura de segurança cibernética (CSF, Cybersecurity Framework) do National Institute of Standards and Technology (NIST, Instituto Nacional de Padrões e Tecnologia). O NIST lançou uma versão atualizada no início deste ano, a primeira grande atualização do CSF desde 2014.
Essas regulamentações e estruturas têm como objetivo tornar tudo mais seguro para todos, tanto para empresas quanto para clientes, por meio de melhor monitoramento de dados e mais proteções em torno de coisas como proteção e privacidade de dados. Mas onde muitas empresas dão errado é ver esses novos regulamentos e estruturas como ônus ou obstáculos, em oposição a oportunidades e blocos de lançamento.
“Se precisarmos fazer algo, vamos torná-lo útil”, disse Rob Glanzman, arquiteto-chefe de alianças estratégicas globais de serviços financeiros da Pure Storage, em um webinar recente: “Conformidade como catalisador: Transformando desafios regulatórios em oportunidades.”
Há muito a ser dito sobre transformar conformidade em uma vantagem competitiva. Regulamentos como DORA, GDPR e HIPAA são documentos vivos e inspirados que evoluem para refletir os perigos cibernéticos da época. Dessa forma, eles são como os guardiões da resiliência cibernética e de dados, ajudando a garantir que apenas as empresas mais resilientes entrem no domínio da resiliência cibernética para sobreviver e prosperar.
Continue lendo para saber o que significa fazer da conformidade o melhor amigo da sua empresa transformando-a em resiliência e proteção de receita.
O custo da não conformidade
Primeiras coisas: A conformidade não garante segurança. Como qualquer CISO dirá, os criminosos cibernéticos não estão preocupados com empresas que encontrem uma maneira de estar em conformidade. No entanto, o que muitos criminosos cibernéticos não estão cientes é o quanto as coisas seriam melhores e mais fáceis para eles se as empresas nem sequer se preocupassem com a conformidade e se coisas como DORA e NIST CSF 2.0 não existissem.
O CSF 2.0, por exemplo, inclui várias adições importantes à sua primeira iteração, abordando questões organizacionais, gerenciamento de riscos e políticas; diretrizes para ajudar as empresas a medir seu nível de conformidade; mapeamentos e referências adicionais a outros padrões de cibersegurança; e um novo pacote de orientações para ajudar na implementação. Ela também vai além da infraestrutura crítica para promover cadeias de fornecimento seguras.
As empresas que cumprem não só ganham no lado da segurança, mas também no lado da receita. Uma pesquisa da McKinsey com mais de 1.300 líderes de negócios e 3.000 consumidores em todo o mundo descobriu:
- 40% de todos os entrevistados não trabalhavam mais com uma empresa após uma violação de dados.
- 52% de todos os participantes de negócios deixaram de trabalhar com uma empresa após uma violação de dados.
- 10% dos entrevistados deixaram de trabalhar com uma empresa que sofreu uma violação de dados nos últimos 12 meses.
O custo da não conformidade?
Segurança perdida, receita perdida, reputação perdida e clientes perdidos.
Como estar pronto para a resposta
Agora que estabelecemos que não cumprir não é uma opção, precisamos analisar as mudanças que você pode começar a fazer agora para tornar a conformidade não apenas sua principal prioridade, mas também o melhor amigo da sua empresa, não importa o tamanho ou a vertical.
1. Salas limpas de dados
Ouvimos cada vez mais falar de “salas limpas de dados”. Uma sala de limpeza de dados é um ambiente seguro e controlado em que várias partes podem compartilhar e analisar conjuntos de dados sem expor ou compartilhar diretamente informações sensíveis ou pessoalmente identificáveis (PII, Personally Identifiable Information). Ele permite que as organizações (como anunciantes, editoras ou marcas) colaborem e obtenham insights de conjuntos de dados combinados enquanto mantêm controles rigorosos de privacidade e segurança. Salas limpas ajudam as organizações a cumprir as leis de proteção de dados, como GDPR ou CCPA, pois os dados são processados de uma maneira que limita a exposição de dados pessoais.
2. Minimização de dados
Minimizar os dados reduz o risco da organização em caso de violação e se alinha ao princípio de “minimização de dados” do GDPR. Colete apenas os dados necessários para uma finalidade específica e anonimize ou pseudonimize dados pessoais para reduzir a exposição.
3. Gerenciamento de direitos do titular dos dados
A GDPR exige que as pessoas tenham a capacidade de exercer esses direitos e estar preparadas para responder rapidamente demonstra conformidade. Desenvolva um processo para gerenciar solicitações de titulares de dados, como acesso, retificação, exclusão e portabilidade de dados pessoais.
4. Auditorias regulares de dados e manutenção de registros
Regulamentos como o GDPR exigem registros claros de onde e como os dados pessoais são processados, enquanto a diretiva CSF 2.0 enfatiza o registro e o relatório de incidentes de segurança. Implemente uma ferramenta de mapeamento ou inventário de dados para manter uma visão geral em tempo real de todos os fluxos de dados dentro da organização. Realize auditorias internas regulares das atividades de processamento de dados e mantenha registros detalhados.
5. Criptografia de dados e autenticação multifator (MFA, Multi-factor Authentication)
O aumento dos regulamentos de proteção e conformidade de dados exigidos por vários setores, países e regiões exige que as empresas tenham um alto nível de segurança integrada e capacidade de criptografia. Criptografe dados confidenciais em trânsito e inativos e aplique políticas de controle de acesso sólidas, incluindo MFA. Saiba como o FlashArray (A FlashArray) ajuda as organizações a alcançar esse alto nível de segurança e criptografia integradas sem tornar as coisas mais complicadas. Saiba mais sobre por que a criptografia é a chave para a conformidade com DORA de baixo custo.
6. Planos de notificação de violação e resposta a incidentes
“Acho que cada vez mais empresas estão se tornando extremamente conscientes de quantos sistemas têm, quantos desses sistemas são críticos e, em alguns casos, da realidade terrível de quanto ou quanto acesso têm a esses sistemas quando as coisas dão errado de maneira catastrófica”, disse Michael Russo, diretor sênior de alianças estratégicas globais de serviços financeiros da Pure Storage, no webinar “Conformidade como catalisador”.
A GDPR exige (e a NIST CSF 2.0 recomenda) que as notificações de violação sejam feitas dentro de prazos rigorosos (por exemplo, 72 horas de acordo com a GDPR), e a DORA se concentra na resiliência operacional em caso de incidentes. Estar pronto para responder rapidamente e mitigar danos é a chave. Implemente um plano claro de resposta a incidentes (IRP, Incident Response Plan) que inclua cronogramas e procedimentos detalhados de comunicação de violações.
7. Nomeação de um Data Protection Officer (DPO)
Nomeie um DPO ou crie uma equipe de governança de dados multifuncional responsável por supervisionar a conformidade com as leis de proteção de dados. Um DPO atua como ponto de contato para reguladores e garante que as políticas de dados da organização estejam alinhadas aos requisitos legais. A equipe também garante que os dados sejam tratados adequadamente entre os departamentos.
8. Treinamento e conscientização dos funcionários
O erro humano é uma das principais causas de violações de dados. O treinamento regular ajuda os funcionários a ficarem cientes das ameaças de phishing, da higiene de senhas e da importância de seguir as leis de privacidade de dados.
9. Gerenciamento do ciclo de vida dos dados
O GDPR e outros regulamentos exigem que as organizações retenham dados apenas pelo tempo necessário para os fins que foram coletados. Os procedimentos adequados de descarte minimizam os riscos. Estabeleça procedimentos para gerenciar dados em todo o ciclo de vida, incluindo políticas seguras de exclusão para dados que não são mais necessários.
10. Colaboração entre equipes
A comunicação entre departamentos é a chave para proteger dados em toda a organização. Os dados vêm de todos os lugares e o CISO precisa saber tudo o que está acontecendo. Isso só pode acontecer com a colaboração. Leia mais sobre como criar um futuro resiliente em termos cibernéticos com a colaboração entre equipes.
Pure Storage e a vantagem da resiliência cibernética
A Pure Storage concentra-se em tornar as empresas não apenas em conformidade, mas também resilientes em termos cibernéticos, permitindo que elas se recuperem rapidamente de contratempos e minimizem ou eliminem danos causados por ataques cibernéticos.
“Se estamos nos protegendo contra quedas de energia e furacões, isso é uma coisa. Mas não é mais tão simples assim”, disse Glanzman. “Porque agora estamos voltando a um ponto no tempo em que pode haver partes dessa cadeia crítica que foram afetadas e outras que não foram afetadas, e é um jogo de espera descobrir quando apresentá-las e quando elas são designadas limpas pelo escritório de um CISO ou por um órgão regulatório.”
Saiba mais sobre como proteger seus dados. Obtenha o “Guia definitivo para proteção de dados”.
Protect Your Data
Learn more about technologies and techniques for data protection.
