article banner
Risco digital

Como integrar segurança cibernética e privacidade de dados?

27 ago. 2019

Empresas de todos os portes e segmentos de atuação estão tentando conquistar uma vantagem competitiva por meio de informação digital. Dessa maneira é possível aproveitar os dados de preferência do cliente para criar serviços personalizados e campanhas de marketing direcionadas, examinar o desempenho dos funcionários para aumentar a produtividade e analisar as informações da cadeia de suprimentos para impulsionar eficiências. Isso apenas para citar algumas práticas incorporadas por equipes comerciais.

A informação digital oferece às empresas um enorme potencial, mas, devido ao aumento do uso de dados pessoais, também cria vulnerabilidades e interdependências entre duas ameaças anteriormente discretas – privacidade e segurança de dados. Por exemplo, violações de dados podem resultar de um ataque cibernético, mas têm implicações na privacidade dos dados.

O GDPR e outros regulamentos internacionais de privacidade de dados estão em vigor e algumas empresas estão começando a sentir o custo comercial das violações de privacidade de dados. Portanto, talvez não seja surpresa vermos a privacidade de dados aumentando a agenda de negócios. A Grant Thornton realizou uma apuração com mais de 4.500 líderes de negócios internacionais e descobriu que 2 em cada 3 concordaram que, devido à nova regulamentação, houve um foco maior em questões de privacidade do que a segurança cibernética nos últimos anos em seus negócios.

No entanto, é importante não perder o foco no risco real e crescente da segurança cibernética - o número de ataques cibernéticos que causaram perdas superiores a US$ 1 milhão aumentou em 63% nos últimos três anos.

Mike Harris, especialista de serviços de segurança cibernética da Grant Thornton Irlanda, enfatiza que a privacidade dos dados e a segurança cibernética nunca foram tão interligadas. "No mundo atual, orientado por dados, as duas abordagens não podem ser consideradas de maneira isolada, mas sim como parte de uma função mais ampla de risco digital".

Veja também

Insights Tecnologias disruptivas e a sociedade na era dos dados agosto 2019 Saiba mais
Insights Segurança digital: investir apenas em tecnologia não é o suficiente julho 2019 Saiba mais
Insights Como estruturar um conselho administrativo eficiente julho 2019 Saiba mais
Insights Lei Geral de Proteção de Dados: objetivo, requisitos e motivações junho 2019 Saiba mais

Mas o que é risco digital?

O risco digital é um modelo orientador que considera proativamente os riscos associados a dados digitalizados nos processos empresariais, incluindo segurança cibernética e privacidade de dados, além de outras considerações, como regulamentação, automação e ética.

Pense em como você protege sua própria casa. Você um dia se concentra em trancar todas as portas, mas felizmente deixa as janelas abertas? É bem provável que não. Todos esses riscos precisam ser considerados juntos ou suas medidas de proteção falharão rapidamente.

É uma história semelhante ao avaliar o perfil de risco digital de uma empresa. O foco em cada uma das ameaças separadamente não é mais eficaz e, em vez disso, elas devem ser proativamente integradas e gerenciadas juntas. Somente quando uma empresa adota uma abordagem holística como essa é possível realizar um progresso real.

De fato, essa melhor prática integrada está embutida no regulamento. A GDPR afirma que, para serem compatíveis, as empresas que mantêm negócios com a União Europeia devem implementar medidas de "proteção de dados por design e padrão". De acordo com o Information Commissioner’s Office isto significa que as empresas devem “integrar ou associar a proteção de dados em […] práticas comerciais, desde a fase de projeto, até ao ciclo de vida”.

Por isso, é essencial que as empresas se familiarizem de maneira efetiva e eficiente com o risco digital. No entanto, eles estão lutando, porque a privacidade dos dados e a segurança cibernética são geralmente gerenciados por equipes diferentes. Normalmente, o Chief Privacy Officer (CPO) assume a responsabilidade pela privacidade dos dados; enquanto o Chief Information Security Officer (CISO) para segurança cibernética.

Seria muito melhor que ambos fossem gerenciados pela mesma equipe ou por uma equipe integrada com um novo modelo de governança que fornecesse uma estrutura de relatório direto ao CEO / CRO (Chief Risk Officer) com a supervisão de um conselho. Afinal, muito trabalho que garante a conformidade com a privacidade de dados pode ser usado para reforçar a segurança cibernética e vice-versa. Além de ajudar as empresas a gerenciar os riscos digitais, essa abordagem agrega valor, permitindo que eles apresentem iniciativas de transformação digital.

Otimizando a classificação de dados


Uma única equipe de risco digital também garantirá que a classificação de dados que as empresas estão realizando em toda a empresa para diversos fins seja alinhada e coordenada.

Classificação de dados significa entender quais dados são mantidos pelos negócios, os processos aos quais se conecta e quem os gerencia. É uma parte crucial da conformidade com os regulamentos de privacidade de dados, como o GDPR, mas também pode ser usado para aprimorar a segurança cibernética.

Ao empreender um programa estruturado para avaliar e entender seus ativos de dados - usando um processo de categorização ou classificação - os negócios podem identificar seus principais dados e criar uma segurança eficaz em torno deles.

“Observamos que o princípio de Pareto se aplica ao risco de dados em muitos negócios, com 20% dos dados de uma empresa carregando 80% do risco. É quase impossível tornar todos os sistemas à prova de hackers, então por que não se concentrar nos dados para os quais a segurança é absolutamente essencial para o seu negócio e para o seu cliente?”, acrescenta Harris.

Hans Bootsma, sócio de serviços de risco cibernético da Grant Thornton Holanda, concorda que uma abordagem integrada à privacidade e segurança cibernética se estende ao processo de classificação.

"A maioria das empresas nunca classificou dados antes do GDPR, mas começaram porque tinham que categorizar informações pessoalmente identificáveis ​​e outros tipos de dados para obedecer. Se você gerencia um programa como esse, é fácil estendê-lo e combiná-lo com outros tipos de dados para identificar suas prioridades de dados e vinculá-lo ao seu programa virtual.”

A menos que a privacidade dos dados e a segurança cibernética estejam alinhadas, o processo de classificação acontecerá em departamentos isolados e os benefícios não serão compartilhados.

Uma resposta integrada às violações

A interconexão entre privacidade de dados e segurança cibernética nunca é mais dolorosamente óbvia do que imediatamente após uma violação de dados. As empresas precisam saber como a violação ocorreu e quais defesas cibernéticas (se houver) falharam. Mas, crucialmente, eles também precisam entender quais dados foram comprometidos e se foram pessoais ou confidenciais. Se assim for, elas precisarão divulgá-lo.

A maioria das empresas não está totalmente equipada para isso. Apenas 28% das empresas pesquisadas pela Grant Thornton estão "muito satisfeitas" com sua capacidade de proteger-se contra o risco de uma violação grave e apenas 26% com sua capacidade de responder consistentemente a uma grande violação em toda a empresa, não importando quando ou onde se situa.

Integre privacidade e segurança em uma única função, e as empresas poderão responder de forma mais eficaz às violações de dados devido a seus recursos combinados e à compreensão holística da ameaça.

“A privacidade e a segurança cibernética são complexas porque estão colidindo no mundo real. Uma violação de dados pode começar como algo muito técnico em um provedor de nuvem terceirizado, mas, ao responder ao incidente, você precisa considerar se os dados pessoais estão envolvidos e quais divulgações regulatórias precisam ser feitas”, aponta Harris.

O executivo ainda aponta a possibilidade de os dois se tornarem interconectados. “Em vez de duas funções separadas de cyber e privacidade respondendo a uma violação, faz sentido ter uma função integrada com as habilidades especializadas para gerenciar o processo”, acrescenta.

Gerenciando a cadeia de suprimentos e o risco digital de terceiros

O aumento da interconexão da segurança cibernética e da privacidade tem implicações sobre como o risco de terceiros é gerenciado. Por exemplo, a regulamentação da privacidade de dados, como o GDPR, exige que as empresas obtenham garantias robustas de fornecedores que lidam com dados em seu nome.

“Seria sensato para as organizações mesclar aspectos de segurança cibernética do gerenciamento de riscos de terceiros com controles de privacidade”, diz Harris. "É só uma questão de perguntar sobre os dois ao mesmo tempo. É relativamente simples, mas isso não está acontecendo amplamente no momento. Equipes de segurança cibernética e equipes de privacidade estão fazendo isso separadamente.”

Naturalmente, esse gerenciamento de riscos terceirizado "único" eliminará a duplicação de esforços e criará eficiências. Mais importante, no entanto, produzirá uma compreensão mais integrada do risco digital.

Benefícios de uma abordagem integrada de risco digital

Adotar uma abordagem de negócios integrada para gerenciar o risco digital oferece diversos benefícios importantes para as organizações.

Em primeiro lugar, pode ajudar a levar adiante iniciativas de transformação digital, porque a classificação e a conformidade dos dados que as empresas estão realizando em toda a empresa para diversos fins estão alinhadas e coordenadas.

Em segundo lugar, uma função de risco digital que realiza avaliações abrangentes de riscos digitais de terceiros e da cadeia de suprimentos está mais bem posicionada para garantir que o risco seja considerado em toda a organização. Uma maneira de fazer isso é pré-aprovar fornecedores de uma perspectiva de risco.

“As empresas podem se transformar digitalmente mais rápido se fizerem o processo de aprovação do fornecedor antecipadamente”, afirma James Arthur, sócio líder de consultoria cibernética da Grant Thornton UK. "É muito mais fácil fazer isso se você tiver uma única função de risco digital que avalia proativamente a segurança cibernética e o risco de privacidade em conjunto".

Em terceiro lugar, as empresas continuam a usar novas tecnologias para buscar vantagens comerciais, o que significa que sua abordagem à privacidade de dados e à segurança cibernética também precisa evoluir continuamente, para lidar com novas ameaças e vulnerabilidades. Uma função integrada de risco digital está em melhor posição para examinar algumas dessas novas tecnologias, como o blockchain.

“É vital que as equipes de risco estejam envolvidas desde o início, porque com qualquer banco de dados de tecnologia há sempre o risco de ataques de terceiros que querem roubar as informações”, diz Michel Besner, gerente geral da Catallaxy, subsidiária da Raymond Chabot Grant. Thornton. “Para combater isso, as equipes de risco podem garantir que existam estruturas de governança adequadas sobre como o blockchain é implementado, gerenciado e suportado. Faça isso direito e você evitará problemas de segurança mais adiante.”

A supervisão do conselho é fundamental, a gestão combinada essencial

O caso de uma função integrada de risco digital é claro. Mas quem deve supervisionar e administrar isso?

No momento, há confusão sobre onde a responsabilidade está, e isso está dificultando o gerenciamento de riscos digitais. De maneira geral, as empresas pesquisadas afirmam que a falta de compreensão sobre quais riscos os indivíduos e equipes são responsáveis ​​é o segundo maior ponto fraco no gerenciamento do risco digital.

O primeiro aspecto importante a considerar é quem gerencia o risco digital do ponto de vista do dia a dia. A maioria das empresas coloca o diretor de risco ou diretor de tecnologia responsável por isso. Mas, como explicado no artigo segurança digital: investir apenas em tecnologia não é o suficiente, a gestão efetiva de riscos digitais depende muito mais do que da tecnologia. Os diretores de risco reportam riscos mais holísticos para os negócios - estratégicos, financeiros e operacionais. Então, qual é a resposta?

Entre na função de diretor de risco digital. “As organizações estão começando a criar funções de risco digital chefiadas por um diretor de risco digital”, confirma Arthur. “É aqui que a responsabilidade pelo gerenciamento do risco digital deve estar. Mas no momento eles ainda são organizacionais distintos na maioria das empresas”.

Uma vez que o gerenciamento de risco digital do dia a dia está em vigor, é essencial considerar quem fornece supervisão. Assim como no risco financeiro, a gravidade do risco digital significa que o conselho deve assumir um papel ativo. Embora o conselho precise supervisioná-lo, eles nem sempre têm o conhecimento técnico para entender a natureza da ameaça. Portanto, idealmente, um comitê de risco digital específico deve ser estabelecido dentro do conselho para supervisionar esse risco, com a representação de especialistas.

“A supervisão do risco digital deve estar no nível do conselho”, confirma Christos Makedonas, líder de risco tecnológico da Grant Thornton Cyprus. “Também deve haver um comitê que discuta o risco digital. O risco digital é multifacetado, então muitas pessoas precisam se alimentar desse processo. No momento, isso só acontece em grandes empresas altamente regulamentadas - especialmente aquelas em serviços financeiros.”

Três etapas para o gerenciamento integrado de riscos digitais

1) Combine as funções de privacidade de dados e segurança cibernética para criar uma única função de risco digital. Essa nova equipe deve ser governada por um único modelo e seguir o mesmo conjunto de processos, metas e práticas conectadas a impulsionadores comerciais mais amplos.

2) Identifique quem é responsável por gerenciar e supervisionar o risco digital, mapeie suas atividades e fluxos de trabalho diários e veja se há alguma sobreposição. Identifique sinergias e elimine processos duplicados.

3) Assegure-se de que os processos de risco digital sejam gerenciados de forma end-to-end. Por exemplo, deve avaliar a segurança cibernética e a privacidade de dados. Ambos os fatores também devem ser avaliados ao classificar os dados.

Veja também