Com leis rigorosas de proteção de dados em vigor em todo o mundo (incluindo GDPR e CCPA), é vital que o oficial de proteção de dados (DPO) e o CISO trabalhem juntos. Embora parte do trabalho do DPO seja auditar as políticas de segurança do CISO, é essencial que o DPO e o CISO tenham um bom relacionamento. Essencialmente, os CISOs estão preocupados com segurança e dados confidenciais, e os DPOs estão focados em privacidade e dados pessoais.
O CISO examina questões de segurança do ponto de vista de negócios e operações. Ao reforçar a postura de cibersegurança de uma organização, o CISO se esforça para garantir que todas as informações da empresa sejam processadas com segurança. O DPO está preocupado principalmente com a forma como a organização lida com dados pessoais. Isso pode incluir minimização de dados, comunicação com titulares de dados, gerenciamento de direitos, minimização de armazenamento, coleta e processamento de dados.
Minimização de dados
Um dos principais objetivos do DPO é garantir que nenhum dado desnecessário do cliente seja processado. Se algum dado pessoal for processado, ele não deverá ser mantido além de uma determinada data (conforme o compromisso mencionado na política de privacidade), e os clientes deverão ser informados sobre a natureza do processamento de dados.
A minimização de dados envolve o armazenamento de menos dados pessoais, o que diminui a superfície geral do ataque. Isso é importante quando se trata da colaboração entre o DPO e o CISO. Com o DPO ajudando a minimizar a quantidade de dados coletados, o CISO é capaz de manter um nível mais alto de segurança.
Por exemplo, talvez sua organização emita um formulário de inscrição que solicite um endereço de e-mail, número de telefone e número do Seguro Social. O CISO se preocupará principalmente com a forma como os dados são protegidos. Por outro lado, o DPO provavelmente fará perguntas como: “Por que estamos coletando essas informações?” e “Precisamos processar (armazenar, usar ou transferir) esses dados?” Ao fazer perguntas como essas, o DPO ajuda a equipe de segurança do CISO a proteger de maneira eficaz e proativa os dados.
Crie um registro de atividade
Nas organizações digitais modernas, existem muitos fluxos de dados provenientes de várias fontes diferentes. Ao criar um registro, o DPO pode ajudar o CISO a monitorar os vários fluxos de dados. Um registro de atividade eficaz responderá a perguntas como “Onde exatamente essas informações estão sendo usadas?”, “Quem as está usando?” E “Para quem esses dados estão sendo transferidos?” Mais uma vez, o CISO está interessado nessas informações do ponto de vista de segurança e o DPO tem preocupações com a privacidade.
Durante a criação de um registro de atividades, avalie se os dados são de natureza pessoal. Às vezes, se os dados são pessoais depende do contexto. Por exemplo, talvez um cliente forneça apenas o endereço residencial de uma empresa. Se esse endereço residencial puder ser rastreado até o indivíduo, serão dados pessoais. Devido a nuances como essas, é útil ter um DPO com formação jurídica.
Proteção de dados por design
Outra maneira pela qual o DPO e o CISO podem trabalhar efetivamente juntos é durante o início do produto. Ao trabalhar em estreita colaboração com os desenvolvedores de uma organização, o DPO e o CISO podem criar proativamente proteção de dados nos produtos da empresa.
Por exemplo, durante a criação de cookies essenciais e não essenciais, o CISO terá preocupações relacionadas a vulnerabilidades de segurança e o DPO terá preocupações com a privacidade. Do ponto de vista da segurança, o CISO quer garantir que os cookies essenciais – aqueles usados para rastrear sessões de logon e fornecer funcionalidade relacionada ao usuário – sejam protegidos. Dessa forma, nenhuma representação pode ocorrer.
E da perspectiva da privacidade, o DPO se preocupará com cookies não essenciais, como cookies de publicidade usados para exibir anúncios. O DPO deve garantir que a lista de cookies seja exibida para os usuários do site e que os usuários possam optar por não receber alguns cookies sem prejudicar significativamente o desempenho do site.
Assim, uma estreita colaboração entre o CISO e o DPO durante o processo de criação de cookies pode ser eficaz do ponto de vista da privacidade e da segurança.
Lidando com violações e violações de privacidade
Outra instância em que os DPOs e CISOs devem trabalhar em conjunto é no caso de uma violação de dados ou violação de privacidade. Aliás, esses são frequentemente eventos díspares. Por exemplo, talvez um cliente receba um formulário de contato e o número de telefone seja usado posteriormente para vender um produto.
Se não houvesse um link para a política de privacidade no formulário de contato, isso seria uma violação da privacidade, mas não uma violação. Como alternativa, talvez houvesse uma violação de dados; no entanto, apenas o código fonte foi roubado. Isso seria uma violação de dados, mas não uma violação de privacidade.
No entanto, para avaliar a situação, o DPO e o CISO devem colaborar estreitamente. Isso é especialmente importante durante uma violação, pois podem ocorrer multas se a empresa não alertar as autoridades sobre um incidente a tempo.
Avaliações de impacto
Após uma violação, as organizações devem realizar uma avaliação de risco durante a qual o DPO atua em uma função consultiva. Além de auditar a infraestrutura de segurança existente do CISO, o DPO deve oferecer conselhos para o futuro. Com a ajuda do CISO, o DPO pode responder perguntas como “Um incidente como esse pode acontecer em outro lugar?”, “Como podemos nos proteger contra esse avanço?” E, o mais importante, “Deveríamos coletar esses dados pessoais em tudo?”
Conclusão
Ao trabalhar em estreita colaboração, o DPO pode ajudar o CISO a proteger os dados com mais eficiência, coletando apenas os dados mais necessários e mantendo os clientes bem informados sobre a transferência e o uso de dados.
Com o DPO e o CISO trabalhando juntos, a transferência de dados de um lugar para outro pode ser transmitida de maneira segura e legal, reduzindo bastante a chance de ocorrência de uma violação de segurança e, finalmente, ajudando a organização a economizar tempo e dinheiro.
Fonte: Rajesh Ganesan – Vice President of Product Management, ManageEngine
A Lei Geral de Proteção de Dados (LGPD) entrará em vigor em janeiro de 2021 estabelecendo regras para a coleta, armazenamento, tratamento e compartilhamento de dados pessoais. Ela tem como base a lei europeia, GDPR (General Data Protection Regulation) que protege os dados pessoais dos usuários europeus em plataformas online.
As empresas terão que se adaptar a esse novo desafio. Pensando nisso, a ManageEngine traz soluções para que você fique em conformidade com todos os requisitos da lei. Clique no botão abaixo e saiba como a ACSoftware pode te ajudar.
ACSoftware revenda e distribuidora ManageEngine no Brasil. Fone / WhatsApp (11) 4063 9639.
PodCafé da TI – Podcast, Tecnologia e Cafeína.