Introdução à conformidade de dados

O que é conformidade de dados?

Conformidade de dados é a prática de garantir que dados confidenciais e protegidos sejam organizados e gerenciados de uma forma que permita que organizações e entidades governamentais atendam às regulamentações legais e governamentais relevantes. Em geral, você pode pensar na conformidade de dados como um conjunto de regras detalhadas (geralmente chamadas de protocolos, padrões ou requisitos) que foram projetadas para proteger dados e informações pessoais.

Os requisitos de conformidade de dados variam dependendo da regulamentação, mas, geralmente, a maioria define (1) como os dados são coletados, usados e armazenados e (2) os processos que as organizações devem adotar para garantir que os dados sejam protegidos contra perda, roubo e uso indevido.

Por que as empresas precisam de conformidade de dados?

Do envio de mensagens instantâneas e e-mails ao uso de processadores de texto, planilhas e uma infinidade de outros tipos de dados digitais, a criação e o uso de informações digitais são onipresentes na maneira como trabalhamos hoje. Essa mudança radical para o armazenamento digital de informações de clientes, números de cartão de crédito e outros detalhes financeiros pelas organizações, juntamente com a mudança em massa para o e-commerce e transações on-line, criou a necessidade de supervisão da forma como as organizações estão lidando e protegendo seus dados.

Em última análise, quando um cliente fornece PII (personally identifiable information, dados pessoais identificáveis) como parte de uma transação, cabe à organização proteger essas informações e garantir que não caiam em mãos erradas como as de cibercriminosos. Ao aderirem aos requisitos de conformidade de dados, as organizações passam a ter diversos benefícios:

Impedem o comprometimento de dados

A conformidade de dados garante que as organizações estejam aplicando boas práticas de segurança para manter os dados da empresa seguros e protegê-los contra ataques. Trata-se de uma prática comercial essencial e demonstra que uma organização é uma boa administradora que age com responsabilidade na gestão de dados confidenciais e de clientes.

Melhoram e simplificam o gerenciamento de dados

O gerenciamento de dados é o processo de ingestão, armazenamento, organização e manutenção dos dados criados e coletados por uma organização. O gerenciamento eficaz de dados é uma parte crucial do cumprimento dos requisitos regulatórios de dados e não apenas apoia o esforço de conformidade, como também melhora os processos de tratamento de dados da empresa durante todo o ciclo de vida dos dados — da criação à destruição.

Criam fidelidade à marca

As organizações de hoje operam em mercados altamente competitivos, o que significa que os consumidores também têm muitas opções na escolha da marca. Quando as organizações demonstram aos clientes que aplicam boas práticas para seguir os requisitos de conformidade de dados, elas conseguem melhorar a confiança na sua marca, o que, por sua vez, leva a taxas de retenção de clientes mais elevadas.

Atraem funcionários qualificados

Os atestados e certificações de conformidade de uma empresa são uma prova de que a organização leva a conformidade de dados a sério e também um indicador de que ela aplica práticas criteriosas no seu gerenciamento de dados e em outras operações. Esses são fatores atrativos para candidatos a vagas e podem pesar favoravelmente para ajudar uma organização a atrair e reter funcionários qualificados.

Normas e padrões de conformidade de dados

Vivemos em uma economia de dados, por isso é mais importante do que nunca que as organizações tenham total domínio de seu universo de dados e cumpram os requisitos de conformidade aplicáveis aos seus negócios. Estes são alguns exemplos notáveis de leis e regulamentações que foram implementadas para proteger dados:

Framework de cibersegurança do NIST

O Framework de cibersegurança do NIST é um conjunto de diretrizes e práticas recomendadas que ajuda as organizações a criar e melhorar sua postura de cibersegurança para proteger os dados e impedir o comprometimento de dados. Publicado pelo NIST (Instituto Nacional de Padrões e Tecnologia), o framework é amplamente considerado o padrão ouro para a criação de um programa de cibersegurança, não importa se uma organização está apenas começando ou se está progredindo em maturidade da segurança. O framework do NIST categoriza todas as capacidades de cibersegurança em cinco funções principais, incluindo:

• Identificar — determinar o processo e os ativos que precisam de proteção
• Proteger — implementar proteções apropriadas para resguardar os ativos da organização
• Detectar — implementar mecanismos apropriados para identificar um incidente cibernético
• Responder — adotar técnicas para conter o impacto de um evento de cibersegurança
• Recuperar — implementar atividades apropriadas para manter planos de resiliência e restaurar quaisquer capacidades ou serviços que foram prejudicados devido a um incidente de cibersegurança

ISO/IEC 27001

Publicada originalmente em 2005, a ISO/IEC 27001 é uma norma internacional que fornece às empresas orientação para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão de segurança da informação. A conformidade com a ISO/IEC 27001 significa que uma organização implementou um sistema para gerenciar riscos relacionados à segurança dos dados de propriedade ou manipulados pela empresa e que esse sistema aplica todas as práticas recomendadas e princípios incluídos na norma internacional.

PCI DSS

O PCI DSS (Payment Card Industry Data Security Standard, Padrão de Segurança de Dados da Indústria de Cartões de Pagamento)) é um conjunto de padrões de segurança criado em 2004 para controlar melhor os dados dos titulares de cartões e reduzir fraudes com cartão de crédito. Qualquer empresa que processe, aceite, transmita ou armazene informações de cartão de pagamento deve aderir aos requisitos do PCI DSS.

GDPR

Originalmente publicado em 2016 e promulgado em 2018, o objetivo do GDPR (Regulamento Geral de Proteção de Dados) é proteger todos os cidadãos da União Europeia contra ataques de dados e privacidade, harmonizando as leis de privacidade de dados em todos os estados-membros da UE. Se uma empresa (localizada em qualquer lugar do mundo) lida com dados pessoais de residentes da UE, ela está sujeita a cumprir os requisitos do GDPR.

CCPA

A CCPA (California Consumer Privacy Act, Lei de Privacidade do Consumidor da Califórnia) foi introduzida em 2018 para permitir que qualquer consumidor da Califórnia exija ver todas as informações que uma empresa salvou sobre ele, bem como uma lista completa de todos os terceiros com os quais esses dados são compartilhados. Qualquer empresa com pelo menos US$ 25 milhões em receita anual que atenda residentes da Califórnia deve cumprir a CCPA. Além disso, as empresas devem estar cientes de que a CCPA permite que os consumidores processem uma empresa se as diretrizes de privacidade forem violadas, mesmo que não haja ataque.

FedRAMP

O FedRAMP (Federal Risk and Authorization Management Program, Programa Federal de Gerenciamento de Riscos e Autorização) é um programa do governo federal dos EUA que fornece às agências uma abordagem padronizada para avaliação de segurança, autorização e monitoramento contínuo de produtos e serviços na nuvem. O programa ajuda o governo a se adaptar rapidamente de uma estrutura de TI legada, antiga e desprotegida para soluções baseadas em nuvem seguras e fáceis de implementar.

Como garantir a conformidade de dados para sua organização

Para garantir a conformidade dos dados, as organizações precisam primeiro entender quais regulamentações se aplicam aos seus negócios para aderirem às corretas. Com uma compreensão dos mandatos de conformidade de dados relevantes, as organizações devem estabelecer as medidas de proteção de dados, políticas, protocolos e processos apropriados para cumprir os padrões. Essa é uma tarefa considerável, portanto, garantir o suporte financeiro e da alta gerência para as atividades de conformidade de dados é fundamental nessa abordagem.

Como a conformidade de dados é um esforço central para as operações diárias da empresa, é importante ter uma pessoa dedicada e responsável por gerenciar todas as partes móveis. Uma parte crítica do trabalho dessa pessoa será estabelecer atividades contínuas de conformidade de dados, programar testes regulares, revisar a documentação e auditar as operações, além de atualizar periodicamente a alta gerência sobre as diversas iniciativas de conformidade.

É bastante comum que as regulamentações de conformidade incluam auditorias periódicas nas quais a organização deve demonstrar que está seguindo os requisitos mais atualizados. Um auditor independente terceirizado normalmente trabalhará nesse processo com a organização para validar a conformidade dos dados. Para se sair bem nessas auditorias, é essencial manter um registro de todas as medidas de proteção de dados da organização, o que fornece ao auditor provas dos esforços de boa-fé da empresa para cumprir cada conjunto de regulamentações.

Indicadores de sucesso na conformidade de dados

Certamente, passar em uma auditoria de conformidade é um barômetro de que o programa de conformidade de uma empresa está funcionando bem. Mas fora dos ciclos de auditoria, como é que as organizações sabem se o seu programa de conformidade de dados teve sucesso? Veja, a seguir, alguns fatores que você encontrará em um programa de sucesso:

Propriedade e recursos atribuídos

Um programa de conformidade de dados terá muito mais chances de sucesso quando a organização tiver definido claramente um responsável e estabelecido as funções e responsabilidades de todos os envolvidos. A responsabilidade pelo trabalho com os dados deve ser atribuída a funções na organização, por isso é frequentemente conveniente designar “proprietários dos dados” (normalmente de grupos empresariais em vez de equipes técnicas) que devem ajudar a garantir sua capacidade de cumprir com as responsabilidades de conformidade.

Documentação mantida

As empresas devem manter documentação atualizada do seu programa de conformidade de dados que cubra cada etapa das operações de gestão de dados, e os documentos devem ser acessíveis e verificáveis por meio de relatórios não comprometidos. Como as empresas nunca ficam estagnadas e as regulamentações são atualizadas com frequência, o programa de conformidade de dados de uma organização deve passar por avaliações regularmente para que quaisquer modificações necessárias possam ser feitas imediatamente.

Ciclo de vida de dados bem gerenciado

Boas políticas para gerenciar o ciclo de vida dos dados garantirão que uma empresa possa responder questões importantes em apoio ao seu programa bem-sucedido de conformidade de dados, tais como:

• Quando os dados não são mais úteis?
• Quando o custo de armazenamento dos dados supera o benefício que eles proporcionam?
• Quando estamos coletando mais dados do que podemos usar em nosso benefício?
• Quais são os fatores que fazem com que os dados cheguem ao fim do seu ciclo de vida e possam ser destruídos?

Métricas de sucesso estabelecidas

Quando uma organização tem KPIs (key performance indicators, indicadores-chave de desempenho) para seu programa de conformidade, as métricas funcionam como uma estrela-guia útil para monitorar o sucesso do programa. Os KPIs também ajudam uma organização a identificar os pontos fortes e fracos do programa. Os KPIs mais importantes são aqueles que se relacionam diretamente com as metas do programa da organização, o que também significa que as empresas precisam primeiro ter uma linha de base de metas para poder mensurar a eficácia da conformidade.

Principais desafios da conformidade de dados

O ambiente regulatório em constante mudança criou um labirinto de conformidade cada vez mais complexo para as organizações enfrentarem. No entanto, a não conformidade pode levar a multas pesadas, bem como resultar em operações comerciais incapazes de proteger os dados ou de atuar com agilidade quando ocorre um incidente.

Somando-se à combinação de desafios, os esforços de conformidade das organizações devem enfrentar o novo normal de ambientes de trabalho híbridos, volumes de dados em crescimento exponencial, stacks de tecnologia em expansão, limitações de recursos e preocupações com orçamento que muitas vezes deixam as equipes de risco e conformidade sobrecarregadas e com falta de pessoal.

Escassez de habilidades e recursos

Ter uma equipe experiente, com sólida consistência de dados e experiência em segurança, continua sendo um desafio. A escassez de recursos e competências dificulta a preparação para a conformidade quando as organizações precisam enfrentar as complexidades operacionais de atrair candidatos para preencher vagas em aberto.

Crescimento exponencial em volumes de dados

O crescimento dos negócios digitais gera cada vez mais dados que devem ser incluídos nos esforços de conformidade de dados de uma organização. De acordo com a Statista, o volume de dados corporativos cresceu de aproximadamente um petabyte (PB) para 2,02 petabytes de 2020 a 2022.1 Acompanhar esse ritmo pode se tornar um grande desafio para as equipes de conformidade de dados.

Trabalho híbrido e expansão da superfície de ataque

Com as organizações enfrentando uma superfície de ataque expandida por meio da adoção da nuvem e funcionários migrando para modelos de trabalho remoto, está cada vez mais difícil inventariar onde todos os dados da organização residem e quais são esses dados para trazê-los para a conformidade.

Avanços tecnológicos

Os avanços nas tecnologias que viabilizam os negócios criaram um ambiente digital em constante mudança para as equipes de conformidade e segurança gerenciarem e protegerem. As empresas adotaram plataformas de colaboração por vídeo, aderiram à revolução das mídias sociais e ao "tudo como serviço" e equiparam seus funcionários com smartphones — apenas para citar algumas das inúmeras inovações que as organizações devem incluir em seu programa de conformidade de dados.