Securiti PrivacyOps é nomeada líder no The Forrester WaveTM
Download NowBlogs
Published on setembro 20, 2021 AUTHOR - Equipe de Pesquisa de Privacidade
A transformação do cenário digital ajudou a esclarecer a confusão entre os dados serem ativos e não mercadorias. Os dados são um ativo “não fungível”, como diz Jacky Wright, Chief Digital Officer da Microsoft. Eles não podem ser substituídos, pois são exclusivos para cada indivíduo, entidade ou objeto. Mais importante ainda, os dados são a força motriz por trás das inovações e avanços tecnológicos.
Por mais que seja verdade que os dados oferecem uma infinidade de oportunidades para as organizações em todo o mundo, também é verdade que eles trazem consigo sérias ameaças à segurança e à privacidade. A violação de dados da Equifax de 2017 é um ótimo exemplo disso: a violação afetou 147,9 milhões de consumidores, custando à empresa mais de US$ 4 bilhões.
As organizações em todo o mundo estão coletando e produzindo um volume maior de dados do que podem lidar. O alto volume de dados existe em plataformas multi-cloud SaaS e sistemas locais. Esses dados não estruturados, não rastreados, não mapeados e aparentemente desprotegidos criam oportunidades para que os agentes das ameaças os capturem e explorem.
Portanto, é vital que as organizações protejam todos os dados que possuem, monitoram ou armazenam, sejam dados pessoais ou dados confidenciais. As organizações também têm a responsabilidade de coletar, processar ou usar os dados em conformidade com as regulamentações globais, como GDPR, CCPA, PIPL etc. A falha em fazer isso pode resultar em violações de segurança, multas pesadas e, o que é mais grave, na perda da confiança do consumidor.
Mas como as organizações devem lidar com as ameaças e desafios de segurança e privacidade de dados?
As organizações em todo o mundo estão trabalhando com um grande volume de dados. A IDC prevê que o volume crescerá dez vezes até 2025 e, devido à ausência de um mecanismo eficaz de inteligência e privacidade de dados, as organizações acham difícil rastrear, monitorar e proteger a privacidade dos dados de forma eficaz, minimizando riscos.
Com regulamentações de privacidade, como o LGPD e GDPR, exigindo que as empresas registrem como coletam informações, armazenam, usam, monitoram ou arquivam, é vital quebrar os silos de dados e assegurar a classificação, catalogação, gerenciamento de riscos, mapeamento de dados e gerenciamento de consentimento ideais.
Para garantir que os riscos de segurança e privacidade sejam mantidos sob controle, as organizações devem primeiro:
As organizações devem iniciar o processo de descoberta e avaliação de dados encontrando e determinando onde os dados estão situados. Eles podem estar em vários ativos de dados, como servidores IaaS/PaaS em nuvem, aplicativos SaaS e sistemas locais.
A segunda medida mais importante que uma organização deve tomar é identificar e rastrear seus próprios dados pessoais ou confidenciais. Eles podem estar em forma estruturada ou não estruturada, espalhados por vários dispositivos, plataformas e aplicativos. Assim que os dados forem descobertos, eles devem ser classificados e rotulados para diferentes casos de uso.
Depois que os ativos de dados tiverem sido localizados e os dados existentes forem descobertos e rotulados, a próxima etapa deve ser avaliar a postura de segurança e privacidade dos dados. Os dados precisam ser verificados quanto a qualquer configuração incorreta de segurança, como ausência de criptografia ou políticas de controle de acesso. O processo permite que as organizações obtenham melhor visibilidade da segurança dos dados, encontrem eventuais lacunas e adaptem os controles de segurança para garantir a segurança e conformidade com a privacidade.
A próxima etapa é determinar quem atualmente tem acesso aos dados e se a pessoa precisa do acesso. Conforme discutido acima, abuso de acesso, vazamento de dados e exposição acidental de dados são frequentemente associados a políticas de controle de acesso falhas. Portanto, é importante identificar as pessoas com acesso a determinados dados para que a organização possa rastrear, monitorar ou fortalecer o controle de acesso a dados confidenciais.
Depois que os dados forem classificados, rotulados e catalogados, as organizações podem prosseguir para resolver os problemas de segurança, privacidade e conformidade. Começando com:
O controle de acesso é parte integrante do ambiente de segurança de TI de uma empresa. Devem existir princípios pré-definidos envolvendo gerenciamento de identidade de usuário e gerenciamento de autorização de acesso. Devem ser definidas políticas estritas para adicionar usuários ao sistema e autorizar o acesso com privilégios mínimos aos recursos.
As funções de alguns funcionários geralmente mudam, levando a organização a modificar ou reconfigurar o controle de acesso. Às vezes, brechas de segurança surgem quando alguns funcionários saem da empresa enquanto seu controle de acesso continua não verificado. Isso cria uma lacuna de segurança, oferecendo aos agentes de ameaças uma oportunidade a ser explorada.
Com a automação eficaz, as organizações podem atualizar, revisar ou revogar automaticamente a permissão de acesso de funcionários que tiverem deixado a organização ou cujas funções de trabalho tenham sido alteradas.
Regulamentos de privacidade como o LGPD e GDPR exigem que as empresas coletem e registrem os consentimentos dos usuários. As empresas fazem uso do consentimento como uma das bases legais para coletar dados dos usuários, processá-los e usá-los.
Depois de mapear os dados e descobrir todos os end-points, as empresas devem criar métodos eficazes para coletar o consentimento dos usuários. O registro de consentimento deve conter uma marcação de data/hora de quando o consentimento foi coletado, juntamente com os detalhes da fonte e as políticas que definem o processamento do consentimento para fins específicos. As empresas também devem ter mecanismos para atender aos pedidos de revogação de consentimento dos usuários.
Os regulamentos globais de privacidade obrigam as organizações a manter uma política de privacidade e avisos , contendo os detalhes sobre a coleta, processamento, retenção de dados e outras métricas essenciais.
De acordo com os regulamentos de privacidade, os titulares dos dados têm o direito a solicitar uma cópia de seus dados, motivos dos processamento de dados, retificação de dados e exclusão de dados. Para atender às solicitações dos titulares de dados, as empresas precisam ter um sistema fácil de usar que possa coletar, processar e atender às requisições dos titulares em tempo hábil.
No caso de qualquer violação de segurança ou privacidade, as organizações devem notificar as autoridades reguladoras sobre a violação e os titulares dos dados afetados. Ter um plano abrangente de resposta a violações de dados ajudaria a evitar e mitigar riscos.
As organizações também devem manter uma avaliação da adequação e conformidade de um fornecedor com os regulamentos globais para evitar riscos relacionados à privacidade decorrentes do processamento por seus fornecedores
As organizações estão manipulando e processando uma quantidade impressionante de dados. Esses dados são espalhados por uma ampla variedade de sistemas, aplicativos, plataformas SaaS e ambientes multi-cloud. Essa enorme quantidade de dados acaba causando a dispersão.
A disseminação de dados não apenas dificulta o seu rastreamento pelas organizações, mas também a recuperação para fins específicos. Isso também leva a um caos maior em toda a organização, como o processamento incorreto de informações, abuso de acesso, acessos de privilégios excessivos e não monitorados
Os mesmos dados são então armazenados em locais diferentes, de forma estruturada ou não estruturada, trazendo mais confusão e riscos de segurança. Identificar esses dados, classificá-los e obter percepções significativas a partir deles não é possível por meio de processos manuais. De fato, um processo manual pode levar a perda de tempo, erros humanos e, portanto, a riscos de segurança cibernética e conformidade.
Uma solução viável para este problema é a automação. Por meio de aprendizado de máquina e automação com inteligência artificial, as empresas podem reduzir ao mínimo os erros humanos, permitir inteligência de dados eficaz e gerenciamento de consentimento, garantindo a conformidade total com os regulamentos de segurança e privacidade em todo o mundo.
A Securiti permite que as organizações identifiquem e mapeiem dados estruturados e não estruturados, identifiquem riscos , cumpram os direitos dos titulares , corrijam lacunas de segurança e garantam a conformidade regulatória através de uma plataforma PrivacyOps robótica com inteligência artificial.
A Securiti ajuda as organizações a identificar riscos , automatizar o controle de acesso e proteger os dados.
Descubra riscos de dados: Verifique os sistemas em busca de riscos de dados que possam levar a violações de segurança.
Proteja os dados: Defina regras para classificar e rotular dados para criptografá-los e protegê-los.
Controle o acesso: Defina políticas para adicionar, atualizar ou revogar automaticamente permissões de acesso.
A Securiti aparelha as organizações para que gerenciem efetivamente as seguintes obrigações quanto à privacidade:
Mapeamento de dados: Acompanhe seus dados e catalogue todos os ativos e propriedades em um só local.
Gerenciamento de consentimento: Use os dados mapeados para atender às solicitações de consentimento dos usuários.
Atendimento à DSRs: Automatize as requisições de dados dos titulares e mantenha um registro de conformidade.
Política de privacidade e gerenciamento de avisos: Automatize a publicação de avisos de privacidade e ative o gerenciamento centralizado, rastreando e monitorando os avisos de privacidade a fim de manter a conformidade.
Gerenciamento de violação de dados: Automatize o diagnóstico dos incidentes de violação de dados e as notificações de violação para as partes interessadas.
Avaliação de fornecedores: Acompanhe a adequação de privacidade e segurança de todos os seus provedores de serviços e operadores para fins de conformidade. Conformidade com os Regulamentos Globais
A Securiti ajuda as organizações a se beneficiarem do poder da IA para automatizar a segurança de dados, a privacidade e a gestão do consentimento, garantindo a conformidade regulatória em todo o globo.
abril 26, 2022· Conteúdo em português
À medida em que as organizações progressistas avançam em direção à transformação digital, elas percebem a importância da utilização de dados para encontrar introspecções valiosos que podem melhorar a satisfação e retenção de clientes e, principalmente, seus resultados....
fevereiro 21, 2022· Conteúdo em português
Em 28 de janeiro de 2022, a Autoridade Nacional de Proteção de Dados do Brasil, a ANPD, aprovou um importante regulamento que alterou a aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD) em ‘pequenas empresas’. Essa...
fevereiro 19, 2021· Conteúdo em português
As novas formas de relações estabelecidas dentro do contexto da sociedade da informação com crescente utilização de tecnologias disruptivas e trânsito de dados, redefiniram o conceito de privacidade para além do direito de ser deixado só, de...
[email protected]
PO Box 13039,
Coyote CA 95013
Auto discover personal data in Snowflake and enforce access governance
Key Features
Discover, classify, manage and protect sensitive data in Slack. Automate data subject rights fulfillment and maintain compliance with regulations such as GDPR, CCPA, LGPD, PCI and more
Key Features
Discover, classify, manage and protect sensitive data in Github. Automate data subject rights fulfillment and maintain compliance with regulations such as GDPR, CCPA, LGPD, PCI and more.
Key Features
Discover, classify, manage and protect sensitive data in Jira. Automate data subject rights fulfillment and maintain compliance with regulations such as GDPR, CCPA, LGPD, PCI and more.
Key Features
Discover, classify, manage and protect sensitive data in Dropbox. Automate data subject rights fulfillment and maintain compliance with regulations such as GDPR, CCPA, LGPD, PCI and more.
Key Features
Discover, classify, manage and protect sensitive data in SAP Successfactors. Automate data subject rights fulfillment and maintain compliance with regulations such as GDPR, CCPA, LGPD, PCI and more.
Key Features
Discover, classify, manage and protect sensitive data in Servicenow. Automate data subject rights fulfillment and maintain compliance with regulations such as GDPR, CCPA, LGPD, PCI and more.
Key Features
Discover, classify, manage and protect sensitive data in Zendesk. Automate data subject rights fulfillment and maintain compliance with regulations such as GDPR, CCPA, LGPD, PCI and more.
Key Features
Discover, classify, manage and protect sensitive data in Apache Hive. Automate data subject rights fulfillment and maintain compliance with regulations such as GDPR, CCPA, LGPD, PCI and more.
Key Features
Discover, classify, manage and protect sensitive data in Apache Spark SQL. Automate data subject rights fulfillment and maintain compliance with regulations such as GDPR, CCPA, LGPD, PCI and more.
Key Features
Discover, classify, manage and protect sensitive data in Cassandra. Automate data subject rights fulfillment and maintain compliance with regulations such as GDPR, CCPA, LGPD, PCI and more.
Key Features
Discover, classify, manage and protect sensitive data in Couchbase. Automate data subject rights fulfillment and maintain compliance with regulations such as GDPR, CCPA, LGPD, PCI and more.
Key Features
Discover data assets, detect & catalog sensitive data in it
Key Features
Classify and label data to ensure appropriate security controls
Key Features
Monitor data security posture and identify external and internals risks to data security
Key Features
Policy based alerts and remediations to protect data from external and internal threats
Key Features
Investigate data security issues and take remediation actions
Key Features
China has complex data protection and data security regime, however, the following are three main laws that primarily cover China’s data protection and data security regulatory framework. These laws are:
Frameworks
UAE have number of laws in place that govern privacy as well as data security in the UAE. Some of those includes:
Frameworks
The Australian data laws aim to give consumers control over their data and promote greater transparency about how organizations use data containing personal identifiers.
Frameworks
Although there is no comprehensive data protection law in Indonesia, however, there are several regulations that regulate the Indonesia's draft Personal Data Protection Bill (PDPB) & Personal Data Protection Regulations (PDP Regulations)
Frameworks