A vida está mudando rapidamente para profissionais de privacidade.
Há uma década, nosso foco estava garantindo que nossas organizações estivessem sendo transparentes e atenciosas em coletar os dados pessoais dos indivíduos e dar a eles opções sobre o manuseio de seus dados, protegê -los meticulosamente e aconselhar as obrigações e as melhores práticas em caso de dados pessoais.
Hoje, ainda faço todas essas coisas, mas, à medida que o ambiente regulatório de segurança cibernética mudou, meu escopo cresceu para incluir não apenas manter os dados pessoais privados, mas também como lidar com ameaças à integridade e disponibilidade do processamento de serviços que os dados pessoais.
Isso significa que passo muito tempo com as equipes de produtos e engenharia Cloudflare em questões relacionadas à disponibilidade e resiliência de nossos produtos. Trabalhamos no desenvolvimento de maneiras de medir os efeitos das interrupções, determinando quais incidentes devem ser relatados e, quando necessário, moldando o relatório e a resposta.
Não estou sozinho ao perceber uma mudança no mundo da privacidade e conformidade. Mais de 80% dos profissionais de privacidade têm a tarefa de trabalhar além de suas tarefas de privacidade mais tradicionais, de acordo com o relatório de governança de privacidade de 2024 da Associação Internacional de Profissionais de Privacidade.
A conformidade regulatória de segurança cibernética tornou-se a segunda responsabilidade mais comum entre os entrevistados cujas remessas estão crescendo. Além de proteger a privacidade, agora precisamos garantir que nossas organizações estejam reduzindo os riscos cibernéticos e aumentando a resiliência.
Navegando novos regulamentos
A mudança no papel dos profissionais de privacidade reflete uma grande mudança no ambiente de regulação de dados. Nos últimos dois anos, uma série de novos regulamentos tornou a resiliência e o gerenciamento de riscos essenciais para a conformidade, pois a privacidade dos dados sempre foi.
Começando com o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, a primeira onda dos principais regulamentos de privacidade e segurança de dados focados em proteger os indivíduos contra os danos de ter seus dados comprometidos.
A conformidade com o GDPR, a Lei de Privacidade do Consumidor da Califórnia e outros regulamentos semelhantes significavam respeitar os direitos dos titulares de dados, limitar a quantidade de organizações de dados pessoais coletadas e proteger essas informações contra divulgação não autorizada e maus atores.
Três novos regulamentos
Três novos regulamentos que entraram em vigor desde 2023 são representativos de como a conformidade está mudando: a diretiva de segurança e segurança da informação (NIS2), a Lei de Resiliência Operacional Digital (DORA) e a regra de segurança cibernética da Comissão de Valores Mobiliários dos EUA (SEC).
Na Europa, o NIS2 pretende melhorar as práticas digitais de resiliência e segurança em 18 setores, enquanto a Dora se concentra no risco no gerenciamento de TI no setor financeiro. A nova regra da SEC aumenta os padrões de segurança e relatórios para empresas americanas de capital aberto.
Como abrange tantas indústrias em toda a Europa, o NIS2 pode ter o impacto mais amplo dos três. O NIS2 desafia as organizações a avaliar o risco mais detalhadamente, lidar com os incidentes mais rapidamente e fazer mais para garantir a continuidade dos negócios. O NIS2 exige que as organizações abordem:
- A visibilidade de todos os ativos de TI em ambientes, permitindo avaliação abrangente de risco e manuseio proativo de incidentes.
- A segurança das cadeias de suprimentos de software que suportam sistemas críticos.
- Segurança em todo o ciclo de vida dos sistemas de rede e de informação.
- A vulnerabilidade dos aplicativos da Web de missão crítica a ameaças de terceiros.
- Criptografia, controle de acesso e autenticação para uma variedade de tipos de usuários, dispositivos e sistemas.
Requisitos de segurança, privacidade e resiliência
O NIS2 também impõe esses requisitos de segurança, privacidade e resiliência a uma coleção mais ampla de indústrias e organizações do que seu antecessor, a diretiva original de rede e segurança da informação (“NIS”). O NIS aplicou a vários setores que funcionam como infraestrutura nacional crucial, incluindo energia, transporte, bancos e finanças, água e saúde.
O NIS2 acrescenta gerenciamento de águas residuais, indústria espacial, administração pública e serviços de TI de negócios para negócios a esse grupo. Ele também adiciona seis novas indústrias à categoria “importante”: gerenciamento de resíduos, processamento de alimentos, pesquisa, serviços de correio e correio, produção e distribuição química e certos tipos de fabricação.
As empresas de ambas as categorias enfrentam os mesmos requisitos básicos, mas o NIS2 exige que as organizações em setores essenciais demonstrem proativamente a conformidade. Crucialmente, os requisitos do NIS2 fluem através de organizações cobertas para os processadores de dados de terceiros que eles empregam também.
Sob o NIS2, organizações de médio porte (aquelas com mais de 50 funcionários ou € 10 milhões em rotatividade anual) em setores essenciais ou importantes na UE estão agora sujeitos a padrões de segurança exigentes. O não cumprimento tem consequências potencialmente arruinadas: multas de até 2% da receita global para empresas do setor “essencial” e 1,4% para “importantes”. A não conformidade persistente pode levar à suspensão de serviços ou funcionários responsáveis.
O efeito líquido: mais empresas em mais indústrias estão sujeitas a rigorosos padrões de segurança e resiliência. E as equipes de privacidade desempenham um papel fundamental para ajudar a atender a esses requisitos.
Com base nos investimentos existentes de privacidade
Muitas das organizações cobertas pelo NIS2 estão abordando rigorosos regulamentos de segurança cibernética pela primeira vez. Eles estão fazendo isso enquanto gerenciam a complexidade que confronta todos nós na TI moderna, enquanto operam em sistemas locais, implantações de computação em nuvem e dispositivos de borda.
O NIS2 identifica 10 medidas de gerenciamento de riscos que as entidades cobertas devem tomar. Eles incluem avaliar e planejar uma ampla gama de riscos, desde vulnerabilidades da cadeia de suprimentos e desastres naturais a interrupções na rede e erro humano. Essa mistura complicada de riscos cruza os mundos físicos e digitais.
Mas há boas notícias para organizações cobertas e as equipes de privacidade que se estendem para garantir a conformidade: muitos dos esforços que eles já fizeram para construir programas maduros e abrangentes de privacidade podem ser aproveitados para ajudar em conformidade com os regulamentos de segurança cibernética.
Por exemplo, os mandatos de avaliação de risco da NIS2 exigem que as empresas cobertas inventem todos os ativos em suas propriedades de TI. Dora faz o mesmo para as empresas em finanças. Os mapas de dados existentes desenvolvidos para fins de privacidade dão às organizações uma vantagem para entender suas coleções de ativos e os riscos que enfrentam.
As equipes de privacidade desempenham um papel essencial no atendimento às demandas de lidar com incidentes do NIS2 e de outros novos regulamentos. Por exemplo, ajudamos a determinar quando os incidentes atingem o limiar de relatório e a trabalhar com equipes de observabilidade para garantir que nossas organizações tenham os dados que devemos compartilhar com os reguladores e o público.
Alcançar a conformidade sem adicionar complexidade
No entanto, Sturdy Your Foundation, atendendo aos mandatos da NIS2 apresenta novos desafios tecnológicos. Para muitas organizações, a continuidade dos negócios depende da disponibilidade contínua de aplicativos da Web. Isso significa proteção contra ataques distribuídos de negação de serviço (DDoS) nas camadas de rede, transporte e aplicação.
As empresas cobertas também têm um novo nível de responsabilidade pela segurança dos aplicativos de terceiros que usam e a cadeia de suprimentos de software subjacente às suas pilhas. As penalidades rígidas por não conformidade tornam os fundamentos da segurança cibernética mais importantes do que nunca: antecipando ataques de phishing e malware, controle e gerenciamento de acesso e o uso apropriado de criptografia, criptografia e autenticação de vários fatores (MFA).
Não existe um sistema único ou software que possa enfrentar esses desafios. É uma questão de estratégia – uma mistura de tecnologia, política, procedimento e engenhosidade. Mas as ferramentas são importantes. E a escolha de soluções de segurança adequadas ao ambiente regulatório em evolução pode reduzir a complexidade e o custo à medida que as organizações buscam conformidade.
Três perguntas -chave para fazer
Aqui estão três perguntas principais a serem feitas ao avaliar soluções de segurança cibernética à luz do NIS2:
1. Essas soluções são versáteis o suficiente para ambientes complexos de TI? Existem soluções de Point que podem ser bem adequadas aos aspectos individuais da conformidade do NIS2, mas a tecelagem de vários deles em ambientes híbridos pode complicar o gerenciamento e deixar lacunas de segurança.
2. Eles simplificam a visibilidade? O inventário de ativos de TI, identificando possíveis problemas de segurança e investigando rapidamente as ameaças são essenciais para a conformidade com o NIS2. A plataforma de segurança certa fornecerá visibilidade e relatórios sob demanda.
3. Eles são construídos para a continuidade dos negócios? As interrupções nos aplicativos da Web ameaçam serviços essenciais. Procure soluções que reduzam o tempo de inatividade da Web com várias camadas de proteção contra ataques.
Apresentamos a melhor ferramenta de privacidade e navegador anônimo.
Este artigo foi produzido como parte do canal especialista da TechRadarPro, onde apresentamos as melhores e mais brilhantes mentes do setor de tecnologia hoje. As opiniões expressas aqui são as do autor e não são necessariamente as do TechRadarpro ou do Future Plc. Se você estiver interessado em contribuir, descubra mais aqui:
Fique conectado