Nova estrutura de privacidade do NIST

Um recurso personalizado para auditoria interna.

No século 21, dado é ouro. É o que sustenta algumas das maiores empresas do mundo, incluindo Amazon, Facebook e Google. A necessidade de coletar e usar dados se tornou um dos principais fatores econômicos, gerou um submundo do crime cibernético e impulsionou o avanço tecnológico para reunir quantidades cada vez maiores de dados, com mais rapidez e eficiência.

Nas últimas duas décadas, a maioria das organizações encontrou maneiras de adotar tecnologias da informação para coletar e alavancar dados de clientes, mas poucas tiveram tempo para se concentrar em como essa coleta de dados afeta a privacidade dos indivíduos. Nos últimos anos, houve esforços conjuntos para controlar a coleta e a monetização desenfreadas de dados pessoais. O crescente número de leis destinadas a regular a coleta, o gerenciamento, o armazenamento e a proteção de dados pessoais, como o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, refletem essa reação.

No final do mês passado, o Instituto Nacional de Padrões e Tecnologia (NIST) do Departamento de Comércio dos EUA lançou uma nova estrutura de privacidade. Ela fornece estratégias para melhorar as práticas de privacidade, aumentar a confiança do cliente e cumprir uma lista crescente de regulamentos de privacidade.

A estrutura de privacidade, intitulada ‘Uma Ferramenta para Melhorar a Privacidade por Meio do Gerenciamento de Riscos Corporativos’, foi projetada para apoiar os esforços de privacidade de qualquer organização e trabalha em conjunto com a estrutura de segurança cibernética do NIST, lançada em 2014.

Essa estrutura de privacidade foi projetada para apoiar o exame das práticas de coleta de dados e como essas práticas afetam a privacidade individual. Ela ajuda a gerenciar riscos de privacidade, incentivando as organizações a: Considerar a privacidade quando sistemas, produtos e serviços forem projetados e implantados. Comunicar sobre suas práticas de privacidade. Incentivar a colaboração entre organizações, como entre executivos, consultor jurídico e TI.

A ferramenta divide o gerenciamento de riscos de privacidade em três partes, denominadas Núcleo, Perfis e Camadas de implementação.

Iniciando o diálogo. O exercício Principal permite discussões sobre atividades e resultados de proteção de privacidade. Atingindo metas organizacionais. A etapa Perfil define prioridades para atividades e resultados que correspondem às necessidades de uma organização com seus valores e riscos de privacidade.

Gerenciando o risco. Uma série de camadas de implementação suporta o exame da adequação de processos e recursos para gerenciar riscos de privacidade.

A estrutura de privacidade oferece uma ferramenta excelente e muito necessária para os auditores internos. Seu foco no gerenciamento de riscos, na adequação de processos e no equilíbrio das necessidades organizacionais com o risco à privacidade se encaixa perfeitamente no núcleo dos serviços e dos pontos fortes da auditoria interna. Além disso, a estrutura de privacidade oferece um grupo de apêndices que fornecem ferramentas para avaliar e implementar estratégias fundamentadas de privacidade que os auditores internos devem achar incrivelmente valiosas.

O apêndice do Privacy Framework Core fornece uma tabela abrangente de funções, categorias e subcategorias que descrevem atividades e resultados específicos que podem apoiar o gerenciamento de riscos de privacidade quando sistemas, produtos e serviços estão processando dados. Ele fornece uma abordagem baseada em riscos que identifica funções, aborda a escalabilidade e descreve como a estrutura de privacidade se alinha à estrutura de segurança cibernética do NIST.

O apêndice sobre práticas de gerenciamento de riscos de privacidade aborda considerações sobre o gerenciamento de riscos de privacidade, incluindo o relacionamento entre segurança cibernética e risco de privacidade e o papel da avaliação de risco de privacidade. Essas considerações incluem organizar recursos preparatórios, determinar recursos de privacidade, definir requisitos de privacidade e realizar avaliações de risco de privacidade.

O apêndice final fornece descrições detalhadas de quatro níveis de implementação de privacidade: parcial, informada sobre riscos, repetível e adaptável.

A ferramenta do NIST fornece um suporte extenso para que as organizações entendam e gerenciem a privacidade. Ela fornece flexibilidade suficiente para as organizações criarem estratégias e processos de privacidade que atendam às suas necessidades, estratégias e apetites de risco individuais.

Encorajo todos os líderes de auditoria interna a revisar a estrutura, determinar como ela pode ajudar suas organizações e conscientizar as partes interessadas sobre essa valiosa ferramenta.

. Por: Richard F. Chambers, presidente e CEO do Global Institute of Internal Auditors. | IIA Brasil — O Instituto dos Auditores Internos do Brasil completou 59 anos de fundação sendo uma das cinco maiores entidades da carreira do planeta, entre os 190 países associados ao The Institute of Internal Auditors –The IIA, a mais importante associação do setor no mundo. Referência na América Latina, o IIA Brasil auxilia na formação de outros institutos como o IIA de Angola. No Brasil, a entidade coordena todo o processo de obtenção de certificações internacionais, como o CIA (Certified Internal Auditor), além de promover debates, cursos técnicos, seminários e o Conbrai – Congresso Brasileiro de Auditoria Interna. |iiabrasil.org.br | Telefone (11) 5523-1919 .

Enviar Imprimir