Nova estrutura de privacidade do NIST: um recurso personalizado para auditoria interna
03/02/2020
No século 21, dado é ouro. É o que sustenta algumas das maiores empresas do mundo, incluindo Amazon, Facebook e Google. A necessidade de coletar e usar dados se tornou um dos principais fatores econômicos, gerou um submundo do crime cibernético e impulsionou o avanço tecnológico para reunir quantidades cada vez maiores de dados, com mais rapidez e eficiência.
Nas últimas duas décadas, a maioria das organizações encontrou maneiras de adotar tecnologias da informação para coletar e alavancar dados de clientes, mas poucas tiveram tempo para se concentrar em como essa coleta de dados afeta a privacidade dos indivíduos. Nos últimos anos, houve esforços conjuntos para controlar a coleta e a monetização desenfreadas de dados pessoais. O crescente número de leis destinadas a regular a coleta, o gerenciamento, o armazenamento e a proteção de dados pessoais, como o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, refletem essa reação.
No final do mês passado, o Instituto Nacional de Padrões e Tecnologia (NIST) do Departamento de Comércio dos EUA lançou uma nova estrutura de privacidade. Ela fornece estratégias para melhorar as práticas de privacidade, aumentar a confiança do cliente e cumprir uma lista crescente de regulamentos de privacidade.
A estrutura de privacidade, intitulado Uma Ferramenta para Melhorar a Privacidade por Meio do Gerenciamento de Riscos Corporativos, foi projetada para apoiar os esforços de privacidade de qualquer organização e trabalha em conjunto com a estrutura de segurança cibernética do NIST, lançada em 2014. A estrutura de privacidade foi projetada para apoiar o exame das práticas de coleta de dados e como essas práticas afetam a privacidade individual. Ela ajuda a gerenciar riscos de privacidade, incentivando as organizações a:
- Considerar a privacidade quando sistemas, produtos e serviços forem projetados e implantados.
- Comunicar sobre suas práticas de privacidade.
- Incentivar a colaboração entre organizações, como entre executivos, consultor jurídico e TI.
A estrutura de privacidade divide o gerenciamento de riscos de privacidade em três partes, denominadas Núcleo, Perfis e Camadas de implementação.
- Iniciando o diálogo. O exercício Principal permite discussões sobre atividades e resultados de proteção de privacidade.
- Atingindo metas organizacionais. A etapa Perfil define prioridades para atividades e resultados que correspondem às necessidades de uma organização com seus valores e riscos de privacidade.
- Gerenciando o risco. Uma série de camadas de implementação suporta o exame da adequação de processos e recursos para gerenciar riscos de privacidade.
A estrutura de privacidade oferece uma ferramenta excelente e muito necessária para os auditores internos. Seu foco no gerenciamento de riscos, na adequação de processos e no equilíbrio das necessidades organizacionais com o risco à privacidade se encaixa perfeitamente no núcleo dos serviços e dos pontos fortes da auditoria interna. Além disso, a estrutura de privacidade oferece um grupo de apêndices que fornecem ferramentas para avaliar e implementar estratégias fundamentadas de privacidade que os auditores internos devem achar incrivelmente valiosas.
- O apêndice do Privacy Framework Core fornece uma tabela abrangente de funções, categorias e subcategorias que descrevem atividades e resultados específicos que podem apoiar o gerenciamento de riscos de privacidade quando sistemas, produtos e serviços estão processando dados. Ele fornece uma abordagem baseada em riscos que identifica funções, aborda a escalabilidade e descreve como a estrutura de privacidade se alinha à estrutura de segurança cibernética do NIST.
- O apêndice sobre práticas de gerenciamento de riscos de privacidade aborda considerações sobre o gerenciamento de riscos de privacidade, incluindo o relacionamento entre segurança cibernética e risco de privacidade e o papel da avaliação de risco de privacidade. Essas considerações incluem organizar recursos preparatórios, determinar recursos de privacidade, definir requisitos de privacidade e realizar avaliações de risco de privacidade.
- O apêndice final fornece descrições detalhadas de quatro níveis de implementação de privacidade: parcial, informada sobre riscos, repetível e adaptável.
A estrutura de privacidade do NIST fornece um suporte extenso para que as organizações entendam e gerenciem a privacidade. Ela fornece flexibilidade suficiente para as organizações criarem estratégias e processos de privacidade que atendam às suas necessidades, estratégias e apetites de risco individuais.
Encorajo todos os líderes de auditoria interna a revisar a estrutura, determinar como ela pode ajudar suas organizações e conscientizar as partes interessadas sobre essa valiosa ferramenta.
Como sempre, aguardo seus comentários.
Divulgação:
Richard F. Chambers, presidente e CEO do Global Institute of Internal Auditors, escreve artigos semanais para um blog da InternalAuditor.org sobre assuntos e tendências relevantes para a profissão de auditoria interna.
Tradução IIA Brasil
Revisão técnica: Mario Baumgart, CIA, CFSA, CCSA, CRMA, CFE