Em busca de uma segurança que coloca a privacidade em primeiro lugar
A conformidade com a privacidade e a segurança não precisam estar em uma luta constante
Segurança e privacidade costumam ser vistas como incompatíveis. A implementação de uma segurança eficaz requer a capacidade de identificar as ameaças possíveis. Porém, isso pode fazer com que dados pessoais ou confidenciais sejam inspecionados, podendo ameaçar a privacidade.
Na realidade, a única forma de obter a privacidade dos dados é implementar uma segurança de dados eficaz. Um programa de segurança bem projetado que coloca a privacidade em primeiro lugar oferece vantagens significativas para qualquer organização e, ao mesmo tempo, minimiza os possíveis impactos sobre a privacidade.
A disputa equivocada entre a segurança e a privacidade
A ideia de que segurança e privacidade são incompatíveis resulta de uma abordagem radical dos dois conceitos. Segundo esse ponto de vista, qualquer possível acesso a dados confidenciais é considerado uma falha da privacidade e algo a ser evitado, custe o que custar. Consequentemente, a capacidade dos programas de segurança no sentido de identificar e abordar possíveis ameaças fica gravemente prejudicada.
Pense, por exemplo, no caso das análises do tráfego de rede. A inspeção de pacotes é uma ferramenta valiosa para um programa corporativo de segurança cibernética. Os firewalls são uma forma extremamente comum de inspeção de pacotes, e a falta de um firewall instalado seria vista como uma violação das medidas de segurança razoáveis exigidas por lei e pela regulamentação em várias jurisdições ao redor do mundo. Um exame do conteúdo malicioso de um pacote de rede pode identificar tentativas de infecções por malware, exfiltração de dados, controle de conta e outras ameaças.
Porém, do ponto de vista da privacidade, a inspeção de pacotes pode gerar preocupações sempre que um pacote contiver informações de identificação pessoal ou outros dados confidenciais. Sob o ponto de vista de uma postura de privacidade radical, uma criptografia de ponta a ponta sem inspeção de pacotes parece ser preferível.
À primeira vista, esses dois pontos de vista — fornecer a segurança necessária e manter a privacidade dos dados pessoais — podem parecer incompatíveis. Mas, por outro lado, os reguladores também deixam claro que fornecer uma segurança razoável é fundamental para proteger a privacidade dos dados. Para se chegar a essa conclusão, basta observar o número de ações judiciais em torno da implementação da regulamentação de privacidade movidas contra as empresas que sofreram violações de segurança. Acreditamos que os líderes de privacidade e segurança de dados sejam capazes de preencher a lacuna entre posturas radicais de segurança e privacidade, mas isso irá requer um ponto de vista completamente diferente envolvendo a segurança e a privacidade de dados.
Quais são os riscos?
O gerenciamento de riscos é um princípio fundamental tanto dos programas de segurança de dados quanto de privacidade de dados. A unificação dos objetivos desses dois programas requer um exame dos possíveis riscos para os dados de uma organização.
Para qualquer organização que processe dados pessoais de pessoas, manter esses dados seguros e privados é extremamente importante. Uma das maiores preocupações das organizações com relação a um programa de segurança de dados é a possibilidade de que as soluções de segurança possam ver informações de identificação pessoal e outros dados confidenciais como parte de suas funções. Essas ferramentas podem verificar e-mails, pacotes de rede ou arquivos em busca de sinais de conteúdo mal-intencionado.
O outro risco importante para os dados corporativos e de clientes é a possibilidade de serem acessados por um criminoso cibernético. Um exemplo são os ransomwares modernos, que roubam e revelam dados confidenciais se uma empresa não pagar o resgate, e mesmo se o resgate for pago, não há garantia de que os dados serão apagados e não serão vazados.
São dois riscos impossíveis de evitar: um programa de segurança eficaz precisa de acesso aos dados, e uma segurança ineficaz praticamente garante a violação de dados.
A busca de um caminho para a segurança que coloque a privacidade em primeiro lugar
Quando soluções de segurança são projetadas tendo a privacidade em mente, descobrimos que as organizações podem implementar proteções de segurança reforçadas e, ao mesmo tempo, proteger os dados pessoais de seus clientes e funcionários. Além disso, sabemos que, quando as organizações fazem uma análise de custo-benefício, as possíveis vantagens de uma abordagem de segurança que coloca a privacidade em primeiro lugar são significativas.
Por exemplo, bloquear um malware antes que atinja os sistemas de uma organização pode evitar uma violação de dados. A um custo médio de US$ 4,45 milhões em 2023 — para nem mencionar a reputação da marca e as repercussões legais — evitar até mesmo uma única violação de dados é fundamental para a empresa, então não resta dúvida de que implementar medidas de segurança líderes do setor é algo crucial. Qualquer empresa de segurança conceituada deve oferecer soluções que minimizem seu acesso a dados confidenciais e protejam os dados pessoais sob sua responsabilidade.
Como diretora de privacidade da Cloudflare, entender como projetar e implementar soluções de segurança que coloquem a privacidade em primeiro lugar é uma parte fundamental do meu trabalho e das conversas com nosso diretor de Segurança da Informação. Há alguns anos, nos tornamos clientes da Area 1 porque sabíamos que era fundamental implementar uma solução para inspecionar e proteger nosso tráfego de e-mails preventivamente. Como diretora de Privacidade, minha primeira reação foi me preocupar com a possibilidade de permitir que qualquer tecnologia verificasse o tráfego de e-mails na nossa empresa. No entanto, à medida que aprendemos mais sobre o funcionamento e as proteções de privacidade implementadas pela solução, percebemos que a forma com que a Area 1 lidava com os dados reduzia enormemente os riscos de segurança e maximizava os possíveis benefícios, tudo isso de maneira a colocar a privacidade em primeiro lugar. Na verdade, ficamos tão impressionados com o produto que não nos limitamos a utilizá-lo: adquirimos a empresa, que agora é uma oferta essencial do conjunto de produtos Zero Trust da Cloudflare.
Como criamos um programa de segurança que coloca a privacidade em primeiro lugar
Privacidade e segurança não precisam, obrigatoriamente, ser incompatíveis. Um programa de segurança que coloca a privacidade em primeiro lugar pesa os riscos de se implementar a segurança e de não fazê-lo. Se os benefícios de se implementar uma solução de segurança como a verificação de e-mails superarem os riscos, o que quase certamente irá acontecer, a organização deve implementar esse recurso cautelosamente.
Ao avaliarmos se uma ferramenta de segurança é benéfica para a segurança e privacidade dos dados, algumas perguntas importantes a serem feitas incluem:
A ferramenta oferece benefícios claros? Os possíveis riscos de privacidade de uma solução de segurança só são aceitáveis se também reduzirem o risco de uma violação de dados.
A ferramenta minimiza o acesso a dados pessoais? Uma solução de segurança deve minimizar a quantidade de dados possivelmente confidenciais que são acessados e processados.
A empresa prioriza a segurança? Verifique como a empresa lidou com incidentes de segurança e priorizou seus investimentos em segurança no passado.
A ferramenta cumpre os requisitos regulatórios? Verifique se a empresa tem certificações focadas em privacidade, como a ISO 27701 e a ISO 27018, se é certificada pela Estrutura de Privacidade de Dados UE-EUA e/ou se é certificada pelo Código de Conduta na Nuvem da UE. Se uma empresa tiver essas certificações, além das certificações de segurança padrão como PCI DSS, ISO 27001 e SOC 2 Tipo II, é um ótimo sinal de que um fornecedor se supera em termos de privacidade e segurança.
Avaliar todos esses critérios para as mais de 60 ferramentas de segurança usadas por uma organização média pode demandar um esforço considerável, o que é mais um argumento excelente em prol da consolidação da segurança. É mais fácil realizar uma verificação de antecedentes minuciosa em um único fornecedor com um amplo conjunto de recursos do que avaliar mais superficialmente os produtos de segurança provenientes de vários.
Uma segurança orientada pela privacidade com a Cloudflare
A Cloudflare já atua há bastante tempo como defensora de uma segurança que coloca a privacidade em primeiro lugar: nossa Central de Confiança detalha os esforços envidados no sentido de cumprir ou exceder os requisitos de privacidade e segurança de todas as principais regulamentações de proteção de dados.
O foco da Cloudflare na privacidade também constitui o cerne de suas soluções, projetadas para minimizar o acesso aos dados pessoais e, ao mesmo tempo, garantir uma segurança reforçada. Um facilitador importante é o escopo da rede da Cloudflare. Com 20% de todos os sites da web sendo protegidos pela Cloudflare, uma parte substancial do tráfego da internet flui através de nossos sistemas, fundamentando a inteligência contra ameaças da Cloudflare de forma a não comprometer a privacidade dos usuários finais de nossos clientes.
Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.
Saiba mais sobre esse assunto
Saiba mais sobre a abordagem adotada pela Cloudflare para a segurança orientada pela privacidade no resumo da solução Cloudflare One para Proteção de Dados.
Autoria
Emily Hancock — @emilyhancock
Diretora de Privacidade da Cloudflare
Principais conclusões
Após ler este artigo, você entenderá:
A relação entre a privacidade e a segurança de dados
Como avaliar os riscos de privacidade dos investimentos em segurança
O que procurar em um produto de segurança orientado pela privacidade
Recursos relacionados: