Entendendo a regulamentação de privacidade de dados nos EUA e como o SOAR pode ajudar.

Considerando que O Regulamento Geral sobre a Proteção de Dados (RGPD) está em vigor em toda a União Europeia., A regulamentação da privacidade de dados nos EUA varia de estado para estado. No entanto, isso pode mudar com a Lei de Privacidade e Segurança de Dados do Consumidor (CDPSA) de 2020, atualmente em tramitação no legislativo. Enquanto isso, o Lei de Privacidade do Consumidor da Califórnia (CCPA) Lidera o país em regulamentação da privacidade.

As semelhanças entre o GDPR e o CCPA residem nos objetivos comuns relacionados ao direito de acesso, ao direito ao esquecimento e ao direito de optar por não participar. O CCPA difere por exigir que os sites exibam um aviso de privacidade. Por outro lado, o GDPR facilita o direito de corrigir dados incorretos e exige consentimento explícito. Ambos compartilham objetivos semelhantes em relação à notificação de violações de dados, mas apresentam nuances quanto ao prazo, às autoridades responsáveis pela notificação e ao momento das notificações obrigatórias aos titulares dos dados.

A CCPA continua a definir o padrão nacionalmente, mas mesmo essa regulamentação está sujeita a atualizações ou até mesmo a uma estrutura completamente reformulada. É algo que provavelmente veremos nos próximos anos, visto que a Lei de Direitos de Privacidade da Califórnia (CPRA) foi incluída na cédula eleitoral do estado em novembro de 2020. Além disso, cerca de 15 leis estaduais e federais estão atualmente em tramitação. Em resumo, a mudança e a expansão da privacidade de dados estão ocorrendo em ritmo acelerado.

Além disso, os EUA também incluem regulamentações de privacidade de dados direcionadas a setores específicos, como a HIPAA ou a GLBA, ou a um subconjunto específico da população, como a Lei de Proteção da Privacidade Online das Crianças (COPPA). As organizações que conseguem navegar com sucesso por essa complexa rede de regulamentações de privacidade de dados o fazem por meio de um esforço colaborativo entre as áreas de Governança, Risco e Conformidade (GRC), Jurídico, IoT e Segurança Cibernética. Esse esforço coletivo também facilita uma mudança cultural e de mentalidade nos negócios.

A privacidade dos dados não pode mais ser uma reflexão tardia no planejamento estratégico das operações comerciais e das mudanças tecnológicas.

Assim como o GDPR, os EUA estão começando a reconhecer os desafios inerentes às regulamentações fragmentadas emitidas e aplicadas por cada estado individualmente. É aqui que entra em cena o CDPSA, mencionado anteriormente. Ele não só busca solucionar esse desafio por meio de uma regulamentação centralizada e aplicada pelo governo federal, como também estabelece limites com base em três dinâmicas empresariais. Uma pequena empresa é definida pelo CDPSA como aquela que possui menos de 500 funcionários, faturamento bruto médio inferior a US$ 1,5 milhão nos últimos três anos e nenhum limite para o número de registros de dados processados.

Isso difere um pouco do GDPR e apresenta semelhanças com o CCPA em relação aos limites explicitamente definidos de acordo com a receita, o número de funcionários e as operações de uma empresa. Os EUA buscam um equilíbrio entre o custo da conformidade e os benefícios da proteção dos dados do consumidor. Se a história serve de guia, é provável que a legislação americana favoreça o comércio. Quem dera pudéssemos prever se a legislação americana substituirá as leis estaduais de proteção de dados. Além disso, será que a legislação federal conseguirá atender e superar os padrões estabelecidos pelo CCPA? Por ora, podemos continuar a desenvolver nossos programas de privacidade de dados com base nas melhores práticas do mercado.

O Desafio

A maioria das organizações, se não todas, grandes e pequenas, está tendo dificuldades para acompanhar as mudanças nas regulamentações em todo o país e no mundo. Manter-se atualizado com todas essas mudanças na regulamentação da privacidade de dados é um desafio para todas as organizações.

O esforço necessário para estabelecer e manter a conformidade com a privacidade de dados em uma organização não deve recair sobre um único indivíduo ou equipe, mas sim sobre um esforço coletivo em toda a organização para discutir os desafios e compreender o plano de ação. As chaves para começar são entender seus dados ao longo de todo o seu ciclo de vida, a classificação dos sistemas para os ambientes que interagem com os dados, quais terceiros estão envolvidos e a documentação. Sim, as boas e velhas políticas e procedimentos. Embora você possa gostar da ideia de políticas e procedimentos, vamos deixar isso para outro momento. Saiba apenas que, sem uma compreensão documentada de seus dados e sistemas, essa é uma maneira rápida de gerar preocupações com auditores ou órgãos reguladores.

Ao mapear o ciclo de vida dos dados, certifique-se de considerar todas as possíveis vias de entrada e saída, juntamente com qualquer processamento automatizado. Isso pode ser um aspecto especialmente desafiador se você terceiriza o marketing ou utiliza campanhas e distribuição de e-mail. Considere o Direito ao Esquecimento Neste caso, e se a sua organização puder atender a um pedido de um cidadão da UE que deseja que todos os seus dados pessoais, incluindo e-mails, sejam apagados, os processos de negócio secundários ou terceirizados, como campanhas de e-mail automatizadas, tornam-se subitamente mais suscetíveis à não conformidade.

A Solução SOAR

À medida que as regulamentações de privacidade de dados continuam a desafiar as organizações, há esperança e estratégias para alinhar tecnologias, pessoas e conformidade com uma abordagem mais adequada. Solução de orquestração, automação e resposta de segurança (SOAR). Ao integrar uma plataforma SOAR aos sistemas aplicáveis, as empresas conseguem sincronizar e utilizar dados em todo o centro de operações de segurança (SOC), TI, conformidade e outros processos.

Os centros de operações de segurança (SOCs) e os departamentos de TI já têm muitas responsabilidades. Adicionar a elas a responsabilidade pela conformidade pode sobrecarregar ainda mais seu já precioso tempo e atenção. É aí que a automação pode ajudar.

A SOAR pode ajudar qualquer organização a aproveitar seus recursos humanos, processos e tecnologias existentes, o que é útil quando se precisa adicionar novas funções de conformidade a uma equipe. Como certos elementos da conformidade exigem intervenção humana, como validar a identidade de um titular de dados, uma solução SOAR pode executar automaticamente os fluxos de trabalho designados e notificar a equipe quando uma tarefa manual for necessária. Melhor ainda, o processo SOAR elimina a necessidade de intervenção humana em tarefas secundárias, cuidando de tudo, exceto da avaliação e decisão manual. Assim que a decisão humana é tomada e a ação apropriada é indicada, a automação e a orquestração da SOAR entram em ação para concluir o restante do processo.

Aproveitando o conhecimento adquirido com os recursos de conformidade mencionados anteriormente, juntamente com fluxos de trabalho automatizados, as equipes podem responder rapidamente às solicitações dos titulares dos dados, mantendo a postura de segurança crítica da organização. As organizações que utilizam a automação de sua solução SOAR podem evitar sobrecarregar indevidamente suas equipes de SOC e TI, criando fluxos de trabalho que lidam com a maioria, senão todos, esses processos sem a necessidade de intervenção humana.

Tem interesse em saber mais?

Se você está lendo isto, é provável que sua organização esteja sobrecarregada com o fluxo diário de alertas provenientes de um cenário de ameaças em constante evolução e se sinta intimidada pelos processos e procedimentos regulatórios e de conformidade. A Swimlane pode ajudar! Assista a este webinar sob demanda., Solução de orquestração, automação e resposta de segurança (SOAR) Saiba como o SOAR pode ajudar a automatizar seus relatórios de conformidade.

Webinar: Simplificando os Requisitos de Resposta a Incidentes e de Relatórios em Conformidade

À medida que as equipes de SOC continuam a mitigar e se adaptar às ameaças cibernéticas, uma coisa permanece constante: a resposta a incidentes continuará exigindo documentação e relatórios. Um desses requisitos de conformidade comuns no setor de energia é o Programa de Proteção de Infraestrutura Crítica da North American Electric Reliability Corporation (NERC CIP), um conjunto de requisitos projetados para proteger os ativos necessários para a operação e estabilização do sistema elétrico de grande porte da América do Norte. Nesta reprise do webinar, Bob Swanson, Consultor de Pesquisa de Conformidade, e Jay Spann, Evangelista do SOAR, discutem como o SOAR pode simplificar e apoiar a criação de relatórios de conformidade e pacotes de auditoria. Assista agora!

Assista agora