NIST finalizará o framework de privacidade em breve. O NIST divulgou recentemente um rascunho atualizado e está aceitando comentários até 24 de outubro e pretendem finalizar a versão 1.0 ainda este ano.

Uma das mudanças mais significativas na versão mais recente da estrutura é a flexibilidade adicional para que os usuários decidam como desejam abordar os dados e os resultados de privacidade do cliente, diz Naomi Lefkovitz , consultora sênior de privacidade do NIST.

Por exemplo, algumas organizações podem querer usar criptografia para proteger os dados, enquanto outras podem escolher técnicas de desidentificação que ajudam a limitar inferências que podem ser feitas a partir do comportamento online. A agência também está buscando feedback sobre como as tecnologias mais recentes, como dispositivos de Internet das Coisas e inteligência artificial, estão alterando as noções de privacidade e como os dados são coletados e protegidos.

O rascunho atualizado também procura alinhar alguns aspectos da estrutura de privacidade com a Estrutura de segurança cibernética do NIST.

Nosso objetivo era fornecer uma ferramenta que pudesse ajudar as organizações a se comunicarem melhor sobre os riscos de privacidade ao projetar e implantar produtos e serviços, fornecer soluções mais eficazes que podem levar a melhores resultados de privacidade e facilitar o cumprimento de suas obrigações legais“, diz Lefkovitz.

Prelúdio da Lei de Privacidade?

Segundo o ISMG, embora a adoção da Estrutura de Privacidade do NIST seja voluntária, alguns especialistas em segurança e privacidade dizem que as diretrizes podem preparar o terreno para a legislação nacional sobre privacidade – uma versão dos EUA do Regulamento Geral sobre Privacidade de Dados da União Europeia – que pode substituir as leis estaduais que tentaram preencher o vazio, como a Lei de Privacidade do Consumidor da Califórnia ou a Lei SHIELD do Estado de Nova York .

Isso é extremamente significativo porque é uma estrutura de privacidade destinada a um público americano ou global“, diz Caitlin Fennessy, pesquisadora sênior de privacidade da Associação Internacional de Profissionais de Privacidade , que trabalhou anteriormente em questões de privacidade para o Departamento de Comércio dos EUA, a agência mãe do NIST.

Ao olharmos para a legislação federal em potencial, precisamos entender que o NIST escolheu escrever isso em termos de controles de privacidade, para que fique muito mais próximo da engenharia de privacidade. … E o NIST se concentrou em traduzir os princípios de privacidade em princípios operacionais” , disse Fennessy ao Information Security Media Group. “Portanto, da minha perspectiva, se e quando chegarmos à legislação federal, podemos nos concentrar em levar esses princípios de privacidade a um nível operacional“.

Fonte: NIST

Peças de estrutura

Conforme apresentado no esboço preliminar do NIST, há cinco funções na estrutura de privacidade: Identify-P, Govern-P, Control-P, Communicate-P e Protect-P, onde o -P distingue atividades focadas na privacidade versus atividades de segurança cibernética. Os quatro primeiros podem ser usados ​​para gerenciar riscos de privacidade decorrentes do processamento de dados, enquanto o Protect-P pode ajudar as organizações a gerenciar riscos de privacidade associados a violações de privacidade, além de Detectar, Responder e Recuperar a partir do Cybersecurity Framework. Protect-P não é a única maneira de gerenciar riscos de privacidade associados a violações de privacidade. Como alternativa, as organizações podem usar todas as funções da estrutura de segurança cibernética em conjunto com Identify-P, Govern-P, Control-P e Communicate-P para lidar coletivamente com os riscos de privacidade e segurança cibernética.

O rascunho do NIST Privacy Framework tem três partes:

  • A seção “principal” foi projetada para ajudar as organizações a permitir um diálogo que inclua CISOs e suas equipes de segurança; as outras partes da liderança da organização; e aqueles que trabalham nas trincheiras, como engenheiros e designers que estão desenvolvendo produtos e serviços. O objetivo é garantir que as proteções de privacidade sejam incorporadas a todos os níveis de uma organização, incluindo os produtos e serviços oferecidos ao público.
  • A seção “perfis” foi projetada para ajudar as organizações a priorizar os resultados. Ele também procura garantir que a privacidade e as necessidades de negócios de uma organização, juntamente com os riscos, sejam consideradas.
  • A seção “níveis de implementação” foi projetada para apoiar a tomada de decisão e a comunicação, a fim de garantir que as metas de privacidade sejam cumpridas e os recursos estejam disponíveis para gerenciar riscos e privacidade de dados.

A estrutura de privacidade visa ajudar as organizações a criar melhores fundamentos de privacidade, colocando o risco de privacidade em paridade com seu portfólio de riscos corporativo mais amplo“, de acordo com o último rascunho.

Uma das maiores mudanças na versão mais recente do rascunho é a seção “principal”, que se sobrepõe ao Cybersecurity Framework do NIST.

Lefkovitz observa que muitos dos que oferecem feedback ao NIST sobre um rascunho anterior queriam mais flexibilidade dentro da seção principal, para que suas organizações pudessem decidir quantas recomendações seguir.

Eles nos disseram que devemos projetar o núcleo para atender às organizações onde estão hoje e fornecer a flexibilidade para permitir que eles ‘escolham sua própria aventura’ quando se trata de usar as duas estruturas“, diz Lefkovitz.

Segundo o ISMG, Fennessy, da IAPP, observa que a maneira como as organizações veem a seção principal se encaixando em seus planos depende em grande parte de quão bem suas equipes de segurança cibernética e privacidade trabalham juntas, bem como a maturidade dos planos de proteção de privacidade de uma organização. Organizações menos maduras podem querer adotar mais da estrutura, enquanto outras podem escolher, diz ela.

Adoção ampla?

Uma questão importante sobre a estrutura de privacidade proposta pelo NIST é se ela será tão amplamente adotada por empresas privadas, bem como por agências governamentais, como a estrutura de segurança cibernética.

Fennessy prevê que a nova estrutura de privacidade será amplamente implementada por agências governamentais e pelo setor de tecnologia.

O setor de tecnologia está … prestando muita atenção às questões de privacidade atualmente, incluindo a fiscalização que estamos vendo naquele espaço“, diz ela.

Segundo o ISMG, uma das grandes empresas de tecnologia que já sinalizou seu suporte para esse tipo de estrutura foi a IBM

Veja o esboço preliminar em: NIST – Working Drafts – Privacy Framework

Fonte: Minuto da Segurança