Embed Size (px)
Citation preview
Artigo
1ISACA JOURNAL VOLUME 2, 2011
As empresas estão se transformando rapidamente e as tecnologias que evoluiram com base nas inovações acumuladas nos últimos 50 anos começam agora a gerar mudanças significativas na forma de gerenciar as informações. Embora essas inovações tecnológicas afirmam terem ajudado a promover uma enorme capacidade de capturar, analisar e disseminar informações, elas representaram um aumento associado em ameaças à privacidade das informações. Talvez em uma maior abrangência, as empresas de hoje enfrentam desafios substanciais na gestão da privacidade das informações devido às demandas apresentadas pela globalização, pelas tecnologias emergentes e pelo panorama regulamentar em modificação.
Diante dos fatos mencionados, fica mais categórico para uma empresa encontrar uma base firme para assegurar o melhor histórico de gestão de privacidade no mercado. O presente artigo propõe uma arquitetura holística de privacidade que fornece uma abordagem pragmática para a empresa gerenciar de modo eficiente e estar a par dos crescentes requisitos regulamentares e fiduciários.
O PANORAMA REGULAMENTAR EM TORNO DA PRIVACIDADE DE DADOSA privacidade é essencial para alcançar a proteção ao consumidor. O enfoque na privacidade das informações está ganhando espaço no mundo devido à maior utilização de informações pessoais e confidenciais, à dependência interfuncional das informações pelas empresas e ao número crescente de violação de dados pela falta de controles adequados. Segundo um artigo especial na revista Forbes1, 11,2 milhões de pessoas foram vítimas de roubo de identidade ou de alguma fraude relacionada em 2009—a um custo estimado de US$ 54 bilhões. Bem-vindo ao mundo da informação, onde cada fragmento de dado tem um quociente financeiro associado, que é o que motiva os intrusos.
O panorama regulamentar no mundo prescreve e proscreve medidas para proteger a privacidade
das informações a fim de confrontar as ameaças emergentes. A figura 1 apresenta uma lista de regulamentações nas regiões do mundo (não inclui todas necessariamente). Entretanto, as normas nem sempre são semelhantes e foram decretadas em relação aos fatores culturais, sociológicos e da ameaça à privacidade inata de uma região. Embora essas regulamentações tenham tido um papel primordial na modernização do sistema de conformidade de TI, elas tornam a conformidade complexa em razão da globalização. A globalização traz novos desafios para a informação, que é exposta a vários requisitos regulamentares durante a travessia de fronteiras.
A PROPOSTA DE VALOR EM INSTITUIR UMA ARQUITETURA HOLÍSTICA DE PRIVACIDADEO conjunto diversificado de regulamentações e sua falta de homogeneidade entre regiões podem tornar difícil, se não impossível, para uma empresa instituir um programa eficiente de conformidade quanto à privacidade de informações.
Além disso, a maioria dessas regulamentações são voltadas para o passado e foram promulgadas como resposta a eventos históricos.2 É necessário reconhecer o fato de que, à medida que a dinâmica do mercado muda, os riscos tecnológicos, legais e reputacionais podem se manifestar de novas formas ou em magnitudes desconhecidas, o que exigiria uma transformação das normas regulamentares.
A importância de manter um mecanismo de gestão de privacidade de TI viável, dinâmico e progressivo não é questionada pelas empresas. Contudo, as abordagens tradicionais e uma mentalidade de conformidade fragmentada não podem absorver os riscos à privacidade indefinidamente ou serem escaláveis o suficiente para lidar com os crescentes requisitos regulamentares. Um modelo de negócios proativo abarcaria um planejamento que reconhece a função crucial que a privacidade da informação tem sobre a realização bem-sucedida dos objetivos de negócios e se transformaria em uma arquitetura holística de gestão de privacidade.
Sudhakar Sathiyamurthy,
CISA, CIPP, ITIL, MCSE,
trabalha para o grupo
Enterprise Risk Services
da divisão de conselho de
uma empresa Big Four. As
áreas de especialização
de Sathiyamurthy incluem
consultoria estratégica
sobre governança de TI,
gestão de serviços de TI,
transformação de processos de
TI, consolidação de TI, gestão
de riscos de TI e serviços
de segurança e privacidade
de TI. É possível entrar em
contato com Sathiyamurthy em
A luta pela privacidade e a segurança das informações no ecossistema de TI Construindo uma arquitetura holística
Você tem algo a dizer sobre esse artigo?
Visite as páginas do Journal no site da ISACA (www.isaca.org/journal), localize o artigo e escolha a guia Comentários para compartilhar suas opiniões.
CAMADAS DA ARQUITETURA HOLÍSTICA DE PRIVACIDADEA arquitetura holística de privacidade tem como objetivo promover uma cultura forte de privacidade da informação dentro da instituição ao reforçar a disciplina de governança corporativa com uma arquitetura em camadas. As camadas básicas da arquitetura são a camada de processos de negócios, a camada de estratégia e governança e a camada operacional. A camada operacional agrega, por sua vez, uma estrutura em três camadas: a camada de processos, a camada de controle e a camada de componentes. A figura 2 ilustra a arquitetura de privacidade aplicado ao modelo financeiro de negócios. Cada camada dentro da arquitetura está ajustada a capacidades específicas atribuídas para assegurar que o sistema como um todo seja suficiente para sustentar um planejamento de privacidade corporativo bem-sucedido. Além disso, o modelo é bem posicionado para permanecer agressivo e escalável ao panorama regulamentar expansivo.
Camada de processos de negóciosOs processos de negócios são um conjunto de tarefas e atividades coordenadas executadas por pessoas e tecnologias para realizar um serviço corporativo. Do ponto de vista da produtividade da empresa, o portfólio de serviços e os compromissos de receita da entidade derivam de inovações coletivas na camada de processos
de negócios. Além disso, os processos e práticas de negócios são precisamente o ponto focal na definição de um plano de negócios para o fluxo de informações (coleta de dados, armazenamento de dados, manuseio de dados, compartilhamento de dados e destruição de dados) dentro de uma organização. Em outras palavras, a camada de processos de negócios define o plano de negócios para a coleta de informações. À medida que aumentam as chances de usar dados pessoais nos negócios, as empresas devem analisar a adequação dos controles subjacentes para gerenciar a crescente exposição ao risco e atingir o equilíbrio correto entre fornecer os serviços que os clientes desejam e a privacidade que eles esperam.
Camada de estratégia e governançaA estratégia de privacidade de TI determina o tom e a direção para o programa de privacidade, seu comprometimento com a privacidade da informação e a atitude geral em relação às normas de proteção de dados. A camada identifica os objetivos de governança e as obrigações da empresa com a privacidade e continuamente monitora sua adequação à luz da exposição ao risco inerente ao negócio e decorrente de iniciativas estratégicas corporativas, reorganizações ou alterações de processo.
Figura 1 — Regulamentos de privacidade no mundo
União E
urop
eia
Canadá
Aust
rália
Lei estadual dos EUA
Leis federais dos EUA
Japão
Privacidade
PIPEDA
Diretivasde proteção
de dados
Reforma da Lei de Privacidade
46 es
tados
têm
leis d
e priv
acida
de
decre
tadas
.
J-PIPA
GLBA
, HIP
AA,
COPP
A, H
ITEC
H
2 ISACA JOURNAL VOLUME 2, 2011
A governança de privacidade caracteriza um equilíbrio contemplado entre a responsabilidade e a independência nas funções para estabelecer limites claros de autoridade, poderes restritos e controles apropriados que conduzam às práticas legais, regulamentares e setoriais na gestão de informações como um ativo da empresa. A governança de privacidade envolve vários participantes, cada um com responsabilidades específicas atribuídas, para garantir que o sistema, como um todo, seja suficiente para sustentar a estratégia de privacidade e para assegurar a eficiência do controle interno. Os participantes principais incluem, mas não se limitam a:• Custodiante dos dados, que é responsável pela custódia segura
dos dados e executa controle sobre as definições de dados para assegurar que estejam em conformidade com definições consistentes durante o ciclo de vida (coleta, armazenamento, manuseio, compartilhamento e destruição). O custodiante dos dados aplica regras corporativas sobre informações, valida a segurança das informações, aprova solicitações de acesso e mantém os grupos de acesso atualizados.
• Responsável pelos dados, que é encarregado de assegurar que os elementos de dados dentro da organização estejam íntegros quanto à precisão, totalidade e consistência. O responsável pelos dados realiza a validação e monitoração dos dados (desde a entrada até a transformação e consumo dos dados) e é, portanto, responsável pela qualidade dos dados.
• Administrador dos dados, que é responsável por executar políticas e procedimentos, como backup de dados, criação de versões dos dados, upload e download, administração de banco de dados e configuração prática dos dados.
Camada operacionalA camada operacional é considerada o mecanismo que coloca um sistema de privacidade bem-sucedido em funcionamento. As práticas operacionais dinâmicas são a primeira e mais forte linha de defesa de qualquer cenário de violação de informações. A camada operacional contém três subcamadas integradas — as camadas de processo, controle e componente — que se complementam e reforçam mutuamente para alcançar os objetivos de privacidade da empresa. A figura 3 define os elementos da camada operacional e sua integração aos processos de negócios.
Figura 2 — Aplicação ao modelo financeiro de negócios
Camadade processosde negócios
Linhas de negóciosmapeadas contra requisitosregulamentares associados
Estratégia de privacidade
Governança de privacidade
Regulamentosde privacidade
GLBA
Padrão desegurança
de dados PCI
PrivacidadeHIPAA /HITECH
… Direito ao Atode privacidade
financeira
Leis deprivacidade
distritaisCOPPA
Corebanking
InternetbankingOperações Cartões Seguro Corretagem
Fontesimpositivas
de privacidadeem TI
Privacidadecamada
de estratégiae governança
Principais práticas do setor para privacidade em TI
Camada de componentes de privacidade em TI
Requisitos regulamentares de privacidade de TI
Camadaoperacional
de privacidade
Estruturade processos de TI Fluxos de dados Modelo de controle
de privacidadeConformidaderegulamentar
Auditoriae garantia
Camada de processos de privacidade Camada de controle de privacidade
3ISACA JOURNAL VOLUME 2, 2011
4 ISACA JOURNAL VOLUME 2, 2011
Camada de processosA camada de processos estabelece processos definidos para uma empresa gerenciar a privacidade como um serviço. Dessa forma, a camada combina as principais práticas da gestão de serviços (como aquelas descritas no COBIT, ITIL e ISO 27001) como um meio de determinar o modelo de serviço para a privacidade de informações. A crença aqui é que as empresas escolhem os processos que melhor se adaptam às suas estratégias individuais:• Gestão de incidentes—O processo de gestão de incidentes
oferece um mecanismo consistente para a gestão de incidentes de privacidade em conformidade com os requisitos regulamentares e fiduciários. O processo de gestão de incidentes integra funções, como detecção de incidentes de privacidade, análise, coordenação da resposta apropriada ao incidente, escalonamento, comunicação e notificação, contenção do evento, análise da causa, investigação forense, retenção e arquivamento de registros e encerramento do
incidente. Há sempre uma integração estabelecida entre as camadas de processos e de controle, por meio de “handshakes” mútuos, que é exclusiva da arquitetura holística de privacidade. Para ilustrar, os controles de gestão de incidentes sustentam os elementos de processo, através dos quais a camada de processos estabelece os fluxos de processo e a camada de controle define os elementos de obrigação estatutária, como cronogramas de resposta e os requisitos de notificação associados específicos à região, para responder a uma violação de dados ou a um incidente de privacidade.
• Gestão de mudanças—À medida que as práticas e os produtos corporativos se transformam (novos serviços, declínio de produtos, alteração, etc.), potencialmente acionam uma alteração associada ao fluxo subjacente de informações. Nessas ocasiões, os riscos podem se manifestar de novas maneiras e em magnitudes não reconhecidas anteriormente, com o potencial de criar consequências extremamente negativas
Figura 3 — Camada operacional e processos de negócios
Corebanking
Cartões
Bancode varejo
Linhas denegócios BFSI
Corretagem
Camada de processos de negócios
Camada de processos de privacidade de TI
Camada de controle de privacidade em TI
Camada de componentes de privacidade em TI
Seguro
Compartilhamento
de dados
Cole
tade
dad
os
Armazenamentode dados
Manuseio
de dadosDestru
içãode dados
Internetbanking
Gestãode mudanças
Gestãode recursos
Estrutura degerenciamento deprivacidade em TI
Gestãode incidentes
Gestãode projetos
Gerenciamentode risco de TI
Conformidade
Estruturade Controle Auditoria
e garantia
MatrizRACI
Controlesde privacidade
Padrõesde privacidade
VI Client
Soluções DLP
Servidorcentral virtual
Data Center
Host
VPN
Gestão desegurança
da informação
Gestãode fornecedores
Estru
tura
de c
on
trole
de p
rivac
idade
Conformidade
Auditoria e garantia
regulamentar
Gestão de incidentes Gestão de m
udanças
Ges
tão
de fo
rnec
ed
ores
Gestão de recursosGes
tão de
pro
jeto
s
Segurança da informação
5ISACA JOURNAL VOLUME 2, 2011
para as informações cruciais e confidenciais. Seria imprudente não haver controles e estratégias de mitigação adequados planejados e estabelecidos antes de instituir tais alterações ao ambiente operacional. Como uma prática principal, a empresa deve reavaliar os riscos relacionados aos seus processos de negócios convencionais e transformacionais usando processos de gestão de mudanças formais.
• Gestão de recursos—Aplicar melhores práticas de gestão de recursos aumenta a eficácia do serviço e simplifica a governança de informações.3 Os ativos que não foram desenvolvidos para trabalharem com os padrões e níveis de resistência desejados representam uma ameaça significativa às informações mantidas pela organização. Os ativos que hospedam informações pessoais e/ou confidenciais devem ser validados com base em arquiteturas e requisitos de capacidade por meio de processos de gestão de recursos.
• Gestão de segurança de informações—A gestão de segurança de informações estabelece práticas definidas para traduzir a estratégia de governança de informações de uma organização em temas e iniciativas de proteção de informações operacionalmente viáveis. A postura de segurança de informações de uma empresa demonstra sua estratégia em relação à prevenção de quebras de segurança e proteção da privacidade de seus usuários. A gestão eficiente de riscos à segurança de informações requer uma abordagem global na empresa para verificar os riscos associados às informações manuseadas (isto é, coletadas, armazenadas, usadas, transmitidas, descartadas) pela organização como um meio razoável de equilibrar as expectativas legítimas de privacidade de informações com os níveis de segurança correspondentes. Tendo como ponto de vista a proposta de valor, o grau do impacto negativo que pode resultar de uma grave violação de privacidade coloca em destaque o valor da gestão de segurança de informações.
• Gestão de projetos—A gestão de projetos harmoniza a adaptação e a disseminação dos processos e controles de gestão de privacidade a uma variedade mais ampla de iniciativas de negócios contínuas e propostas. O processo cumpre sua obrigação de supervisionar e monitorar a confiabilidade e a coerência das práticas de gestão de privacidade ao estabelecer um escritório de gestão de projetos de privacidade. O escritório de gestão de projetos de privacidade supervisiona a conformidade das iniciativas corporativas que manuseiam informações pessoais/confidenciais, monitorando se os parâmetros do projeto atendem às metas de privacidade e definindo controles de privacidade dominantes com o exame imediato dos riscos.
• Gestão de fornecedores—A terceirização se transformou no passar dos anos e agora inclui o provisionamento de serviços baseados em utilitários, serviços gerenciados, multisourcing, centros de desenvolvimento globais, terceirização convencional, computação em nuvem e muito mais. Do ponto de vista da privacidade, os projetos gerenciados por fornecedores terceirizados representam desafios em potencial, como suposição de responsabilidades de gestão de informações fora do controle da organização de origem. O potencial para responsabilidade legal que possa comprometer a dinâmica da organização de origem e seu histórico de privacidade quanto a violações exige um mecanismo de controle de privacidade robusto para os fornecedores terceirizados. Os elementos essenciais a um planejamento de terceirização global lícito (normas corporativas, contratos entre várias partes, monitoração e garantia do fornecedor, etc.) devem ser assegurados durante o estabelecimento do relacionamento com o fornecedor.
Camada de controleA camada de controle protege os melhores interesses de longo prazo do programa de privacidade ao estabelecer controles para lidar com os pontos fracos e promover a conformidade com as leis e práticas do setor, portfólios de governança e estratégias de gestão de riscos. Os principais elementos da camada de controle incluem:• Gestão de riscos—A gestão dos riscos de TI começam com a
condução de uma avaliação de impacto de privacidade para identificar as possíveis concentrações de exposições, com a estratificação do portfólio de serviços da empresa em segmentos com características de riscos em comum. O elemento crítico de sucesso na realização de uma prática rigorosa de gestão de riscos de privacidade é reexaminar os pactos de exposição ao ambiente interno e externo com respeito ao nível e à natureza das informações manuseadas pela empresa.
• Leia o documento ISACA IT Audit and Assurance Guideline G31 Privacy
www.isaca.org/standards
• Acesse o tópico Privacy and Data Protection (Privacidade e proteção de dados) no Centro de conhecimento da ISACA
www.isaca.org/knowledgecenter
6 ISACA JOURNAL VOLUME 2, 2011
• Conformidade—Tão importante quanto o controle sobre a identificação e a gestão dos riscos é um modelo (framework) de controle interno robusto que permita às organizações manter conformidade com todas as leis e regulamentos aplicáveis.
• Auditoria e garantia—Uma prática de privacidade rígida perde o sentido se não for seguida rigorosamente. A função de auditoria e garantia é responsável por revisar a eficiência do programa de privacidade e, dessa forma, assegurar que os componentes de processo e controle da arquitetura de privacidade permaneçam intactos.
Camada de componentesA camada de componentes explora formas inovadoras e eficazes de usar a tecnologia da melhor forma para sustentar funções de gestão de dados e privacidade e implementa uma infraestrutura que possa identificar, monitorar e controlar de maneira eficiente os riscos de conformidade. Obviamente, a infraestrutura deve ser proporcional à natureza do perfil de riscos da organização.
A camada tem o foco no oferecimento de abordagens mais eficientes para aperfeiçoar as práticas de gestão de dados
identificando soluções que sejam fáceis de usar e tenham boa relação custo-benefício, além de serem suficientemente robustas para agregar e analisar dados durante seu ciclo de vida:• Solução de criptografia oferece proteção a informações
confidenciais contra perda e comprometimento não intencional ou deliberado por meio de um processo no qual os dados são convertidos em um formato ilegível. A solução aplica controles de segurança aos dados em movimento e/ou aos dados em repouso com base na dinâmica corporativa e na complexidade operacional da empresa.
• Solução de prevenção contra vazamento de dados aplica parâmetros de proteção contra vazamento nos dados em repouso e em trânsito de acordo com a estratégia de privacidade corporativa, pela identificação de pontos críticos do fluxo de informações confidenciais na empresa.
• Solução de linhagem de dados cria uma linhagem de dados completa ao deduzir a cadeia de relacionamentos origem-destino, estabelecendo, dessa forma, associações de gestão e rastreamento de dados na origem (de onde vêm, para onde fluem e como são transformados durante o trânsito dentro da empresa).
Figura 4 — Processo de notificação de quebra de incidente
Avaliaçãodo impacto
DS5 DS5 DS8 DS5.5DS5.6
DS8.2DS8.3
DS5 DS8 DS8 DS10
Coletade provas
Notificaçãode quebra
Contençãodo evento
Análisede causa
Controles comparados com o COBIT
Detecçãode incidente
Cont
role
sre
gula
men
tare
sPr
inci
pais
cont
role
s pr
átic
osSu
bpro
cess
Dom
ains
Dom
ínio
sde
pro
cess
os
Califórnia Nova Jersey
EUA
Camada de componentes de privacidade
Referênciasde mapeamento
de controle do COBIT
Europa
Carolina do Sul Massachusetts Alemanha
Código civil§56.06, 1785.11.2,1798.29, 1798.82
Estat. de N.J.56:8-163
DS5 Garantir a segurança dos sistemasDS5.5 Teste de segurança, vigilância e monitoramentoDS5.6 Definição de incidentes de segurança
DS8 Gerenciar a central de serviço e os incidentesDS8.2 Registro dos chamados dos clientesDS8.3 Escalonamento de incidentes
DS6 Identificar e alocar custosDS10 Gerenciar problemas
Código civil§39-1-90
Leis gerais§93H-1 et seq.
Lei de proteçãode dados
federal alemã
Investigaçãoinicial
Elementos do processo de gestão de incidentes
Cam
ada
de p
roce
ssos
de
priv
acid
ade
Cam
ada
de c
ontr
ole
de p
rivac
idad
e
Respostaao incidente
Soluçãodo incidente
Encerramentodo incidente
7ISACA JOURNAL VOLUME 2, 2011
• Solução de monitoração de atividades de banco de dados impede atividades não autorizadas por possíveis hackers, pessoal interno privilegiado e usuários finais usando controles baseados em políticas e técnicas de detecção de anomalias.
EXEMPLO DE ARQUITETURAA figura 4 ilustra o processo de notificação de quebra de incidente usando a arquitetura de privacidade. O valor, conforme discutido nesse artigo, é que a arquitetura fornece um mecanismo confiável, robusto, organizado e escalável para gerenciar um programa de privacidade global na empresa. Conforme os fatores de risco associados se acumulam e os conjuntos de normas regulamentares se aprofundam, o arquétipo pode suportar adições e alterações nas camadas respectivas sem distorcer o sistema como um todo.
CONCLUSÃOAs forças de mercado agregam demanda e adicionam perspectivas para explorar vias que contrabalancem os riscos à privacidade das informações. A exposição de informações confidenciais e pessoais e as crescentes ameaças à segurança das informações revelam que a privacidade da informação é uma grande preocupação em todas as linhas de negócios.
Essas preocupações com a privacidade dos dados renovaram a determinação de empresas em todas as regiões e iniciaram um amplo consenso entre os participantes do mercado a favor do estabelecimento de um programa de gestão de privacidade robusto. No entanto, as empresas devem reconhecer que as abordagens fragmentadas tradicionais em busca de solucionar essas questões, apesar de bem intencionadas, podem ser redundantes, menos produtivas e menos capazes de cumprir a promessa da gestão de privacidade no longo prazo. Reforçando a necessidade de haver objetivos de privacidade robustos, a arquitetura de privacidade proposta enfoca em um paradigma de gestão de privacidade holístico e promove o aprimoramento contínuo ao ser flexível aos avanços futuros criados pelas práticas e regulamentos mais importantes.
REFERÊNCIASAmerican Institute of Certified Public Accountants (AICPA), Generally Accepted Privacy Principles (GAPP), EUA, 2010
Diretiva 95/46/EC da União Europeia, do Parlamento Europeu e do Conselho de 24 de outubro de 1995 relativa à “proteção das pessoas no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados”, http://eur-lex.europa.eu/smartapi/cgi/sga_doc?smartapi!celexplus!prod!DocNumber&lg=en&type_doc=Directive&an_doc=1995&nu_doc=46
International Organization for Standardization (ISO) e International Electrotechnical Commission (IEC), ISO/IEC 27002:2005, Information technology—Security techniques—Code of practice for information security management, Suíça, 2005
IT Governance Institute, COBIT® 4.1, EUA, 2007
National Institute of Standards and Technology (NIST), Special Publication (SP) 800-30, Risk Management Guide for Information Technology Systems, EUA, 2002
NIST, SP 800-122, Guide to Protecting the Confidentiality of Personally Identifiable Information (PII), EUA, 2010
Office of Government Commerce (OGC), ITIL Version 3, RU, 2007
Organization for Economic Co-operation and Development (OECD), OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, França, 1980
NOTAS FINAIS1 Greenberg, Andy; “ID Theft: Don’t Take It Personally,” Forbes,
10 de fevereiro de 2010, www.forbes.com/2010/02/09/banks-consumers-fraud-technology-security-id-theft.html
2 Greenspan, Alan; “Bank Regulation”, Declarações do presidente da Reserva Federal dos Estados Unidos Alan Greenspan antes da Independent Community Bankers of America National Convention, 11 de março de 2005, www.federalreserve.gov/boarddocs/speeches/2005/20050311
3 Office of Government Commerce (OGC), “Service Transition,” ITIL Version 3, RU, 2007
