Introducing G2.ai, the future of software buying.Try now
Categoria de Gerenciamento de Privacidade de Dados

O G2 sobre Privacidade: O que Saber sobre o Framework de Privacidade do NIST

20 de Setembro de 2019
Merry Marwig, CIPP/US
MMC
por Merry Marwig, CIPP/US

Neste post

Neste post

As empresas públicas mais valiosas do mundo hoje são todas movidas por dados.

Algumas das empresas mais significativas do mundo, incluindo Facebook, Apple, Amazon, Netflix e Google (conhecidas coletivamente como FAANG no mercado de ações), construíram seus modelos de negócios com base em dados em áreas como publicidade, comércio eletrônico, produtos tecnológicos e modelos de assinatura. Os dados continuam sendo uma força motriz no caminho para a Quarta Revolução Industrial, onde inteligência artificial, a internet das coisas (IoT), aprendizado de máquina e biotecnologia, entre outros, definem o futuro do nosso trabalho e sociedade. 

E embora não haja dúvida de que os dados geraram um enorme valor econômico na era da transformação digital, também é verdade que por trás da maioria dos pontos de dados estão pessoas. As pessoas se preocupam com a forma como seus dados pessoais são usados. Elas querem proteger suas reputações, manter sua autonomia e honrar sua própria dignidade. Elas se preocupam com a privacidade; as pessoas precisam saber em quais empresas podem confiar. 

Privacy Risk and Organization Risk Relationship are important to understanding the NIST Privacy FrameworkFonte: NIST

A confiança é agora um componente crítico para o sucesso de uma empresa. A confiança cria lealdade de marca a longo prazo e defesa entre os clientes. A perda de confiança, possivelmente decorrente do uso indevido ou hackeamento de dados pessoais, encoraja os clientes a levar seus negócios para outro lugar, o que impacta negativamente as avaliações das empresas. (Basta olhar para o Yahoo como um exemplo: após uma extensa violação de dados, os clientes fugiram em massa, contribuindo para milhões em perda de avaliação.) As empresas podem construir confiança enquanto respeitam a privacidade dos consumidores e fornecem valor para a vida de seus clientes. No entanto, isso deve ser feito metodicamente; as empresas podem conquistar a confiança dos clientes por meio de decisões éticas incorporadas em seus modelos de negócios. 

As empresas entendem que confiança e privacidade são críticas, mas como isso se parece na prática? Como as empresas e organizações protegem a privacidade das pessoas, enquanto ainda usam os dados das pessoas? Como as empresas abordam os riscos de privacidade, que podem representar riscos reputacionais, e riscos de conformidade, que podem causar problemas legais para uma empresa? Os riscos de privacidade estão incluídos ao lado de outros itens no portfólio de riscos empresariais da sua empresa? Sua empresa tem um orçamento alocado com os recursos corretos para lidar adequadamente com o risco de privacidade?

Com tantas partes móveis no cenário de privacidade, pode ser difícil saber por onde começar. O que está faltando nesta equação é uma linguagem comum e ferramentas práticas para abordar as necessidades de privacidade. É exatamente isso que o NIST Privacy Framework quer resolver.

O que é o NIST Privacy Framework?

O NIST Privacy Framework é um framework voluntário que ajuda empresas e organizações a entender, avaliar e mitigar seus riscos de privacidade. NIST significa o Instituto Nacional de Padrões e Tecnologia, uma unidade do Departamento de Comércio dos Estados Unidos, que promove a inovação por meio do desenvolvimento de padrões científicos e tecnológicos. O NIST lançou um rascunho preliminar do framework em setembro de 2019 e espera ter a versão 1.0 finalizada até o final de 2019. O framework, escrito em termos leigos, se esforça para incluir partes interessadas de diferentes indústrias e níveis de senioridade para definir metas de privacidade e implementar políticas de privacidade compartilhadas.

O NIST Privacy Framework fornece:

    • Uma linguagem comum para comunicar riscos de privacidade com partes interessadas internas e externas
    • Uma maneira de alinhar abordagens políticas, comerciais e técnicas para reduzir riscos de privacidade
    • Um método para identificar e priorizar ações — incluindo atividades e resultados comuns de proteção de privacidade — para reduzir riscos de privacidade

Dentro deste framework, empresas e organizações podem atender suas metas atuais de conformidade de privacidade, bem como antecipar avanços tecnológicos futuros e regulamentações de privacidade para seus futuros produtos e serviços. O Privacy Framework é neutro em relação à tecnologia, aplica-se independentemente de qualquer lei e jurisdição específica, e funciona em colaboração com o NIST Cybersecurity Framework lançado em 2018. 

Como funciona o NIST Privacy Framework

O rascunho preliminar do NIST Privacy Framework é composto por três partes: o Core, os Perfis e os Níveis de Implementação. 

O Core ajuda as organizações a identificar suas metas gerais de privacidade.

Perfis ajudam as organizações a entender seu risco de privacidade atual e entender as lacunas para alcançar a gestão de risco de privacidade desejada. As cinco principais áreas de função incluem:  

    1. Identificar
    2. Governar
    3. Controlar
    4. Comunicar
    5. Proteger

Five NIST Privacy Framework Functions that help with data privacyFonte: NIST

Níveis de Implementação apoiam a tomada de decisão organizacional sobre risco de privacidade. Isso leva em conta os sistemas, produtos, serviços e recursos específicos de uma organização disponíveis para ajudar a gerenciar riscos.

Quer aprender mais sobre Software de Gestão de Privacidade de Dados? Explore os produtos de Gerenciamento de Privacidade de Dados.

Como o framework de privacidade e o framework de cibersegurança se relacionam

Como o NIST Privacy Framework se relaciona com o NIST Cybersecurity Framework? Duas palavras: violações de privacidade. Os riscos de cibersegurança e privacidade andam de mãos dadas. 

Ambos os frameworks — o NIST Privacy Framework e o NIST Cybersecurity Framework — abordam colaborativamente os riscos de violação de privacidade. Isso é especialmente importante considerando tecnologias emergentes como IoT e IA.

O NIST Privacy Framework tem cinco funções: Identificar, Governar, Controlar, Comunicar e Proteger.

O NIST Cybersecurity Framework tem cinco funções: Identificar, Proteger, Detectar, Responder e Recuperar.

A função "Proteger" do NIST Privacy Framework se sobrepõe ao NIST Cybersecurity Framework. Isso se relaciona a:

How Privacy Risks and Cybersecurity Risks Relate and how they relate to NIST

Fonte: NIST

Functions and Categories Related to Privacy Risk and Privacy Breach Risks related to NIST

Fonte: NIST

Como usar o Privacy Framework

Executivos de empresas, equipes jurídicas, equipes de segurança e departamentos relacionados usam o NIST Privacy Framework como uma referência informativa para uma variedade de coisas. Eles podem usar o framework para fortalecer a responsabilidade dentro de sua organização, estabelecer ou melhorar um programa de privacidade, aplicar ao ciclo de vida de desenvolvimento de sistemas, usar no ecossistema de processamento de dados de uma empresa e tomar decisões de compra informadas sobre quais fornecedores trabalhar. 

Lembre-se de que o NIST Privacy Framework é apenas isso, um framework. Não é um padrão. Não é uma certificação. É um ponto de partida para as organizações entenderem seus riscos de privacidade e adotarem um plano que melhor aborde esses riscos. 

Ways to Use the NIST Privacy Framework to help with data privacyFonte: NIST

Qual é o valor?

O Privacy Framework ajuda as empresas a construir confiança com seus clientes, atender às obrigações de conformidade com regulamentações de privacidade atuais e futuras, e facilitar um diálogo sobre privacidade em uma empresa. A confiança é construída ao longo do tempo com os clientes de uma empresa, terceiros e reguladores. 

Value of the Using the NIST Privacy Framework to help with data privacyFonte: NIST

Com a ajuda do Privacy Framework, as empresas podem criar melhores práticas de engenharia de privacidade, como privacidade por design ou privacidade por padrão. Isso ajuda as empresas a antecipar novas leis de privacidade e as encoraja a serem proativas.

Tomando decisões de compra informadas

Embora o rascunho do NIST Privacy Framework seja neutro em relação à tecnologia, ele incentiva as pessoas a utilizarem os requisitos de risco de privacidade do NIST para tomar decisões de compra informadas ao adquirir produtos, software e serviços, e ao trabalhar com terceiros.

O que você pode fazer agora

O NIST está buscando comentários públicos sobre o rascunho preliminar do NIST Privacy Framework até as 17h EDT de 24 de outubro de 2019. Após incorporar quaisquer atualizações com base no período de comentários públicos, o NIST espera lançar a versão 1.0 do NIST Privacy Framework até o final de 2019. 

Tópicos futuros do NIST sobre risco de privacidade 

Após o lançamento da Versão 1.0 do NIST Privacy Framework no final de 2019, o NIST planeja abordar outros tópicos relacionados à privacidade, incluindo tecnologias emergentes, avaliações de risco de privacidade, força de trabalho de privacidade, risco de reidentificação e padrões técnicos.

*Aviso: Eu não sou advogado e não estou oferecendo aconselhamento jurídico. Se você tiver dúvidas legais, consulte um advogado licenciado.*

Merry Marwig, CIPP/US
MMC

Merry Marwig, CIPP/US

Merry Marwig is a senior research analyst at G2 focused on the privacy and data security software markets. Using G2’s dynamic research based on unbiased user reviews, Merry helps companies best understand what privacy and security products and services are available to protect their core businesses, their data, their people, and ultimately their customers, brand, and reputation. Merry's coverage areas include: data privacy platforms, data subject access requests (DSAR), identity verification, identity and access management, multi-factor authentication, risk-based authentication, confidentiality software, data security, email security, and more.

Explore mais artigos da G2

Principais provedores de serviços de sinalização digital
Melhor aplicativo para organização de reuniões de diretoria
Software avançado de gestão de contact center
Serviços de Marketing Digital em Atlanta