Por que adotar uma abordagem sistemática para o gerenciamento de privacidade funciona?

Um sistema de gerenciamento compatível com a ISO 27701 ajuda as organizações a atender melhor aos requisitos regulatórios e mitigar o erro humano. As empresas que seguem esse caminho estão mais bem equipadas para gerenciar riscos legais e garantir uma sólida cultura de segurança.

Regulamentos como o GDPR da Europa realmente colocaram o gerenciamento de informações de privacidade em todas as agendas corporativas em 2018. A propriedade individual de dados pessoais foi enfatizada e empresas em todo o mundo foram forçadas a proteger esse direito de maneira legalmente compatível.

A proteção consistente de dados pessoais continua a desafiar as empresas. Uma pesquisa recente da Espresso da DNV revelou que a maturidade aumentou apenas ligeiramente desde a pesquisa comparável de 2019. Quando o GDPR foi implementado há 4 anos, as empresas estavam lutando para garantir a conformidade. Parece que este pode ter permanecido o principal ângulo para muitas empresas. No entanto, abordar o gerenciamento de informações de privacidade apenas de uma perspectiva legal pode ser muito limitante. 

As pessoas são as principais fontes de risco

As empresas da pesquisa apontaram o erro humano como a principal fonte de risco (44,5%). Segue-se a falta de conscientização dos funcionários ou a má cultura organizacional (27,7%) e a falta de competência legal/interpretação dos requisitos legais (25,3%). A preocupação com questões organizacionais, culturais e de competência, ao invés de ameaças externas, não é necessariamente muito diferente do quadro pintado no 2019. No entanto, há um deslocamento das ações de TI para pessoas. Em 2019, o aprimoramento da segurança de TI foi a principal área de investimento, agora foi superado pelo treinamento e conscientização da equipe. Isso é priorizado por quase 1 em 2.

Quando o erro humano e a falta de conscientização são considerados grandes riscos, isso geralmente significa que a construção de uma cultura eficaz não ocorreu. Isso pode ser facilmente mitigado com a implementação de um modelo formal de garantia do sistema de gestão. Toda organização experimenta recursos transitórios devido ao atrito e contratação de novos recursos, por exemplo. Isso requer treinamento de novos funcionários ou atualização de conscientização do pessoal existente em intervalos regulares. 

Construindo uma cultura de segurança consistente

Essa necessidade pode ser melhor atendida por meio de um modelo de sistema de gerenciamento baseado nas melhores práticas capturadas no padrão de sistema de gerenciamento de informações de privacidade ISO 27701. O padrão estabelece requisitos específicos de treinamento e conscientização regulares para garantir um nível consistente em toda a organização. Isso leva a um maior engajamento e capacita os funcionários a pensar em termos de “privacidade”, ajudando-os a gerenciar melhor a “incerteza” relacionada à privacidade. A experiência de outras áreas, como segurança da informação, demonstrou claramente a capacidade de uma organização de construir e melhorar uma cultura de segurança por meio da implementação de um sistema de gestão.

Em uma sociedade multiconectada, as ameaças à privacidade vão desde informações e segurança cibernética até uso ou armazenamento ilícito, mesmo que não intencional, de dados pela própria empresa ou outros atores legítimos. Em ascensão em todas as agendas corporativas, já que a maioria das empresas parece estar em risco hoje em dia, os investimentos em segurança de TI são essenciais. No entanto, o ponto fraco na cadeia de dados é muitas vezes a pessoa que usa as informações e os dispositivos ou softwares que as manipulam. Isso ressalta a forte necessidade de treinamento regular. Pode ser e-learning, pílulas de treinamento menores ou treinamento mais extensivo para todo o pessoal envolvido no gerenciamento de dados. 

Os sistemas conduzem uma abordagem robusta e confiável

Claro, existem outros aspectos que são importantes além de um sistema de gestão compatível. Por exemplo, é essencial a presença de especialistas internos no assunto, devidamente treinados, que sejam o ponto focal em relação a solicitações ou dúvidas entre o pessoal. Esses especialistas também podem ajudar qualquer empresa a realmente expandir a lógica da privacidade por design e padrão. Ele garante sistematicamente a segurança dos dados implementando processos que limitam a coleta e processamento, garantindo a qualidade, gerenciando a retenção e descarte e controles durante a transmissão de dados na fase de concepção de qualquer projeto ou alterações na forma como os dados são tratados.

A pesquisa da DNV revelou um forte investimento das empresas em treinamento e conscientização de funcionários para mitigar o risco de erro humano. Investir na competência é sempre uma abordagem construtiva. Vemos uma oportunidade para as empresas investirem pesadamente em treinamento para combinar isso com a implementação de um sistema de gerenciamento de informações de privacidade ISO 27701 para obter uma abordagem mais robusta, resiliente e confiável. 

By Nanda kumar Shamanna, ICT Business Manager, DNV