Home > Notícias

A conformidade com o GDPR reduz o risco de violação?

O mapeamento de adequado, maior organização, criptografia e uma redução geral nos dados são coletados podem ajudar as empresas a reduzir alguns riscos

CSOnline (EUA)

09/08/2019 às 13h31

Foto: Shutterstock

A conformidade com o GDPR pode ser dispendiosa e muitas vezes parece mais uma barreira para os negócios do que uma medida de benefício. Um relatório da EY e da International Association of Privacy Professionals (IAPP) estima que as organizações gastaram, em média, US$ 3 milhões para alcançar a conformidade com o Regulamento Geral de Proteção de Dados da União Européia (GDPR), uma legislação abrangente que afeta todas as empresas que armazenem ou processam dados sobre cidadãos da União Europeia (UE).

Mas além de reduzir a possibilidade de multas pesadas de empresas pelo Information Commision Office (ICO) ou pela Commission nationale de l'informatique et des libertés (CNIL), quais são os resultados que o GDPR oferece?

A obtenção da conformidade com o GDPR pode ter alguns benefícios quantificáveis ​​na redução do risco potencial e do impacto das violações de dados. O mapeamento de adequado, maior organização, criptografia e uma redução geral nos dados são coletados podem ajudar as empresas a reduzir alguns dos seus riscos.

De acordo com o Data Privacy Benchmark Study da Cisco de 2019, as organizações com funções robustas de privacidade são mais propensas a saber onde suas informações pessoalmente identificáveis ​​(PII) estão localizadas (e como são usadas) e possuem um catálogo de seus ativos de dados. “Alcançar a eficiência operacional de ter dados organizados e catalogados” e “mitigar as perdas resultantes de violações de dados” foram listados como dois dos seis principais benefícios dos investimentos em privacidade relacionados ao GDPR.

Cinquenta e nove por cento dos 3.200 profissionais de segurança pesquisados ​​em 18 países em todos os principais setores afirmam estarem prontos para o GDPR (atendendo a maioria ou todos os requisitos da legislação). Essas empresas são menos propensas a ter sofrido uma violação no ano passado, e aquelas que sofreram perderam menos registros e, portanto, tiveram menores custos.

Como o GDPR reduz o risco de violação de dados?

“As organizações que fizeram o trabalho de inventariar seus dados têm muito mais visibilidade das suas informações, como são usadas e os riscos associados”, diz Robert Waitman, diretor de estratégia e planejamento da Security and Trust Office da Cisco e principal autor do estudo. "Eles identificaram a finalidade legal do processamento e também removeram ou excluíram quaisquer dados que não atendem a esse padrão. Eles provavelmente têm menos dados disponíveis no geral, e os dados que eles têm são mais apropriadamente protegidos ”.

Os invasores que obtêm acesso podem encontrar menos ou nenhum dado explorável em empresas em conformidade com o GDPR. "Não é surpresa que a probabilidade de violação seja menor, o número de registros afetados seja menor e os custos gerais da violação sejam menores", afirma Waitman.

De acordo com o relatório, 74% das empresas listadas como prontas para o GDPR sofreram violações, em comparação com 80% das empresas que esperam estar em conformidade em 12 meses e 89% das que não esperam estar em conformidade no mesmo período. O número médio de registros afetados durante uma violação das empresas prontas para o GDPR foi de 79 mil, em comparação com 100 mil para aquelas que esperam estar preparadas no próximo ano e 212 mil para os retardatários. Como resultado, os custos associados a incidentes foram menores. Apenas 37 por cento das empresas prontas para o GDPR tiveram uma perda de mais de US$ 500 mil no ano passado, contra 46 por cento para as que estão entrando em conformidade e 64 por cento das atrasadas.

“Qualquer organização que tenha passado por um programa GDPR bem planejado terá uma compreensão muito melhor dos dados que detém, dos controles implantados e dos riscos que precisam ser gerenciados”, explica Martin Whitworth, diretor de pesquisa para segurança e privacidade na IDC. “Isso, inevitavelmente, tem um efeito positivo na postura de segurança. Quando ações de remediação são realizadas (melhorias de processo, novos controles, etc.), isso melhorará ainda mais o regime de segurança organizacional.”

A conformidade com o GDPR por si só não reduz riscos

Ainda faz menos de um ano desde que o GDPR entrou em vigor e há poucas evidências para apoiar as declarações da Cisco de que a conformidade reduz o risco e o impacto das violações de dados. No entanto, há um sentimento entre os reguladores, consultores e fornecedores de que existe uma correlação.

"A aderência aos requisitos de segurança do GDPR não fornece nenhuma garantia de que violações de segurança não ocorrerão", declara um porta-voz da OIC do Reino Unido.

“No entanto, a adoção de medidas técnicas e organizacionais apropriadas deve reduzir a probabilidade de tais incidentes e, no caso de ocorrer uma violação, colocar a organização em uma posição melhor para mitigar os riscos e, quando necessário, relatar o incidente e cooperar com a OIC."

Matt Wilson, diretor de segurança de informações da BTB Security, concorda que, embora as organizações que adotam os princípios-chave do GDPR começam naturalmente a melhorar a segurança das informações, a conformidade sozinha não é suficiente para reduzir os riscos. “Estar em conformidade com o GDPR, ou qualquer outro regulamento para esse assunto, não torna uma organização segura, mas pode inspirar mudanças positivas."

Joan Antokol, sócio da Park Legal LLC, explica que muitas multinacionais há muito têm fortes estruturas de privacidade, e assim, para elas, o GDPR tem mais a ver com formalizar seus esforços de privacidade diante de potenciais grandes multas. "Eu acho que o GDPR não elevou os padrões, por si só", relata. “Eles adicionaram mais terminologia, como criptografia e recuperação de desastres e coisas assim."

Diversas empresas foram procuradas, mas nenhuma delas apresentou dados concretos sobre se a conformidade ajuda a reduzir o risco ou o impacto de uma violação. Por outro lado, os provedores de respostas a incidentes possuem uma visão positiva. “Muitas das fraquezas mais exploradas que encontramos em nosso trabalho de resposta a incidentes são remediadas sob os requisitos do GDPR”, diz Christopher Gerg, vice-presidente de gerenciamento de riscos da Gillware. “Quando investigamos incidentes e violações com organizações com um programa maduro de segurança de informações organizacionais, como as exigidas pelo GDPR, descobrimos que os incidentes normalmente são melhor contidos, têm menor impacto e são mais fáceis de remediar.”

Quantificar os benefícios do GDPR ainda é difícil

Quando questionada sobre haver uma maneira de quantificar os benefícios do GDPR em uma organização, a Whitworth da IDC informou que o foco não deveria estar nos benefícios de custo, mas como um exercício de gerenciamento e redução de riscos. Com as medidas, diversos líderes de privacidade estão recebendo relatórios de possíveis violações, permitindo que as empresas tenham melhor visibilidade sobre os seus processos e possíveis problemas. “O treinamento de conscientização sobre a RPDP fez com que os funcionários se tornassem muito mais conscientes de situações que talvez não tivessem sido relatadas no passado”, afirma Antokol.

Os benefícios da conformidade com o GDPR não podem ser compartilhados igualmente, já que dependem do quão fortemente os princípios da legislação são adotados pelas empresas. “A parte interessante é que o GDPR não prescreve requisitos de segurança exatos e declara que as empresas devem fornecer um nível razoável de proteção para dados pessoais, o que deixa espaço para interpretações subjetivas de ambos os lados”, explica Shawn Burke, CSO da Sungard Availability Services. "O benefício da conformidade com o GDPR para organizações de segurança é que elas têm uma melhor compreensão de onde os dados confidenciais estão e como estão sendo processados, e ter uma melhor visibilidade e responsabilidade é certamente uma fórmula para reduzir a probabilidade de sofrer uma violação de dados."

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail