Você se lembra quando 40 milhões era um número grande? Quarenta milhões de dólares em vendas, 40 milhões de clientes, 40 milhões de seguidores no Twitter, 40 milhões de manifestantes - todos uma vez transmitiram algo substancial.

Se fosse apenas para violações de dados.

Como um acadêmico que estudou governança de dados nos últimos 20 anos e trabalhou com centenas de conselhos de administração e milhares de diretores e executivos, Estou chocado e preocupado com o fato de que o escopo e a gravidade das violações de dados continuam a crescer ininterruptamente.

Crescentes violações

Em 2011, hackers atacaram a RSA Security, uma empresa de segurança de rede, roubou 40 milhões de registros de tokens de segurança (dispositivos físicos usados ​​para fazer login nas redes). Dois anos depois, outros 40 milhões de registros contendo senhas de clientes e informações pessoais foram roubados da empresa de software Adobe.

No momento, os consumidores pareceram chocados com o tamanho dessas violações e - pelo menos temporariamente - perderam a confiança nessas organizações. Houve uma chamada para controles mais rígidos e penalidades mais severas.

Desde então, as violações e roubos de dados aumentaram em tamanho e frequência. Os hackers violaram a Sony e roubaram 77 milhões de registros em 2011. Eles fizeram o mesmo com a Target Corporation por 110 milhões de registros em 2013, eBay por 145 milhões de registros em 2014, Equifax por 143 milhões de registros em 2017, e Marriott International por 500 milhões de registros em 2018; houve muitos outros.

Tudo isso foi eclipsado pelos três bilhões de registros comprometidos em uma violação colossal do Yahoo Inc. Quando a empresa divulgou inicialmente a violação em 2013, disse que afetou apenas um bilhão de registros. Ele revelou o verdadeiro número em 2017.

Esta é uma era de violações de big data. A disponibilidade geral e capacidade de coleta de dados, e a disposição frequentemente passiva dos consumidores de compartilhar suas informações pessoais levou a um aumento na velocidade, a visibilidade e a amplitude das violações, todas aumentando a taxas alarmantes.

Reações do governo

O Congresso aprovou a Lei Sarbanes-Oxley em 2002, em reação ao comportamento flagrante e fraudulento de empresas como a Enron, WorldCom, Tyco, Adelphia e seus auditores cúmplices (notavelmente Arthur Andersen no caso da Enron).

Entre suas muitas disposições, A Sarbanes-Oxley obriga os acionistas de uma empresa a eleger auditores externos que se reportem diretamente ao conselho de diretores da organização em vez da gerência. O ato criminaliza a falsificação de demonstrações financeiras, e obriga o presidente executivo e os diretores financeiros a certificarem trimestralmente a conformidade das demonstrações financeiras da organização.

Sarbanes-Oxley inaugurou uma nova era de governança corporativa, com os conselhos e a administração sob crescente escrutínio.

Ponto de inflexão da cibersegurança

Acredito que a segurança cibernética atingiu seu momento Sarbanes-Oxley. Norton, a empresa de segurança da Internet, divulgou um relatório de meados do ano de 2019 afirmando que houve 3, 800 violações relatadas publicamente, expondo 4,1 bilhões de registros até agora - um aumento de 54% em relação a 2018.

Essas violações não levavam em consideração a geografia ou o setor, atingindo os serviços financeiros, entretenimento, cuidados de saúde e governo. Eles incluíram informações pessoais de indivíduos e registros de cuidados de saúde; alarmantemente, todas essas violações foram perpetradas por criminosos que ainda não foram identificados.

Na minha opinião, as respostas da empresa continuam a ser inadequadas, e violações evitáveis. Os legisladores começaram a preencher essa lacuna de supervisão.

O Parlamento da União Europeia foi um dos primeiros a preencher a lacuna ao promulgar seu Regulamento Geral de Proteção de Dados (GDPR) em 2016, que entrou em vigor em 25 de maio, 2018. O GDPR se aplica a todos os indivíduos que residem na UE, e prevê multas severas (20 milhões de euros ou quatro por cento do faturamento anual da organização em todo o mundo no ano anterior, o que for maior) em caso de violação de privacidade. A UE tem sido agressiva em sua aplicação, cobrando mais de 100 multas até agora.

A Comissão de Valores Mobiliários dos Estados Unidos (SEC) aprovou por unanimidade a emissão de obrigações de divulgação para incidentes cibernéticos no início de 2018. No Canadá, o governo federal começou a modificar sua Lei de Proteção de Informações Pessoais e Documentos Eletrônicos (PIPEDA), para definir quando uma violação de privacidade deve ser divulgada publicamente e os requisitos de divulgação.

A iniciativa mais recente também é talvez a mais rigorosa. A Lei de Privacidade do Consumidor da Califórnia (CCPA), que entrará em vigor em 1º de janeiro, 2020, aplica-se a qualquer organização na Califórnia que recebe ou divulga informações pessoais ou obtém 50 por cento ou mais de suas receitas com a venda de informações pessoais.

Propriedade de dados

A CCPA multará organizações e fornecerá pagamentos para aqueles que são afetados por violações de dados. Mas o princípio mais revolucionário do CCPA é afirmar que os consumidores possuem seus dados, se divulgado voluntariamente ou não, e pode optar por não divulgá-lo sem discriminação.

Em outras palavras, um consumidor pode optar por impedir que o Facebook colete informações sobre seu comportamento online sem ser impedido de usar os recursos do Facebook. O impacto sobre o Facebook e empresas semelhantes pode ser cataclísmico, já que a maior parte de sua receita é derivada de publicidade.

Então, o que uma organização pode fazer? Em primeiro lugar, o conselho de diretores ou órgão de supervisão deve ter privacidade e segurança cibernética em seu radar e discuti-los em todas as reuniões. A segurança cibernética e a privacidade devem ser incluídas no planejamento de riscos da empresa e monitoradas ativamente.

Os diretores não devem apenas estar familiarizados com as questões de conformidade regulamentar, mas também de quais dados a organização possui, processos e, mais importante, passa. A proteção dos ativos de dados da organização torna-se um processo muito mais transparente e priorizado. Como resultado, um benefício duplo é conferido, proteger as informações do cliente que são valiosas para a organização também tem o efeito de proteger os indivíduos. Um ciclo virtuoso se inicia.

Uma violação recente no Grupo Desjardins, uma cooperativa canadense de cooperativa de crédito, fornece um plano de resposta exemplar. A violação foi pequena para os padrões globais:4,2 milhões de registros, mas quase todos os clientes individuais e empresariais da empresa.

Guy Cormier, o presidente e CEO da Desjardins, anunciou a violação logo após o banco confirmá-la, e forneceu aos clientes três medidas de remediação:proteção contra roubo de identidade por até cinco anos; suporte individual da Desjardins para acompanhar os clientes em todos os processos para restabelecer suas identidades eletrônicas, incluindo indenização por quaisquer perdas financeiras; e até $ 50, 000 por cliente para compensar quaisquer despesas legais ou contábeis incorridas como resultado da violação.

Este engajamento ativo das partes interessadas, além de acionistas e clientes, sublinha um compromisso autêntico.

A Sarbanes-Oxley se tornou o padrão para boas práticas de governança. O GDPR, PIPEDA, As diretrizes da CCPA e da SEC anunciam coletivamente uma nova era em privacidade e proteção de dados.

Na ausência de iniciativa, as organizações se encontrarão sob uma legislação cada vez mais rigorosa e um escrutínio concomitante. A escolha é dura, mas simples:comece a levar a sério a privacidade de dados, ou tê-lo imposto. A segurança cibernética atingiu seu momento Sarbanes-Oxley.

Este artigo foi republicado de The Conversation sob uma licença Creative Commons. Leia o artigo original.