[Cybernews] Christopher Wall, HayStackID: “As leis de privacidade esperam que as organizações saibam quais dados possuem”

en flag
nl flag
fr flag
de flag
pt flag
es flag
uk flag

Nota do editor: Como uma empresa líder em serviços de eDiscovery com um forte foco em descoberta cibernética, governança de informações e descoberta legal, a HayStackID é regularmente destacada por especialistas e publicações do setor devido à sua abordagem inovadora e profunda experiência na solução de desafios centrados em dados para corporações. escritórios de advocacia e departamentos governamentais. Este artigo publicado recentemente destacando a experiência em privacidade e conformidade da HayStackID e apresentando Chris Wall da HayStackID é fornecido abaixo e pode ser benéfico para profissionais de descoberta cibernética, de dados e legal que buscam enfrentar desafios de privacidade, segurança e conformidade.

Por Anna Zhadan e publicado pela Cybernews*

Os gabinetes de documentos são provavelmente uma coisa do passado, mas pode-se argumentar que a digitalização de dados trouxe mais desafios de privacidade, segurança e recuperação do que as pastas manila tradicionais jamais poderiam.

A quantidade de informações a serem analisadas ao pesquisar dados em processos judiciais é enorme. O processo geralmente inclui riscos de os dados serem alterados, vazados, excluídos ou comprometidos. Controle de acesso autorizado, treinamento e conformidade com as leis de privacidade podem ser parte da solução para esse problema, mas sempre há mais a considerar ao proteger e manipular dados.

A Cybernews entrou em contato com Christopher Wall, que é o Conselheiro Especial para Privacidade Global e Forense e Diretor de Proteção de Dados da HayStackID. Falamos sobre os complicados processos de recuperação de dados digitais confidenciais necessários para investigações legais, bem como sobre o papel da tecnologia no campo jurídico.

Como a ideia do HayStackID ganhou vida? Como tem sido sua jornada desde então?

Minha jornada tem sido uma abordagem longa e não tradicional para investigações forenses. Eu forneci meu primeiro aconselhamento jurídico a um cliente de tecnologia em 1998 - uma semana depois de passar na Ordem dos Advogados - em troca de treinamento em MCSE, e depois fui para a advocacia na BigLaw, e finalmente deixei a advocacia tradicional para ingressar nas fileiras de consultoria de tecnologia. Tem sido uma jornada fascinante, emocionante e incrivelmente divertida, mas provavelmente não uma que eu poderia ter traçado no início da minha carreira.

Na HayStackID, você se especializa em uma prática chamada eDiscovery. Você pode explicar brevemente como isso funciona?

Muito do que fazemos na HayStackID certamente envolve eDiscovery, que é o componente de coleta e compartilhamento de informações do litígio. Mas talvez com mais precisão, eu diria que nós da HayStackID nos especializamos em evidências eletrônicas e perícia eletrônica. Nosso trabalho diário envolve preservação forense, coleta, extração, pesquisa e revisão de dados eletrônicos em litígios, bem como em outros contextos, como violações de dados e outras investigações cibernéticas, investigações internas de emprego e procedimentos regulatórios. A abordagem que adotamos em termos de cadeia de custódia, aplicação de princípios sólidos de análise forense, etc., é a mesma, seja no eDiscovery ou em algum outro contexto, mas os casos de uso do nosso trabalho podem realmente assumir muitas formas diferentes. Uma parte muitas vezes não anunciada do que fazemos está no lado da prevenção da equação.

Embora sejamos frequentemente conhecidos pelo trabalho de triagem de dados que fazemos, uma grande parte do que fazemos é ajudar nossos clientes a reduzir os custos e riscos que podem enfrentar antes de entrarem em litígio ou até o ponto em que precisam realizar descobertas ou algum tipo de investigação. Como sabemos onde estão os pontos problemáticos e os riscos potencialmente caros no futuro, estamos em uma boa posição para ajudar nossos clientes a implementar planos proativos e preventivos de Governança da Informação (IG), privacidade e segurança e higiene de dados para que possam mitigar alguns desses riscos antes que apareçam .

Que tecnologia você usa para selecionar informações valiosas de grandes quantidades de dados?

Não é incomum que o HayStackID seja solicitado a coletar, processar, analisar e revisar terabytes de dados o mais rápido possível. Nossas ferramentas de coleta forense incluem Cellebrite, XRY e EnCase. Também usamos uma combinação de ferramentas, dependendo da necessidade, para filtrar os dados coletados e encontrar aqueles relativamente poucos arquivos de que nossos clientes realmente precisam. Ferramentas como Nuix, Reveal (Brainspace) e Relativity, entre outras, nos ajudam na análise e revisão. Se fizer sentido com base no volume de dados e na natureza do caso, podemos aplicar ferramentas de inteligência artificial, aprendizado de máquina e análise para ajudar a filtrar os dados. Mas essas são apenas as ferramentas em nossa caixa de ferramentas. O valor real vem das pessoas incrivelmente inteligentes e talentosas da nossa equipe que sabem como usar essas ferramentas.

Como a pandemia afetou o setor jurídico? Houve algum novo desafio ao qual você teve que se adaptar?

A HayStackID estava bem posicionada para a pandemia, uma vez que a empresa tem investido pesadamente no desenvolvimento e implantação de equipes remotas de revisão de documentos 100% virtuais, infraestrutura e equipe de tecnologia na última década. A coisa do trabalho remoto não era nova e, de muitas maneiras, para os funcionários da HayStackID, a pandemia e os bloqueios significavam negócios como de costume.

Os advogados tradicionalmente adoram seu facetime (interação real face a face com os clientes, não necessariamente o aplicativo). O setor jurídico é construído com base na confiança e, com base nisso, o elemento humano presencial do setor jurídico nunca vai desaparecer completamente. No entanto, a pandemia criou uma oportunidade para a profissão jurídica e o setor jurídico em geral crescerem além dos modelos antigos. As reuniões virtuais substituíram muitas das reuniões físicas da sala de conferência, e um lado positivo da nuvem sombria da pandemia foi que isso fez com que muitos na indústria analisassem o quão eficientes as reuniões presenciais poderiam ser comparadas às reuniões virtuais. Nesse sentido, o exercício virtual provavelmente ajudou a tornar o eventual retorno às reuniões presenciais mais eficiente e eficaz. Obviamente, também há compensações com a produtividade. Como em muitos outros setores, sem deslocamento e menos tempo de resfriamento de água, o setor jurídico viu a produtividade aumentar em muitos aspectos, mesmo quando os profissionais encontraram novas maneiras de equilibrar as demandas pessoais enquanto trabalhavam em casa.

Quanto a alguns dos outros desafios apresentados pela pandemia, como a maioria dos outros setores, o setor jurídico teve que encontrar maneiras de ser mais eficiente na movimentação e interação com os dados. Trabalhar remotamente apresentou desafios logísticos, técnicos e de segurança. Antes da pandemia, por exemplo, grande parte do nosso trabalho forense em informática era feito em um laboratório físico. A necessidade desses serviços forenses certamente não diminuiu durante a pandemia. A pandemia nos fez encontrar maneiras de realizar muitas das mesmas tarefas tecnicamente e legalmente defensáveis em locais remotos, em vez de em um laboratório centralizado.

Precisávamos descobrir como garantir que todos tivessem o hardware e o software de que precisavam em seu ambiente remoto, que pudessem usar essas ferramentas em seu ambiente remoto e pudessem fazer isso de forma segura. O setor jurídico lida com muitas informações confidenciais, confidenciais e muitas vezes privilegiadas. Durante a pandemia, precisávamos encontrar uma maneira de manter a segurança dessas informações enquanto nossos profissionais trabalhavam com essas informações na mesa da cozinha. Em retrospecto, era o que eu gosto de chamar de “unidade problemática”. O que aprendemos e os métodos que desenvolvemos durante a pandemia tornaram muitos no setor mais atentos à segurança da informação e nos posicionaram para melhor atender os clientes no futuro, pós-pandemia.

O recente aumento nas soluções em nuvem complica o eDiscovery de alguma forma?

A maioria dos profissionais de TI concorda que as soluções em nuvem apresentam muitos benefícios excelentes. Entre outras coisas, eles podem ser muito mais poderosos do que as soluções locais. Eles podem ajudar a reduzir os custos de TI. Eles podem simplificar o gerenciamento de TI para muitas empresas. Eles podem fazer as mesmas coisas para o eDiscovery. Durante a pandemia, por exemplo, as soluções em nuvem foram parte integrante dos provedores de serviços de eDiscovery, pois permitiam uma maneira muito eficiente de fornecer serviços de eDiscovery. Antes da pandemia, a oferta principal da HayStackID abordava os casos de uso no local e na nuvem, por isso foi um pouco menos uma mudança para nós, mas para o setor como um todo, a mudança para a nuvem era vital.

Mas as soluções em nuvem também criam novos riscos e novas complicações. Uma das grandes vantagens dos serviços em nuvem é que eles permitem que os dados sejam movidos livremente para onde os usuários precisarem, em qualquer lugar do mundo. Mas a força da nuvem também é seu fator complicador. Nem todas as nuvens são iguais — e do ponto de vista da proteção de dados, nem todas as jurisdições em que cada nuvem está hospedada são iguais. Estamos muito mais conscientes da privacidade individual hoje em dia, e muito mais do eDiscovery de hoje é de natureza transfronteiriça. Então, quando conduzimos eDiscovery usando recursos de nuvem, agora temos que considerar quais dados estão indo para a nuvem, a natureza desses dados e onde essa nuvem e seus backups estão em todo o mundo. Essa pode ser uma análise complicada e, uma vez concluída a análise, precisamos ter certeza de que temos em vigor as regras legais ou cláusulas contratuais apropriadas e avaliar se e como os dados devem ser movidos para um ambiente de nuvem específico.

Pela sua experiência, quais são os motivos mais comuns pelos quais uma organização pode optar pelo eDiscovery?

Quase todos os negócios atuais são conduzidos eletronicamente, e isso significa que, quando há uma questão de fato — ou a necessidade de responder quem, o quê, quando, por que ou como algo aconteceu no local de trabalho — recorremos aos dados de uma organização para obter respostas. Por causa disso, provavelmente não há muitas organizações que tenham o luxo de escolher se querem fazer eDiscovery atualmente. Infelizmente, no mundo cada vez mais litigioso em que vivemos, o eDiscovery é normalmente imposto a uma organização, quer ela goste ou não. O eDiscovery pode ser caro e, quando uma organização está enfrentando eDiscovery relacionada a litígios (ou geralmente em qualquer outro contexto), eles precisam decidir se um a resposta proporcional envolve a realização de eDiscovery. Como muitas coisas no setor jurídico, é um teste de equilíbrio. Por exemplo, se o ônus ou a despesa do eDiscovery superam seu provável benefício - considerando o que está em jogo no caso, a quantidade de dinheiro em controvérsia, os recursos que a organização tem para se envolver no eDiscovery ou a importância esperada da eDiscovery na resolução dos problemas - então uma organização pode decidir resolver ou buscar um resultado negociado.

Na sua opinião, quais são alguns dos maiores erros que as pessoas tendem a cometer quando se trata de lidar com dados confidenciais?

Há tantas coisas que podem dar errado ao lidar com dados confidenciais, mas a espoliação e a privacidade vêm à mente imediatamente. A espoliação ocorre quando os dados que deveriam ser preservados são alterados ou excluídos. Isso não é bom durante um litígio ou uma investigação quando a integridade dos dados (incluindo todos os metadados) é fundamental. Vemos isso com frequência: um ato inocente, como simplesmente mover arquivos de uma pasta para outra com boas intenções ou com o desejo de ajudar, pode alterar os metadados de um arquivo específico. Esse simples ato poderia resultar em questionar a autenticidade e, portanto, a utilidade desse arquivo. Existem métodos testados e comprovados que muitos profissionais cibernéticos usam para evitar espoliação, mas acho que todos eles atestarão o fato de que esses métodos nem sempre são aplicados da maneira que deveriam ser.

O maior erro que vemos, especialmente nos últimos anos, é não ter políticas e práticas eficazes de privacidade e segurança em vigor. Do ponto de vista da segurança, senhas e armazenamento portátil podem apresentar problemas, o que não deve surpreender a maioria dos profissionais cibernéticos. Os funcionários tendem automaticamente a usar senhas fracas, usam a mesma senha em aplicativos e serviços ou, quando usam senhas exclusivas, as registram e as armazenam em lugares óbvios. O armazenamento portátil apresenta problemas porque o pessoal geralmente perde esses dispositivos, e a empresa pode não saber se o dispositivo perdido continha informações confidenciais. Em outros casos, quando o pessoal usa dispositivos emitidos pela organização com segurança integrada, os usuários ficam frustrados com a segurança e a desativam por conveniência.

Isso me leva à privacidade. Do ponto de vista da privacidade, a Califórnia e a UE parecem receber toda a atenção, mas há um número crescente de jurisdições nos EUA e em todo o mundo em que os lapsos de segurança que acabei de descrever podem levar a sérios riscos financeiros e de reputação. Dados confidenciais do ponto de vista da privacidade geralmente envolvem informações pessoais — informações que pertencem a indivíduos e não à organização. Em muitas jurisdições, os indivíduos têm o direito de fazer certas coisas com essas informações, mesmo que os dados associados a elas residam em um banco de dados Oracle de 20 anos ou estejam em uma fita de backup de e-mail Pegasus em um armário empoeirado em algum lugar. Não ser capaz de responder ao exercício de seus direitos de privacidade por esses indivíduos pode levar às grandes multas da UE de que todos falam. Esse tipo de infração por parte de uma organização pode levar a uma multa de 4% do faturamento anual ou €20 milhões, o que for maior. As organizações precisam saber quais dados têm. Isso inclui os dados de 20 anos, que, a propósito, a empresa esperançosamente tem um bom motivo sob sua política de IG para ainda ter por aí. Muitas das leis de privacidade emergentes em todo o mundo esperam que as organizações saibam quais dados possuem, saibam onde estão fisicamente armazenados e sejam capazes de identificar as informações pessoais dos indivíduos em sua posse. Isso significa que a organização realizou uma avaliação de privacidade intimamente ligada à sua política de IG. Políticas eficazes de privacidade e segurança que tenham forte apoio executivo, acompanhadas de práticas monitoradas e treinamento regular, são críticas se uma organização quiser mitigar o risco de segurança e privacidade e evitar os “grandes” erros.

Além da descoberta de dados, que outras soluções jurídicas digitais você vê se tornando comuns em breve?

Vejo que a IA e o aprendizado de máquina continuam avançando no setor jurídico. Essa tecnologia tem o potencial de reduzir significativamente os custos de eDiscovery e, eventualmente, permitir que as organizações classifiquem e organizem documentos desde o início, reduzindo assim o risco institucional associado a políticas ou práticas ineficazes de IG.

A mineração de dados estruturados, além ou em combinação com fontes não estruturadas, como e-mail, se tornará mais comum à medida que as organizações buscam ser capazes de traçar uma imagem factual mais completa usando todos os dados disponíveis para elas. Ouvimos pessoas falando sobre o uso de big data para o que parece ser uma eternidade agora, mas o verdadeiro avanço será combinar os dados armazenados em linhas e colunas (incluindo todos os dados que temos nos dispositivos móveis enfiados em nossos bolsos) com os documentos de e-mail e negócios que analisamos quase exclusivamente para longo. Juntar os dois se tornará cada vez mais comum, não apenas no espaço de eDiscovery e conformidade, e não apenas no setor jurídico, mas no mundo dos negócios em geral. Ter um panorama holístico da atividade de uma organização permitirá que ela tome decisões de negócios melhores, mais informadas e potencialmente mais oportunas.

Finalmente, há privacidade. As avaliações de proteção de dados já decolaram à medida que as organizações se tornam cada vez mais conscientes de suas obrigações legais de privacidade e segurança, e cada vez mais os clientes da organização esperam isso. Assim, junto com as auditorias de privacidade e segurança se tornando mais comuns, o crescimento natural dessas avaliações incluirá requisitos de senha mais fortes em toda a linha, anonimização de dados - ou desidentificação de dados pessoais quando possível - e uma análise mais detalhada dos subcontratados de uma organização práticas de privacidade e segurança. Veremos cada vez mais pessoas exercendo seus direitos sobre suas informações pessoais solicitando acesso, exclusão ou correção de suas informações pessoais que uma organização possa manter.

Compartilhe conosco, o que vem por aí para o HayStackID?

A HayStackID começou como uma empresa de informática forense e investigações cibernéticas, e os princípios e práticas forenses estabelecidos para fazer esse trabalho sempre serão fundamentais para o que fazemos. Mas, à medida que olhamos para o futuro, a HayStackID está trabalhando para transformar a forma como os profissionais de segurança cibernética, IG e eDiscovery pensam sobre evidências eletrônicas. Estamos ultrapassando os limites do uso de IA, ciência de dados e aprendizado de máquina, e combinando essas tecnologias com revisores humanos qualificados para fornecer às organizações insights acionáveis de forma mais rápida e econômica do que nunca.

Talvez mais empolgante seja o que estamos fazendo na frente da privacidade e da proteção de dados. Para ajudar nossos clientes a analisar dados em busca de informações confidenciais, desde PII e PHI até anomalias de código de violação de dados, estamos lançando o Protect Analytics da HayStackID. Quando combinamos isso com a oferta ReviewRight Protect da HayStackID, podemos aproveitar o poder da tecnologia e da revisão humana e apontá-los diretamente para detectar, identificar, revisar e notificar violações e anomalias relacionadas a dados confidenciais.

Embora a evidência eletrônica e a eDiscovery sempre sejam nosso pão com manteiga, estamos entusiasmados com o que estamos trazendo para o setor para torná-lo mais eficaz, mais eficiente e mais econômico para nossos clientes.

Leia o artigo original.

*Compartilhado com permissão.

Sobre o HayStackID®

A HayStackID é uma empresa especializada em serviços de eDiscovery que ajuda empresas e escritórios de advocacia a encontrar, entender e aprender com segurança com os dados ao enfrentar investigações e litígios complexos e intensivos em dados. A HayStackID mobiliza serviços de descoberta cibernética líderes do setor, soluções corporativas e ofertas de descoberta legal para atender a mais de 500 das principais corporações e escritórios de advocacia do mundo na América do Norte e na Europa. Atendendo a quase metade das empresas da Fortune 100, a HayStackID é uma provedora alternativa de serviços cibernéticos e jurídicos que combina experiência e excelência técnica com uma cultura de atendimento ao cliente de luva branca. Além de ser consistentemente classificada pela Chambers USA, a empresa foi recentemente nomeada líder mundial em serviços de eDiscovery pela IDC MarketScape e um fornecedor representativo no Gartner Market Guide for E-Discovery Solutions. Além disso, a HayStackID obteve o atestado SOC 2 Tipo II nas cinco áreas de serviço de confiança de segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade. Para obter mais informações sobre seu conjunto de serviços, incluindo programas e soluções para necessidades empresariais jurídicas exclusivas, acesse HayStackid.com.