[Transcrição de webcast] Entendendo a governança das informações, a privacidade de dados e a exposição à violação de dados

en flag
nl flag
fr flag
de flag
pt flag
ru flag
es flag

Nota do Editor: Em 1º de dezembro de 2021, a HayStackID compartilhou um webcast educacional projetado para apresentar e descrever uma estrutura para implantar e aprimorar programas de governança da informação organizacional. A apresentação, liderada por um painel de especialistas em segurança cibernética, governança da informação e eDiscovery, destacou programas que, quando implementados adequadamente, devem garantir a preparação para incidentes cibernéticos e ajudar as organizações a demonstrar medidas de segurança razoáveis para ativos confidenciais.

Embora toda a apresentação gravada esteja disponível para visualização sob demanda, desde que para sua conveniência seja uma transcrição da apresentação.

[Transcrição de webcast] Entendendo a governança das informações, a privacidade de dados e a exposição à violação de dados

Apresentadores especializados

+ Matthew Miller - Vice-Presidente Sênior de Governança da Informação e Privacidade de Dados, HayStackID

+ Ashish Prasad - Vice-Presidente e Conselheiro Geral, HayStackID

+ Michael Sarlo - Diretor de Inovação e Presidente da Global Investigation Services, HayStackID

+ John Wilson - Diretor de Segurança da Informação e Presidente de Forense, HayStackID

Transcrição da apresentação

Introdução

Matthew Miller

Olá, e espero que você esteja tendo uma ótima semana. Meu nome é Matt Miller e, em nome de toda a equipe da HayStackID, gostaria de agradecer por participar da apresentação e discussão de hoje intitulada Governança, Privacidade e Exposição: Governança da Informação, Privacidade de Dados e Exposição à Violação de Dados.

O webcast de hoje, faz parte da série regular de apresentações educacionais da HayStackID para garantir que os ouvintes estejam preparados de forma proativa para alcançar seus objetivos de segurança cibernética, governança da informação e eDiscovery. Nossos apresentadores do site de hoje incluem indivíduos profundamente envolvidos no mundo da descoberta cibernética e da descoberta legal, alguns dos principais especialistas do setor em governança, privacidade e descoberta, e todos eles têm uma vasta e atual experiência no suporte a todos os tipos de auditorias, investigações e litígios.

Então, primeiro, deixe-me apresentar-me como moderador e líder de apresentação de hoje. Meu nome é Matthew Miller, atualmente atuo como Vice-Presidente Sênior de Governança da Informação e Privacidade de Dados da HayStackID. Eu tenho um histórico jurídico que fez a transição para o eDiscovery. E tive inúmeras funções centradas em IG, como ajudar a co-desenvolver a prática de serviços de governança da informação da Ernst and Young e servir como líder consultivo global de governança da informação na Consilio antes de passar para a HayStackID e estabelecer nossa prática líder de IG.

Em seguida, deixe-me apresentá-lo a Mike Sarlo. Mike é nosso Diretor de Inovação e Presidente de serviços de Investigações Globais e Cyber Discovery da HayStackID. Em sua função, ele facilita a inovação e as operações relacionadas à segurança cibernética, forense digital e eDiscovery nos EUA e no exterior. Ele também lidera o desenvolvimento e o design de processos, protocolos e serviços para dar suporte à descoberta e revisão de violações pós-dados centradas na segurança cibernética.

Em seguida, também apresentarei John Wilson. John é nosso Diretor de Segurança da Informação e Presidente de Perícia da HayStackID. Em sua função, John fornece experiência e serviços especializados de testemunhas para ajudar as empresas a abordar vários assuntos forenses digitais e de descoberta eletrônica, incluindo investigações líderes, garantindo a preservação adequada de itens de evidência e cadeia de custódia. Ele desenvolve regularmente processos e cria fluxos de trabalho e lidera projetos de implementação e serviços de mapeamento de dados GDPR para nossos clientes, incluindo grandes instituições financeiras, empresas da Fortune 100 e a Am Law 100. Seu trabalho abrange alguns dos assuntos mais significativos já registrados, literalmente, nos Estados Unidos, e muitos dos 39 países diferentes em que ele trabalhou em casos dentro.

Infelizmente, Ashish Prasad não se juntará a nós, mas eu queria que vocês soubessem que ele é nosso VP e Conselheiro Geral da HayStackID. Ele é um dos principais especialistas em eDiscovery nos Estados Unidos. Atuou como sócio de litígio, fundador e presidente da prática Mayer Brown Electronic Discovery and Records Management. Ele foi o fundador e CEO da Discovery Services LLC, e o VP e GC da eTera Consulting. Se você quiser falar com Ashish, eu posso absolutamente entrar em contato com ele durante esta sessão.

Então, podemos começar. Essa é a agenda. Temos oito tópicos diferentes que vamos tentar cobrir e o tempo permitir, poderemos passar por todos eles.

Então, sem mais delongas, equilibrando risco e valor, obrigações e oportunidades.

Apresentação principal

Matthew Miller

Assim, as organizações hoje podem obter muito valor de seus ativos de informação. E o que é interessante é que a tecnologia e a mineração de dados alcançaram as quantidades de dados existentes nas redes. E para obter valor de seus dados, você precisa equilibrar a utilidade de seus requisitos de segurança e privacidade, pois há um cenário em constante mudança de padrões e regulamentos. Portanto, ser capaz de manter e reter todos os seus dados e minerá-los para fins comerciais, onde você pode obter valor, ele precisa ser equilibrado com o risco que isso pode representar. Satisfazer suas obrigações de conformidade com os estatutos e regulamentos que estão sendo lançados internacionalmente e em todos os Estados Unidos é muito importante para ter os controles e estruturas de controle corretos em vigor.

Então, uma das coisas em que vamos nos concentrar hoje é garantir que você esteja arquitetando seu programa de segurança cibernética centrado em controle para também incorporar as necessidades da equipe de privacidade, da equipe jurídica e também tendo em mente a produtividade de seus próprios funcionários e a acessibilidade dos dados para seus consumidores e clientes.

Portanto, existem muitos desafios que vemos com os dados hoje. E vou pedir a Mike que pense um pouco sobre como todos esses desafios estão entrelaçados, e quais são os verdadeiros desafios sérios para as organizações que estão tentando entender todos os dados em sua rede.

Michael Sarlo

Obrigado, Matt. Certamente, estamos vendo um crescimento exponencial de dados em todos os lugares que vamos. E somos totalmente digitais, um mundo digital com COVID, temos uma interconectividade robusta entre aplicativos com os quais interagimos no dia-a-dia que podem ter sido nativos do desktop, que agora estão realmente um pouco estratificados com seus pontos de dados e como eles armazenam dados em toda a sua empresa, seja parcialmente na nuvem , seja online, seja offline. Acho que é um grande desafio para as organizações entenderem realmente qual é a pegada de dados. E isso é especialmente verdadeiro quando tocamos em alguns dos aplicativos e esses tipos de coisas.

Certamente, é tão importante, desse ponto de vista, realmente olhar para o design de políticas e garantir que, ao pensar em um programa de governança da informação, e apenas na sua postura de dados, em geral, você esteja fazendo isso de uma maneira em que você está projetando um sistema e um processo que permita que sua organização obtenha o máximo valor dos seus dados, ao mesmo tempo que segue os fundamentos da segurança cibernética.

Obviamente, este ano tem sido incrivelmente interessante, eu acho, como os desafios de segurança cibernética que toda organização está enfrentando e realmente cada indivíduo. Quantos de vocês recebem mensagens de texto estranhas em seus telefones hoje em dia o tempo todo pedindo para clicar em links para coisas que não compraram, ou para serviços que você talvez tenha usado há vários anos em um pequeno link Bitly. Acho que esse é provavelmente o próximo desafio com o qual muitos de nós teremos que lidar.

Certamente, vemos muitos tipos diferentes de tipos de dados. Vemos dados não estruturados, dados estruturados são incrivelmente mais comuns, temos repositórios em nuvem, temos servidores, temos realmente uma quantidade robusta de - o que equivale a sombra da TI. Hoje em dia, é tão difícil controlar quais repositórios os funcionários podem estar usando, seja de redes domésticas, seja de redes de trabalho, a lista continua e continua. E assim que você chega a um ponto no tempo em que é capaz de, de alguma forma, criar uma política sistemática que bloqueia as coisas, alguém encontra uma maneira de evitá-la apenas por uma nova natureza de acesso entrando em jogo.

Então, uma governança de informação de missão crítica e forte vai realmente permitir que qualquer organização realmente comece a entender... Eu acho que isso é tão importante na era do COVID - e eu odeio falar mais sobre COVID, eu odeio dizer isso, mas todo mundo está remoto agora, e esse é realmente o caso. E ser capaz de ter políticas e procedimentos que gerenciam esse trabalho remoto e, ao mesmo tempo, permitem que você agrupe dados, para obter o máximo valor deles é muito importante. E vamos falar sobre mais estratégias lá à medida que avançamos para a apresentação.

Obrigado, Matt.

Matthew Miller

E com isso em mente, e todos esses desafios de trabalhar em casa, John, é ainda mais complicado hoje em dia com todas as diferentes obrigações de privacidade de dados e segurança cibernética que existem por aí. Qualquer coisa que você queira falar sobre os desafios relacionados ao equilíbrio de como você lida com todas essas obrigações diferentes, sejam regulamentos ou padrões que estão por aí.

John Wilson

Portanto, é realmente uma encruzilhada quando você começa a falar sobre a interseção de privacidade de dados e suas obrigações de segurança cibernética, onde você tem todos esses dados e as restrições de privacidade em torno não apenas do GDPR na UE, e as novas leis de privacidade da China. Então, existem todas essas restrições e requisitos internacionais, mas agora você também está entrando em onde alguns estados propuseram legislação ou têm legislação em andamento. Incluirá a Califórnia com a CCPA e vários outros estados que estão apresentando regulamentos.

E assim, você realmente precisa levar isso em conta em todos os seus programas de governança para lidar com a privacidade e as restrições cibernéticas. Portanto, há muita conversa sobre estados de refúgio para fins de segurança cibernética, onde os Estados, “Ei, se você atender a todos esses critérios, não poderá ser responsabilizado por um incidente de violação, multas e exposição”. E muito disso passa a ter que mitigar esses dados de privacidade, certificando-se de que as informações de privacidade certamente sejam segmentadas e colocadas em locais que estejam sob controles mais rígidos e requisitos de acesso mais rígidos.

Matthew Miller

Lá vamos nós.

Michael Sarlo

Deixe-me entrar também por um segundo. Privacidade por design é algo que ouvimos há muitos anos, e eu estava lendo toda a blogosfera me preparando para o GDPR, e realmente a forma como a Europa opera na esfera de TI, é privacidade por design, e mesmo do ponto de vista do aplicativo, é privacidade por design. Pensando em governança da informação, segurança cibernética e realmente para os profissionais de eDiscovery na chamada, é muito importante estar ciente dos problemas de privacidade e trazê-los à tona para lidar com eles. Algumas das organizações mais sofisticadas do mundo não têm uma boa compreensão de quais são suas obrigações de privacidade. E como processador de dados, há maior responsabilidade.

E para as corporações aqui, se você está procurando orçamento, obtendo um controle do seu risco de privacidade, é muito fácil quando você começa a quantificar isso no contexto de uma possível violação de dados, e tenho certeza de que Matt falará sobre algumas estatísticas mais tarde.

John Wilson

E uma adição rápida a isso é que muitos desses locais e locais estão adicionando todas essas políticas em torno dos requisitos de privacidade e segurança de dados, e você tem os EUA - os estados mais novos que têm legislação, e GDPR, eles têm muitos elementos semelhantes, mas não são idênticos. Muito disso é interpretado de maneiras ligeiramente diferentes e tem significados diferentes e às vezes até contraditórios dentro do contexto dessas leis de privacidade.

Portanto, obter cobertura total se torna muito desafiador.

Matthew Miller

E é por isso que você precisa ter uma abordagem programática para o programa de governança da informação, e isso precisa realmente levar em conta tudo o que John e Mike estavam falando de uma perspectiva de privacidade e segurança cibernética.

Ao longo do tempo, o NIST apresentou um conteúdo bastante sólido sobre como esses diferentes problemas estão entrando em jogo e os riscos associados à segurança cibernética e aos riscos de privacidade sobrepostos. Agora, essa parte do meio ali naquele diagrama de Venn, isso é o que todos nós estamos tentando evitar, um evento de privacidade relacionado à segurança cibernética, onde há uma violação ou há acesso a dados por um invasor não autorizado ou mesmo algo poderia ser feito sem intenção maliciosa que ainda comprometa a integridade do dados na rede, e se forem expostos na web e houver dados privados, PII, PCI, PHI, então isso vai acionar todas essas regras e regulamentos diferentes sobre os quais os caras estavam falando.

Então, uma maneira de passar por isso é reunir os diferentes grupos, as linhas de negócios dentro de sua organização e essa é uma interpretação que temos do documento NIST de 492 páginas 800-53, que realmente se tornou uma diretriz chave do NIST que até mesmo as companhias de seguros cibernéticos estão se apoiando quando eles passam e conduzem suas pesquisas e tentam descobrir onde você está e quais devem ser seus prêmios.

Mike ou John, algum comentário sobre 800-53 e garantir que você reúna jurídico, segurança de TI, privacidade de dados e gerenciamento de registros enquanto trabalha na construção de seu próprio programa?

John Wilson

Acho que é imperativo. Na atual ecosfera do mundo com privacidade e segurança e os vários desafios e a rápida escalada dos custos de seguro, acho que é essencial que comecemos a reunir as várias entidades, a equipe de privacidade, a equipe jurídica, a equipe de segurança, gerenciamento de registros e IG dentro do organização. É essencial que eles realmente comecem a cooperar e trabalhar para um melhor senso de conformidade, a fim de ter qualquer possibilidade de reduzir ou controlar os custos e custos crescentes de conformidade, mas os riscos de falha no cumprimento e os custos em torno disso são bastante extremos. E controlar os custos do seguro, controlar os custos - apenas ser capaz de fazer negócios torna-se fundamental para que todos comecem a cooperar.

Matthew Miller

Agora, vamos falar um pouco sobre como colocar os controles no lugar.

Michael Sarlo

Bem rápido, eu quero entrar. Só quero dizer uma coisa. A razão pela qual essas pessoas também precisam se unir é se houver um incidente, é realmente, eu acho, para organizações que não tiveram um grande incidente, e realmente um problema de privacidade, é um incidente de segurança, é uma violação. Perder um laptop, os dados de um funcionário com dados do cliente, é uma violação. Todas elas são realmente violações de dados em alguns aspectos. Todo mundo além da TI vai ser jogado sobre as brasas. E tendo um manual para isso, faltam tantas organizações que, quando algo acontece, é um caos absoluto. E será um caos absoluto de qualquer maneira se você conseguir resgate de toda a sua rede, mas pelo menos saber quem é o responsável pelo quê e quais podem ser os fluxos de trabalho em potencial vai colocá-lo em um lugar muito melhor.

E para os advogados na chamada, não sei dizer quantas pessoas vêm até nós para trabalhar, eles não sabem o que é um contrato de processamento de dados. É tão importante quando você começa a olhar para as regras éticas, uma em particular, no que se refere à competência, que você tenha uma boa compreensão do processo de eDiscovery e dos riscos de privacidade do ponto de vista regulatório quando você está lidando com esse tipo de dados, e realmente começando a trabalhar isso em seu fluxo de trabalho é tão crítico sempre que você estiver conduzindo o eDiscovery geral. E sei que estamos falando de governança da informação e segurança cibernética, mas para o processamento de dados, em geral, os advogados não podem mais desviar o olhar disso. Acho que é realmente o que era quando as pessoas precisavam aprender sobre eDiscovery. Agora, há uma consciência geral e a maioria das pessoas é bastante competente, ou pelo menos sabe aonde ir para fornecer uma supervisão adequada. Então, tão importante, mesmo do ponto de vista ético, manter isso e estar ciente disso.

Matthew Miller

Esse é um ponto muito bom, Mike. O departamento jurídico realmente pesa e tem muita força neste espaço de desenvolvimento dos controles e eles precisam realmente entender, como Mike disse, todas essas áreas diferentes, e esse é o desafio que os advogados não tinham quando — 15, 20 anos atrás.

Então, vamos falar um pouco sobre o cerne da situação aqui, que são os dados corporativos, o desafio logístico de proteger a organização e seus próprios dados.

Então, sabemos onde estão nossos dados, esperamos que você saiba onde estão seus dados. Isso começaria com um exercício de mapeamento de dados, se você ainda não o fez. E quando soubermos onde estão nossos dados, temos os sistemas, os aplicativos, as unidades de negócios, todos esses processos e políticas diferentes de como os dados são gerenciados e os locais em que eles fluem internamente dentro da organização. Então, com o mapa de dados em vigor, você deve ter uma ideia de como os dados fluem entre todos esses grupos diferentes.

Agora, além disso, você tem uma rede de terceiros acessando esses mesmos dados. Portanto, a responsabilidade agora se estende além de sua organização para aqueles que acessam ou interagem com os dados em sua rede, contratados, clientes, etc. E, assim, colocar os controles que compõem a base do seu programa de segurança cibernética é tão importante e mapear isso de acordo com a forma como seus ativos são suportado pelos controles. É aqui que a estrutura de controle realmente entra em jogo. E isso deve permitir que sua organização veja que tudo está funcionando em conjunto, que os controles podem mapear downstream ou upstream para os padrões e regulamentos com base em mudanças e ser flexíveis. Seus controles precisam ser capazes de se ajustar a tudo o que está acontecendo no mundo exterior.

Portanto, ao desenvolver seu programa, você precisa levar em consideração a governança, o risco e a conformidade, pois esse cenário regulatório está mudando diariamente. O resultado final é um bom equilíbrio entre conformidade e eficiência. Você quer ver a eficácia de sua cobertura e controles enquanto mantém a conformidade. E se o cenário mudar, você poderá ajustar certos controles, em vez de iniciar todo o processo novamente para toda a organização. Esse é um problema comum para as empresas porque elas estão fazendo malabarismos com muitas estruturas diferentes com todas essas regulamentações e padrões.

Então, uma das maneiras pelas quais podemos consertar isso, e nós meio que tocamos um pouco nisso no slide anterior, é que existe a ideia de que o Google está usando e a Apple está usando, é essa abordagem de hub. E com um programa de governança de informações e para seu gerenciamento de dados e gerenciamento de registros, e cibernético, para que tudo funcione em conjunto, também é uma ótima abordagem para sua organização, essa abordagem de hub. Você precisa de um comitê de direção que represente todos esses diferentes grupos, essas diferentes linhas de negócios dentro de sua organização que leve em consideração todas as diferentes obrigações dessas diferentes linhas de negócios, desde o CIO e gerenciamento de registros, até seu diretor de conformidade, agora seus dados oficial de privacidade e, obviamente, o escritório do conselho geral.

Agora, vamos falar um pouco sobre a vulnerabilidade da rede e o que está acontecendo hoje. Então, Mike, John, em sua prática diária, todas as diferentes investigações, todas as investigações forenses em que vocês estão envolvidos, COVID é esse termo sobre o qual não queremos falar, mas o que temos visto com o atacante.

Michael Sarlo

Posso começar por um minuto aqui. No portão, o ecossistema de ransomware e os agentes de ameaças que operam dentro dele realmente se tornaram muito mais sofisticados do ponto de vista comercial. Existem parcerias, existem cartéis amplos se formando entre gangues. E o que costumava ser um processo que era realmente uma espécie de abordagem de metralhadora para se infiltrar em redes para agentes de ameaças, tentativas de phishing em massa, ataques não direcionados em massa, tornou-se uma empresa muito mais sofisticada, em direção ao termo “Big Whale Hunting”. E o que vemos são grupos trabalhando, na verdade, como corretores que podem estar apenas no lado da infiltração, que podem estar trabalhando com um corretor que vai então entrar em contato com outro grupo que pode ser melhor em penetrar ainda mais em uma rede. Há outras pessoas que estão trabalhando com eles que são sofisticadas o suficiente para realmente lidar com negociações mais robustas. Há esgrimistas envolvidos que trabalham como freelancers. E existem plataformas robustas baseadas na web que literalmente são muito limpas e agradáveis para implantar ransomware ou comprar cargas de resgate que serão analisadas na rede da vítima.

O que isso realmente significa é incrivelmente mais sofisticação, e quando uma ameaça acontece para uma organização que é grande, geralmente vai sair da mesma forma que vai derrubar uma grande parte da sua rede.

Em geral, também, os agentes de ameaças ficaram um pouco inteligentes, eu acho, para as organizações se tornarem muito melhores em backup, seja DR e protegendo seus backups. O que normalmente vamos encontrar em um evento de resgate em grande escala, e estou falando de resgates, mas os resgates muitas vezes também podem ser às vezes uma tática de desvio quando há um grupo que está tentando roubar IP. Isso é algo que encontramos agora também. Existem diferentes problemas na biotecnologia, em alguns dos maiores oleodutos, diferentes indústrias têm problemas diferentes. Os escritórios de advocacia são um grande alvo nos dias de hoje. As consultorias são um grande alvo. E o efeito líquido geral é uma abordagem muito mais coordenada e sofisticada, muitas vezes, aproveitando o malware de dia zero. E isso significa malware que não há nenhum método para detectar na natureza. E isso é para grandes empresas.

O que realmente ainda é a maior forma de as pessoas caírem são as tentativas de phishing. E esses estão ficando incrivelmente sofisticados e quando dizemos phishing, queremos dizer aqueles links de e-mail que você recebe, falsificação de uma Amazon, mas também há coisas em que alguém quer ligar para você e pedir sua senha, e muito embaraçoso ser aquela pessoa em sua empresa que derruba todo o seu negócios.

Então, cada vez mais treinamento é totalmente, totalmente, totalmente uma das coisas mais importantes e realmente treinando repetidamente, simulando ataques de phishing para proteger seu ambiente do elemento humano, que se tornou muito mais direcionado e muito mais sofisticado.

John, você tem alguma coisa a acrescentar aí?

John Wilson

Sim, só algumas coisas rápidas. Um, você está falando apenas sobre o crescimento de — o volume de ataques. Acho que um dos fatores interessantes é que estamos começando a ver agora que algumas das organizações mais bem-sucedidas estão agindo como capitalistas de risco para os atores da ameaça. Ei, se você conseguir entrar, nós vamos financiá-lo. Então, eles estão fornecendo muito desse financiamento e realmente ajudando muitos desses ataques a crescer. Mas além disso, o que fica realmente assustador é muitas vezes como uma organização pode decidir que quer atingir alguém, eles entram. Para ajudá-los a cobrir suas faixas e também monetizar ainda mais o evento, eles saem e dizem: “Ei, nós violamos a Empresa X e vamos vender a você acesso a essa violação”. E então, agora eles não são apenas ataques de um só golpe onde eles entram, eles capturam alguns dados ou criptografam seus dados e esperam obter um resgate ou qualquer que seja a trajetória deles, eles agora estão dizendo, “Eu entrei, eu tenho o que eu queria, agora eu quero que outros cinco hackers entrem e façam o que quiserem para enterrar o que eu fez, então ninguém nunca chegou tão longe”.

E assim, usando-o como uma espécie de camuflagem. E assim, esse é um tipo realmente novo de coisa pós-Covid que está realmente começando a acontecer e realmente ajudou muitos desses ataques a crescer em volume. E muitas vezes, as organizações estão descobrindo o último evento que ocorreu, mas podem estar perdendo os eventos que aconteceram antes disso que venderam o acesso para que outras pessoas pisem em suas evidências e escondam o que fizeram.

Matthew Miller

Para torná-lo ainda mais pessoal, não são apenas as grandes empresas que estão sendo atacadas com mais frequência agora. Eu estava conversando com um dos meus amigos ontem mesmo, ele não recebeu um pacote da Amazon, ele disse que foi entregue. E assim, ele entra no Google digite “Atendimento ao cliente da Amazon”, porque em seu telefone não havia como dizer que meu pacote não foi entregue. E o link superior que vem com um número de telefone para o atendimento ao cliente da Amazon, ele liga e eles dizem: “Oh senhor, lamentamos muito, é claro que reembolsaremos seu dinheiro, basta instalar este aplicativo no seu telefone”, Acontece que é um aplicativo de espelhamento de tela. Eles conseguiram entrar em sua Coinbase e configurar um depósito automático de mil dólares por dia, que é o máximo de Wells para Coinbase e depois transformá-lo em bitcoin e enviá-lo para si mesmos. Isso literalmente aconteceu esta semana com um amigo meu até que ele descobriu o que estava acontecendo.

Então, tornou-se individual — as pessoas estão sendo atacadas, além das grandes corporações, o que é realmente assustador.

Agora, como isso acontece?

John Wilson

E Matt, é exatamente onde o conceito de capital de risco está agora, ei, qualquer um, você pode ir lá fora e você pode obter algum acesso a algo, nós vamos financiá-lo. Esses alvos caíram para alvos muito mais baixos e menores por causa disso.

Matthew Miller

E o custo, porém, da recuperação continua subindo. O custo médio da violação de dados nos EUA aumentou. Globalmente, está subindo, certo John?

John Wilson

Absolutamente, subindo substancialmente. E acho que as estimativas para 2021 provavelmente ainda são baixas, porque são apenas do início de 2021. Continuou a aumentar ao longo do ano.

Matthew Miller

É isso mesmo. Este relatório do Ponemon só cobre até, acho que foi abril. Então, como você pode ver, o custo de uma violação de dados, especialmente quando ela inclui informações de identificação pessoal, e ainda mais na área de saúde, esse custo por registro — e quando você pensa sobre essas violações que têm centenas de milhares, senão milhões de registros que são divulgados na web, esses números somam muito rápido e surpreendente. E é por isso que estamos falando sobre colocar esses controles em vigor com antecedência, ser um pouco mais proativos com seus esforços em torno de segurança cibernética e privacidade e amarrar tudo isso para que você não acabe em uma dessas situações.

Michael Sarlo

E eu acho que é importante apenas reconhecer por que as violações de saúde são muito mais caras. Particularmente falando, nos EUA, se uma organização de saúde for violada, apenas o nome deles, uma entidade, um paciente, um parceiro, muitas vezes as pessoas não percebem também são todos os arquivos que você recebe em sua rede, dependendo de suas obrigações contratuais com seus clientes quando há uma violação, você certamente pode ter que notificá-los. E com as entidades médicas, apenas indo — basicamente, algo que diz que você foi tratado em algum lugar é o suficiente para desencadear uma situação realmente prejudicial. E isso é o que realmente é o qualificador para a maioria das notificações de violação de dados é o dano deles, e para as empresas de saúde, apenas um nome por si só é suficiente para realmente exigir um exercício completo de mineração de dados.

E para quem não sabe o que é mineração de dados, é basicamente o termo na indústria de resposta a incidentes para revisão de documentos, extração de PII confidenciais lá fora.

Para outras empresas, normalmente isso não está na área de saúde, e não é PHI, ou não há menores, mudanças de estado para estado, geralmente, você precisa ter algum tipo de característica identificável, um nome mais um social, ou um social geral, um número de conta bancária mais um nome para constituir dano.

Agora, o que é tão importante, e quando você tem uma violação, se os dados coletados forem criptografados e você puder provar que essas chaves de criptografia não foram tomadas, você não precisa notificar. E isso, do ponto de vista da ótica, apenas do ponto de vista comercial, é muito importante pensar, porque é apenas uma questão de tempo para todos nesta chamada antes de encontrar um cenário de violação.

Matthew Miller

As organizações de saúde, esperançosamente, estão prestando atenção especial, porque os impactos são tão, muito dramáticos.

Agora, temos esse conceito de Arquitetura de Confiança Zero, e os detalhes do NIST 800-207 em detalhes muito, muito específicos sobre os diferentes tipos de Arquiteturas de Confiança Zero que você pode configurar em sua rede. E o que realmente temos é uma jornada agora, em vez de uma substituição por atacado da infraestrutura e dos processos. A organização realmente precisa implementar incrementalmente princípios de Zero Trust, mudanças de processo, diferentes soluções de tecnologia que protejam seus ativos de dados de maior valor. A maioria das empresas pode continuar a operar em um modo híbrido baseado em Zero Trust/perímetro por um período de tempo indiferente enquanto investem na modernização de suas iniciativas de TI.

Portanto, as organizações precisam conhecer seus dados e quem pode e deve ter acesso a esses dados. Aqui está a conexão entre governança de informações e Zero Trust, é o conceito de acesso mínimo ou mínimo privilégio. Somente as pessoas que precisam ser capazes de obter certos tipos de dados críticos, ou dados protegidos, dados confidenciais na rede, são as únicas pessoas que realmente deveriam estar chegando a eles. Para saber quem deve ter acesso ao quê, também precisamos saber quais são todos os nossos dados que estão por aí.

Então, John ou Mike, com os clientes com os quais vocês trabalharam, eles estão falando sobre implementar Zero Trust e reduzir direitos de acesso e permissões para diferentes grupos em sua rede?

Michael Sarlo

Com certeza. Esse é o modus operandum aqui no HayStackID. Acho que pode ser um desafio porque alguns dos princípios aqui são sobre centralização de dados. Para realmente implementar uma arquitetura e políticas fluidas de Zero Trust, é realmente um projeto de política, mais ainda, de certa forma, do que um design de tecnologia. Existem algumas coisas com a configuração de certos tipos de superfícies de ataque e coisas assim a partir de um perímetro forte.

Mas você precisa entender o que está lá fora em sua rede, você precisa levá-lo a uma cópia singular e precisa ter uma forte governança das informações, ponto final, tanto do que está lá, mas também como os dados são gerados e onde são salvos. Definitivamente, pode ser um empreendimento, com certeza.

Algumas coisas tornam isso mais fácil do que outras, mas é claro, à medida que a segurança aumenta, em qualquer empresa, a produtividade diminui. E esses são os tipos de coisas que precisam ser equilibradas, que toda organização está procurando equilibrar. E você certamente pode chegar a um lugar onde a produtividade realmente aumenta, basta trabalhar, algum orçamento e algum planejamento. Às vezes, quase faz sentido começar do zero para uma Arquitetura de Confiança Zero, de certa forma, em torno de suas joias da coroa, que Matt, eu acho que você aludiu.

John Wilson

Acho que provavelmente uma das principais coisas que você disse é ter esse mapa de dados e a instância singular de quaisquer dados específicos. A expansão de dados é muito real e a maioria das organizações sofreu porque era muito mais barato simplesmente jogar mais armazenamento nele, então você acaba com dezenas e dezenas de cópias de vários conjuntos de dados em toda a empresa. E é aí que todo o exercício de governança da informação, os exercícios de política de que estamos falando aqui se tornam realmente fundamentais para levar a organização à instância singular de um determinado conjunto de dados e ter os controles apropriados e o acesso de menor privilégio em vigor. É realmente muito impulsionado pela política e por chegar a essa instância singular.

Matthew Miller

E assim, parece que uma das maneiras de chegar a essa instância consolidada e mais singular do controle é eliminando dados que você realmente não precisa na rede, enquanto simultaneamente, ao ponto de Mike, identificando e classificando as joias da coroa que estão na rede. Não importa, dentro desse conjunto de dados, garantindo que as informações confidenciais também sejam adequadamente corrigidas. Contanto que você possa... se você tem um propósito comercial para manter informações pessoais na rede, existem métodos para proteger essas informações que, em caso de violação, você não será responsável se - ao ponto de Mike sobre a criptografia se as chaves de descriptografia não forem divulgadas. Você pode fazer formas de desidentificação e mascaramento de números de previdência social, números de contas bancárias e coisas assim na rede.

Mas esse conceito de minimização de dados do outro lado, acho que é isso que você está entendendo, certo, John?

John Wilson

Absolutamente, é. É realmente sobre essa minimização de dados, garantindo que você esteja armazenando os dados de que precisa, que é necessário ter para operar seus negócios ou por meio de questões regulatórias, etc., e garantir que você esteja armazenando apenas o que precisa ter e apenas as informações necessárias para estar em conformidade, e, em seguida, você não está armazenando em oito lugares diferentes com controles de privilégios diferentes e controles de acesso diferentes, várias pessoas na organização têm acesso às mesmas informações de todos esses locais diferentes.

Matthew Miller

Definitivamente está vinculado à arquitetura Zero Trust...

Michael Sarlo

E como encontramos esses dados?

Matthew Miller

Como achamos isso?

John Wilson

Isso se resume ao mapeamento de dados e à compreensão de sua organização usando ferramentas. Fazemos muitas coisas aqui no HayStackID, onde utilizamos ferramentas orientadas por IA para mapear dados ou minerar dados em uma organização e começar a identificar: “Ei, onde estão localizados os dados confidenciais? O que isso parece e como é armazenado?” E identificar esses intervalos para que possamos tomar as medidas apropriadas para começar a colocar as políticas apropriadas em torno disso e começar a fazer esse processo de minimização de dados.

Michael Sarlo

Acho que para corporações também, há muitas ferramentas para grandes organizações. Já existem tantas ferramentas que oferecem a capacidade, provavelmente na sua empresa que você não conhece, de identificar dados confidenciais, PHI, PII, dados sensíveis ao contexto do GDPR nativos do Office 365, que são nativos do G Suite e nativos da AWS. E poder trabalhar com esses kits de ferramentas pode ser um longo caminho para as pessoas que já estão na nuvem ou para onde estão migrando para a nuvem. Mas também há uma série de ótimas ferramentas, todas elas exigem experiência, que é - obviamente, nós somos os especialistas, sinta-se à vontade para nos ligar - para alavancar com eficiência, mas não precisa ser um exercício perfeito para começar também, porque nada é perfeito e você nunca terá cada gota a menos que você realmente comece a revisar manualmente. Mas amostragem eficaz, IA, analisando os resultados dos mecanismos de identificação. Essa pode ser uma ótima maneira de encontrar esses bolsões ultra-ricos de dados que podem ser facilmente limpos ou protegidos.

E temos uma ótima pergunta, na verdade, de um palestrante que está fazendo as melhores práticas por um adquirente durante aquisições e integrações da empresa.

E a HayStackID fez muitas aquisições e, certamente, acho que é uma abordagem em fases. O que você geralmente descobre que está por aí talvez não seja a imagem inicial que lhe foi apresentada do ponto de vista da infraestrutura de rede. Certamente, conduzir um mapa de dados de rede rígido, que eu acho que é um pouco diferente de um mapa de dados geral de um contexto de eDiscovery, governança da informação, embora eles se sobreponham completamente, é realmente o seu primeiro passo. Identificar os funcionários que faleceram que podem estar sentados lá e começar por colocar as pessoas de TI mais experientes no convés para começar com o histórico de migração. É aí que descobrimos que sempre há uma perda sistemática de conhecimento institucional para qualquer empresa em que entramos, seja um cliente que estamos ajudando quem fez uma aquisição e o que é para mesclar a infraestrutura de TI, eles querem migrar para uma infraestrutura singular. Ou mesmo em empresas que estão vendendo uma unidade de negócios, e eles querem fazer uma alienação, e isso também pode ser um exercício complexo, correias, certos tipos de anéis de controle em torno de unidades de negócios e produtos de trabalho e coisas assim e, muitas vezes, transferi-lo para um adquirente.

É o histórico de migração que sempre é um problema. São os desktops e laptops legados dos quais ninguém está ciente que sempre são um problema. Fizemos coisas em que é tipo um dia de devolução do seu equipamento, mesmo que não estejamos pedindo às pessoas que o devolvam formalmente, e sabemos que temos inventário lá fora, pediremos a eles que o tragam para o check-in nessas situações. E isso tem sido muito eficaz para obter esses dispositivos que podem estar na caixa de sapatos de alguém.

Estou com a HayStackID desde o início dos tempos e recentemente devolvi alguns telefones celulares que eram de quando éramos uma empresa diferente de muitos, muitos anos atrás.

Então, todo mundo, especialmente os funcionários de longo prazo, esses são os que você vai querer ir atrás, e é o histórico de migração.

John, eu sei que você tem muitos conselhos aqui, especialmente no que diz respeito a lidar com diferentes certificações de segurança e gerenciá-las, e ter que se tornar rapidamente compatível com algumas organizações. E para a pessoa que fez a pergunta, às vezes é apenas um efeito de vedação e você está migrando para uma melhor postura de segurança e postura de higiene, dependendo de quão ruim é. Mas vá em frente, John.

John Wilson

Acho que você atingiu as notas altas lá. Certamente se torna uma questão de ter um senso de compreensão. Novamente, acho que Matt disse antes, não queremos tentar ferver o oceano aqui. Você terá que escolher: “OK, vou pegar 80% dos dados e vou movê-los, manter o negócio operacional, levá-los para baldes seguros”.

Onde fica realmente desafiador e interessante é, digamos, sua organização obteve certas certificações e tem certos requisitos ou obrigações regulamentares que a empresa que você está adquirindo pode não ter tido. E assim, agora, de repente, você precisa descobrir como faço para colocar os dados deles em nossos intervalos, mesclar as organizações e ainda manter minhas certificações.

E assim, ele adota uma abordagem inteligente e, geralmente, exigirá o aproveitamento das ferramentas que já estão em vigor, em muitos casos, e às vezes requer a introdução de uma ferramenta de terceiros ou experiência de terceiros para realmente ajudar a agilizar o processo de identificação das informações.

Obviamente, em uma situação do tipo M e A, a devida diligência é realmente importante para garantir que você tenha um bom entendimento se você estiver indo para obrigações regulatórias diferentes das da empresa existente que você está adquirindo pode ter sido sujeita, a devida diligência será a chave para entender seus riscos. lá.

Matthew Miller

É isso mesmo. E assim, se tivermos uma ideia, mesmo nesse cenário de aquisição, se você tiver a capacidade de, durante essa fase de due diligence, entrar e, fazer uma varredura de alto nível, indexar os diferentes repositórios do que você está prestes a trazer a bordo, para que você tenha uma ideia do que está lá fora antes de passar e comece a tentar mesclar essas redes, será muito mais fácil para todas essas outras situações downstream. E você pode gerenciar esses dados realmente em seu ponto na rede, em vez de esperar que algo aconteça. Obter essa abordagem proativa para gerenciar os dados parece ser a chave para resolver muitos desses problemas diferentes, desde o cibernético, de uma situação M e A, todos os diferentes desafios de dados entrelaçados que estavam na frente da apresentação, incluindo eDiscovery downstream, etc.

Então, se você seguir o caminho da disposição de dados e finalmente chegou a um ponto em que a lei diz: “Podemos puxar o gatilho e potencialmente eliminar alguns dos riscos que estamos enfrentados com nossos dados que estão na rede”, o NIST também estabeleceu diretrizes diferentes para higienização de mídia, ser capaz de limpar e destruir ou limpar diferentes tipos de dados.

Então, você tem esses diferentes fluxos de trabalho para o fim da vida útil de seus dados que precisam ser implementados, que podem realmente afetar e reduzir drasticamente o risco para sua organização em geral, e garantir que você tenha essa trilha de auditoria. Você quer entender de onde vieram todos os seus dados, também precisamos ser capazes de voltar e relatar para onde eles foram quando terminamos com eles também.

Então, ao ponto de John sobre não tentar realmente ferver todo o oceano de uma só vez, mas sim ter uma abordagem em relação à sua governança da informação, postura e aumentar seu nível de maturidade.

Na HayStackID, temos essa metodologia de seis etapas para poder realmente mudar a maneira como sua empresa opera de uma perspectiva programática, mas isso chega ao nível granular de arquivo por arquivo, e-mail por e-mail, repositório por repositório sabendo o que está lá fora e ser capaz de controlar isso.

Como faltam alguns minutos, temos algumas perguntas que surgiram. Eu vou ler uma vez e talvez possamos responder isso na hora.

“Como todos vocês navegam e enfrentam vários desafios em relação ao ambiente de dispositivos móveis para solicitações de eDiscovery? Por exemplo, todos trabalham remotamente e desafiam a realização de aquisições remotas a partir desses dispositivos?”

John Wilson

Certamente posso falar sobre isso. Existem muitos desafios com os dispositivos móveis, especialmente quando você começa a considerar o ambiente remoto do mundo hoje. Usamos kits de ferramentas de coleta remota para fazer muito disso. Você pode usar soluções de gerenciamento de dispositivos móveis (MDM) dentro de sua organização para garantir que os dados da organização nesses dispositivos móveis sejam mantidos sob controle.

Os dispositivos móveis certamente estão ficando mais complicados. Muitas plataformas e soluções em dispositivos móveis estão adicionando seus próprios níveis de criptografia. Eles estão adicionando soluções de armazenamento baseadas em nuvem. Portanto, as coisas não estão necessariamente sendo armazenadas no dispositivo localmente, elas estão sendo armazenadas na nuvem. Então, os dispositivos móveis estão começando a ficar bastante complicados. Às vezes, temos que fazer duas, três e até quatro coisas diferentes para coletar informações para uma questão de eDiscovery de um único dispositivo móvel. E gerenciar tudo isso se tornará algo que você precisará conhecer e começar a encontrar soluções, pois algumas dessas plataformas armazenam os dados apenas na nuvem. Não está mais no dispositivo.

O WhatsApp, por exemplo, tem uma nova interface que está em versão beta que, basicamente, se você for coletar os dados do WhatsApp, precisará acessar a nuvem para obtê-lo. As coisas armazenadas localmente serão apenas dados ativos e recentes, e serão criptografadas de tal forma que será muito difícil coletar e utilizar.

Portanto, os dispositivos móveis definitivamente têm seus desafios, mas certamente há maneiras de lidar com isso e ficar a par disso, conversar com especialistas que têm experiência diária e regular com eles, conhecimento e know-how serão a chave, bem como as informações, as políticas dentro de sua organização. Você está implementando o MDM que controlará como esse dispositivo é utilizado ou quais aplicativos podem ser executados no dispositivo e coisas dessa natureza para manter um controle positivo sobre onde os dados podem estar e como você precisará coletá-los?

Matthew Miller

Isso é ótimo. Então, vamos amarrar tudo junto.

No final do dia, há todos esses desafios diferentes, conformidade regulatória, prevenção de violação de dados e a resposta quando um incidente ocorreu, lidando com o gerenciamento de registros em um nível e escala sem precedentes até agora. Existem estatísticas que dizem que 90% de todos os dados que existem no mundo hoje foram criados nos últimos dois anos, isso é da IDC, e que 90% desses 90% são desestruturados e os mais difíceis de gerenciar.

Portanto, identificar, classificar, inventariar e corrigir dados pode ajudar com todos esses diferentes desafios, conformidade normativa, prevenção de violação de dados, gerenciamento de registros, eDiscovery e investigações. Se conhecermos melhor nossos dados, podemos lidar com todas essas coisas de uma maneira muito mais eficiente para mitigar riscos e reduzir o custo geral para sua organização.

Algum comentário final de John ou Mike antes de eu terminar? E direi ao público que a apresentação de slides acabará disponível. Eu acredito que vai ser enviado por e-mail. Também estará no site HayStackID em breve e em... teremos a transcrição disponível também.

John ou Mike, algum comentário final?

John Wilson

Agradeço o tempo de todos. A chave aqui é o planejamento e a organização para minimizar os riscos e minimizar a expansão de dados. Há muitas coisas lá.

Michael Sarlo

Minhas observações finais serão apenas com os desafios de privacidade lá fora, esse é o modus operandum em torno de tudo isso para os advogados, para os profissionais de eDiscovery, para as corporações. O risco de privacidade e realmente olhar para a governança da informação, e até mesmo olhar para a sua segurança cibernética, o gerenciamento de dispositivos, a maneira como você lida com uma aquisição, que tipo de dados você pode estar tomando que são residentes e sob regulamentação jurisdicional de outro país que você pode não estar ciente. Essa é a maneira de pensar sobre isso e seguir em frente.

Matthew Miller

Isso é ótimo. Mike e John, muito obrigado por suas informações e insights. Também queremos agradecer a todos que tiraram um tempo de sua programação para participar do webcast de hoje. Sabemos que seu tempo é valioso e agradecemos por compartilhá-lo conosco hoje. Também espero que você tenha a oportunidade de participar do webcast do próximo mês. Atualmente, está agendado para 12 de janeiro. Esse webcast apresentará o Protect Analytics. É um conjunto exclusivo de tecnologias e processos que permite aos clientes, seus conjuntos de dados e análises de informações confidenciais, desde PII e PHI até anomalias de código de violação de dados, possibilitado por uma coleção de fluxos de trabalho proprietários e ferramentas comprovadas. Nosso Protect Analytics é uma forma proativa ou reativa de ajudar a determinar concentrações de dados confidenciais, locais e relacionamentos para informar listas de notificações, avaliações de exposição e metas de descoberta.

Você pode encontrar todas as informações de todos os webcasts no site, Haystackid.com.

Obrigado novamente por comparecer e espero que você tenha um ótimo dia. Isso conclui o webcast de hoje. Muito obrigado.

Sobre HayStackID®

A HayStackID é uma empresa especializada em serviços de eDiscovery que ajuda empresas e escritórios de advocacia a encontrar, entender e aprender com segurança com os dados ao enfrentar investigações e litígios complexos e com uso intensivo de dados. A HayStackID mobiliza serviços de descoberta cibernética líderes do setor, soluções corporativas e ofertas de descoberta legal para atender a mais de 500 das principais corporações e escritórios de advocacia do mundo na América do Norte e na Europa. Atendendo a quase metade da Fortune 100, a HayStackID é um provedor alternativo de serviços cibernéticos e jurídicos que combina experiência e excelência técnica com uma cultura de atendimento ao cliente com luvas brancas. Além de ser consistentemente classificada pela Chambers USA, a empresa foi recentemente nomeada líder mundial em serviços de eDiscovery pela IDC MarketScape e fornecedora representativa no Guia de Mercado do Gartner para Soluções de E-Discovery 2021. Além disso, a HayStackID alcançou o atestado SOC 2 Tipo II nas cinco áreas de serviço de confiança de segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade. Para obter mais informações sobre seu conjunto de serviços, incluindo programas e soluções para necessidades exclusivas de empresas jurídicas, acesse HayStackid.com.