Tecnologia hostil

Enfrentando desafios de segurança, ética e privacidade 

Como observamos na última edição do Looking Glass, o rápido avanço da tecnologia foi acompanhado por impactos negativos, deliberados ou não intencionais. A tecnologia ‘hostil’ continua a se manifestar de várias maneiras, incluindo vieses na IA, tecnologia viciante e certas mídias sintéticas. Este ano, estamos nos concentrando nas ameaças à segurança e à privacidade do público consumidor, porque vemos essas ameaças – e a resposta subsequente – aumentando em 2023.

Equilibrar as regulamentações em evolução, as expectativas em mudança, a necessidade de se aproximar de clientes e simplesmente fazer a coisa certa será fundamental para que organizações permaneçam competitivas e promovam a fidelidade de clientes. A velocidade com que a regulamentação está mudando significa que nem sempre será realista acompanhar — nosso time de especialistas em privacidade de dados usa um serviço automatizado para se manter atualizado e, operando em 18 países, recebe um e-mail detalhando os ajustes quase todos os dias.

Além do mais, simplesmente cumprir a regulamentação nem sempre resolverá o problema. Padrões como o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia (UE) significam que o público consumidor é avisado sobre as implicações de privacidade de sites ou aplicativos e convidado a 'concordar' ou 'aceitar' como algo natural — ainda que poucas pessoas realmente entendam no que elas estão se inscrevendo. A maneira como as coisas estão se desenvolvendo significa que, em vez de medidas reativas, as empresas devem criar proativamente estruturas éticas para orientar o uso de tecnologia e dados. Isso pode criar uma linha de base sólida de respeito e segurança para clientes e minimizar as chances de dano ao público consumidor ou à sociedade.

Os sinais incluem:

Debate em torno do conceito de “consentimento informado”.’ Embora praticamente todas as empresas agora ofereçam a clientes a chance de concordar com os termos e condições com implicações de privacidade, se esse acordo é genuíno é uma questão a se discutir. O New York Times apontou que entender as políticas e termos de privacidade padrão — que podem ter até 20.000 palavras — requer muito mais tempo do que o público consumidor médio provavelmente terá. O resultado é que os indivíduos geralmente não têm conhecimento da extensão dos dados coletados sobre eles, enquanto as empresas estão coletando mais dados do que realmente precisam ou armazenando-os por mais tempo do que o razoável. Em alguns casos, esse comportamento se aventura na ilegalidade.

Uma onda de regulamentação e aplicação de privacidade. Empresas como Google estão enfrentando ações punitivas e sendo forçadas a mudar suas práticas com a entrada em vigor da "lei de cookies" da UE. Nos EUA, várias regulamentações de privacidade de dados estão surgindo em nível estadual, com a Lei de Privacidade do Público Consumidor da Califórnia (CCPA) e a Lei de Proteção de Dados do Público Consumidor da Virgínia (CDPA) a serem seguidas no próximo ano pela Lei de Privacidade do Colorado e a Lei de Privacidade de Utah.

Preocupações com privacidade mudando modelos de marketing e negócios. Empresas como a Apple se posicionaram como firmes defensoras da privacidade de dados, permitindo que clientes optem por interromper o compartilhamento de informações e tomando medidas para proteger os usuários contra spyware direcionado. Isso está tornando mais difícil para as empresas rastrear diretamente os usuários — cerca de 70 a 80% dos usuários da Apple optaram por não rastrear os aplicativos que usam, o que, por sua vez, atingiu receitas de publicidade que dependiam dessas informações.

Mais empresas colocando o marketing físico de volta em suas estratégias, possivelmente por terem menos dados específicos sobre clientes. Amazon, Bass Pro Shops e outros estão enviando catálogos físicos de mala direta e publicidade para clientes, com códigos QR incorporados.

A crescente descoberta em torno da vulnerabilidades de 'dia zero' — falhas anteriormente desconhecidas em software ou sistemas que deixam as organizações abertas ao roubo ou manipulação de dados. O mercado para problemas de dia zero está se desenvolvendo rapidamente, com o surgimento de corretores que planejam negócios entre quem os identificam e as empresas afetadas (geralmente Google ou Microsoft), governos ou, infelizmente, criminosos ou outros agentes mal-intencionados, todos os quais geralmente estão preparados para pagar um alto preço por este conhecimento. Por um lado, é encorajador que mais desses problemas estejam sendo sinalizados; por outro, os riscos podem aumentar à medida que todo o mercado se torna mais lucrativo.

Riscos maiores de ataques cibernéticos com a guerra da Rússia na Ucrânia aumentando a guerra cibernética voluntária e patrocinada pelo estado. O governo dos Estados Unidos advertiu explicitamente que as vítimas desses ataques podem incluir empresas "regulares" (e, por extensão, suas bases de clientes), bem como alvos militares "legítimos".

As oportunidades 

Melhorar a segurança para proteger os resultados. A Target incorreu em mais de US$ 200 milhões em custos relacionados à violação de números de cartão de crédito e informações pessoais. O custo médio de uma violação de dados continua aumentando, agora superando US$ 9 milhões nos EUA de acordo com a IBM, destacando a urgência de desenvolver e investir em uma estratégia de segurança abrangente baseada não apenas em tecnologia, mas também em cultura. Da mesma forma, padrões fortes e transparentes e práticas éticas de dados podem ajudar as organizações a evitar as pesadas multas aplicadas pelos órgãos reguladores, que aumentou sete vezes, para US$ 1,2 bilhão em 2021, apenas pelo GDPR.

Além do dinheiro, práticas sólidas de proteção de dados e segurança ajudam as empresas a evitar danos duradouros à marca. Considere por exemplo a reação online às recentes mudanças nas políticas de privacidade da Samsung. As motivações reais tornaram-se quase discutíveis, demonstrando que mesmo uma invasão de privacidade percebida pode ter um impacto negativo na reputação da marca. Por outro lado, empresas como Apple e agora Google estão se beneficiando ao se apresentarem como defensoras da privacidade e da segurança.

Relações mais saudáveis e abertas com clientes. Há evidências emergentes de que o público consumidor estará mais inclinado a compartilhar informações com empresas que são vistas como administradoras ou exemplos de boa governança de dados. As pesquisas têm apontado para que um número crescente de usuários vem optando pelo rastreamento de aplicativos desde que a Apple fez disso uma escolha. As organizações que mais fazem para convencer clientes de que respeitam sua privacidade e estão adotando medidas proativas para proteger seus dados provavelmente receberão mais desses dados para usar como base para o desenvolvimento de insights.

Uma postura de “privacidade em primeiro lugar” pode ajudar as marcas a ganhar negócios contra sua concorrência retardatária. Pesquisas mostram que clientes querem fortes proteções de privacidade e, como resultado, algumas das maiores marcas do mundo estão adotando uma abordagem orientada pela ética, especialmente para marketing digital e publicidade. Garantir que sua empresa se preocupe com a privacidade tanto quanto clientes se preocupam pode ajudar seu negócio a se manter à frente dessa tendência.

Tendências para ficar de olho

Adote

Segurança descentralizada. À medida que a natureza das ameaças cibernéticas muda, os métodos anteriores para evitar ataques falham rotineiramente. Não há mais um limite ou perímetro seguro. O design do sistema precisa permitir o gerenciamento de riscos e a aplicação da segurança em toda a arquitetura, com uso crescente de práticas de segurança em profundidade que incorporam proteção em várias camadas para torná-la mais holística. Isso inclui o uso de comunicações criptografadas, regiões segmentadas e autenticação e autorização em um nível mais granular, bem como sistemas de detecção de intrusão mais inteligentes.

Avalie

IA em segurança. Os recursos de IA estão se tornando cada vez mais importantes nas aplicações de software do dia a dia. As organizações devem aproveitar o trabalho nessa área para ajudar profissionais de segurança a identificar e reagir a ameaças de segurança e prever vetores de ataque sempre que possível. Embora  a automação seja uma substituta viável para profissionais de segurança com treinamento, fornece um conjunto de ferramentas que pode automatizar alguns processos defensivos básicos e permitir que as pessoas se concentrem nas ameaças mais críticas.

Antecipe

Regulamentação ampliada. Embora tenhamos sinalizado algumas das regulamentações mais recentes que surgiram no espaço da privacidade, as organizações devem estar preparadas para mais. Em todo o mundo, há um número significativo de leis de proteção de dados já em vigor, com mais por vir. Os desafios surgirão à medida que a conformidade se tornar potencialmente mais complexa, especialmente para empresas que operam em várias jurisdições. Quando o GDPR entrou em vigor, por exemplo, muitos sites de notícias baseados nos EUA simplesmente bloquearam o acesso de pessoas na Europa por receio em infringir uma lei que não entendiam.

Recomendações para quem quer adotar 

Lembre-se de que, quando se trata de dados, o que você não faz também é importante. Desde que a tendência do “big data” colocou as empresas no caminho do excesso, muitas empresas coletam dados quase por padrão e os armazenam por longos períodos, sem examinar criticamente o quão necessário é para o negócio. Os algoritmos de aprendizado de máquina de hoje também incentivam um certo grau de acúmulo de dados. Mas os dados devem ser reconhecidos como um passivo e também como um ativo. Hackers não podem roubar o que você não coleta e um problema de segurança não pode vazar informações de clientes que não estejam em seu banco de dados. Pense seletivamente sobre os dados de que você precisa e as possíveis consequências se forem roubados ou vazados e lembre-se, quanto menos dados de clientes você tiver, mais fácil será gerenciá-los.

Reconheça que a personalização nem sempre é necessária e pode ser contraproducente. A realidade é que clientes não esperam necessariamente ou mesmo desejam uma experiência individualizada e personalizada de cada marca ou produto. A análise da web favorável à privacidade é uma prática emergente que permite que as marcas ainda obtenham uma "verificação de pulso" e entendam o fluxo de alto nível e as tendências de consumo para obter uma leitura do envolvimento do público-alvo. Dadas as tendências e preocupações com a privacidade, nossa recomendação é investir fortemente em pesquisas com clientes para entender segmentos-chave em vez de comportamentos individuais, identificando como interagem com sua marca online e offline para criar fluxos e conteúdos que funcionem para um grupo mais amplo, mantendo a privacidade individual intacta.

Trabalhe com suas equipes jurídicas e de marketing para criar políticas de privacidade fáceis de entender. Isso não apenas ajudará a envolver e beneficiar clientes, como também habilitará equipes internas a usar essas políticas como referências eficazes para projetar suas soluções, políticas de retenção de dados e abordagens de conformidade. O Information Security Office de Berkeley fornece alguns bons conselhos sobre como começar. Permita que suas equipes se concentrem na criação de valor automatizando testes de segurança, privacidade e conformidade. Ao criar políticas de segurança, certifique-se de que possam ser eficazes como proteção para as equipes e, em seguida, automatize e trate-as como código sempre que possível para obter benefícios imediatos. Uma maneira de fazer isso é usar o dependabot para garantir que as dependências sejam seguras, corrigidas e atualizadas, ou ferramentas de IA que ajudem as pessoas a identificar e responder a incidentes, concentrando-se em padrões incomuns.

Faça da educação em segurança uma prioridade. Hackers precisam encontrar apenas uma vulnerabilidade para entrar e causar danos, mas as defesas precisam proteger toda a organização – uma realidade altamente assimétrica. A segurança é muito mais eficaz quando todos os membros da organização fazem a sua parte.

Aprender sobre boas práticas de segurança não é fácil, mas criar uma estratégia em camadas na qual especialistas ajudem a melhorar a postura geral de segurança da organização e forneçam às pessoas ferramentas para habilitar boas decisões deixará a empresa significativamente mais segura. Ao estender a educação a clientes, tomando medidas para informar sobre a importância da privacidade dos dados e o que pode dar errado quando os dados são compartilhados, as empresas podem contar com seu apoio.

Crie produtos com práticas robustas de segurança e privacidade. Isso requer profundo comprometimento e forte liderança. Segurança e privacidade não são apenas preocupações técnicas, mas devem ser vistas como resultado da cultura de toda a organização. Líderes devem deixar explícito que a equipe não deve considerar esses aspectos como algo “bom de se ter”, algo que possam adiar para mais tarde ou que o investimento possa ser reduzido para economizar custos. Os produtos precisam incorporar segurança de maneira robusta e respeitar a privacidade do usuário desde o primeiro dia.