Cómo la filosofía de una empresa de "desplazarse a la izquierda" está avanzando en el mundo de la privacidad de datos.

Privacidad de datos

AdobeStock_374897753

Si bien la privacidad de los datos continúa propagando titulares diarios desde infracciones hasta nuevas leyes, muchos en el mundo empresarial luchan por diseñar un programa de privacidad vigoroso y reflexivo sin atascar la velocidad necesaria del ciclo de vida del desarrollo de software.

Además, las empresas están aprendiendo de primera mano el valor final de mantener y aumentar la confianza general del cliente y la privacidad está en el centro de la conversación. Según un informe reciente de Forrester, la dependencia tecnológica reducida después de la pandemia se combinará con problemas de confianza y privacidad, incluida la incapacidad para proteger a los usuarios de los riesgos emergentes y la falta de medidas éticas efectivas en entornos digitales, para erosionar progresivamente la confianza de los consumidores. Predecimos que para fines de 2023, la confianza de los consumidores en las empresas de tecnología se reducirá en un 15 %.

Recientemente tuve la oportunidad de sentarme con el experto en privacidad de datos y cofundador y director ejecutivo de TerraTrue, Jad Boutros, para analizar por qué comenzó la empresa, el panorama cambiante de la privacidad y hacia dónde se dirige.

Gary Drenik: Cuénteme sobre sus antecedentes y qué lo motivó a comenzar TerraTrue.

Jad Boutros: Soy ingeniero informático de profesión y entré en el dominio de la seguridad de aplicaciones al principio de mi carrera. Me uní a Google en 2004 como uno de los primeros diez ingenieros de seguridad y tuve la rara oportunidad de cofundar, liderar y hacer crecer el equipo de seguridad de la información. En Google, obtuve un gran aprecio por el campo de la seguridad y, en particular, por lo difícil que es proteger las aplicaciones web y móviles de una lista cada vez mayor de amenazas a la seguridad. Los desarrolladores y los equipos de seguridad deben trabajar juntos de manera inseparable para lograr esta hazaña, y para lograr ese objetivo, ayudé a implementar un proceso de revisión de seguridad de clase mundial y realicé revisiones de seguridad en la miríada de productos de Google.

En 2014, cuando Snap (anteriormente Snapchat) tuvo un problema de seguridad que se volvió muy público, reconocieron la necesidad de iniciar un equipo de seguridad y se comunicaron conmigo. Inmediatamente me intrigaron los desafíos que enfrentaban, incluido un decreto de consentimiento de privacidad de la Comisión Federal de Comercio, y decidí dejar Google y unirme como su primera contratación de seguridad. Allí, asumí la responsabilidad de todos los aspectos de seguridad, spam y abuso, e ingeniería de privacidad, construí una organización de cien ingenieros en esos campos y me desempeñé como el primer director de seguridad de Snap. Para tener éxito en este rol, me pareció increíblemente importante ser un apasionado de la seguridad y la privacidad, pero también apasionado por encontrar formas de hacer que la seguridad y la privacidad sean socios del negocio, en lugar de obstáculos, para que el negocio pueda lograr más, más rápido. Es la misma pasión por los resultados en los que todos ganan lo que más tarde me impulsó a cofundar TerraTrue.

Mientras estaba en Snap, conocí a mi eventual cofundador, Chris Handman, quien fue el primer asesor general de Snap. Chris y yo encabezamos un riguroso programa de privacidad que permitió que Snap escalara rápidamente mientras cumplía con todas las leyes aplicables y se sometía a auditorías periódicas.

Nos dimos cuenta de que para que la privacidad brindara el rigor que necesitábamos, sin ralentizar las mentes de productos incansablemente inventivas de Snap, teníamos que incluir la privacidad en el tejido del desarrollo de productos. Para hacer la privacidad correctamente y enviar funciones a tiempo, la privacidad debe ser una parte integral del desarrollo del producto, no una ocurrencia tardía hecha de forma aislada. Más tarde pasamos a entretejer este punto de vista en el núcleo de nuestro producto aquí en TerraTrue. Creemos que la privacidad debe cambiar a la izquierda para trabajar con el desarrollo de productos, no en su contra. Permitimos que los equipos identifiquen, aborden y aborden los riesgos de privacidad y seguridad antes de que se envíen los productos.

Los consumidores, hasta ahora, han estado presionando a la industria por la privacidad y la transparencia. Según una encuesta reciente de Prosper Insights & Analytics, el 61,5% de los consumidores mencionaron preocupaciones sobre su identidad cuando compran en línea. Visualizamos y habilitamos un mundo en el que la empresa encabeza la evolución de los estándares de privacidad y comprende el valor comercial detrás de mantener la confianza del consumidor.

Prosper – Problemas de privacidad al comprar en línea

Perspectivas y análisis prósperos

Drenik: ¿Ve fallas fundamentales en la ubicación de la privacidad de datos en la estructura organizativa de una empresa? ¿Cómo unifica el desarrollo de productos con los estándares de privacidad?

Boutros: Ya sea que la privacidad se encuentre dentro de lo legal, la seguridad o ambos, es menos importante que garantizar que su equipo de privacidad cuente con los recursos necesarios y pueda colaborar con la organización en su conjunto. La clave de esta colaboración es asegurarse de contar con el personal legal y de ingeniería necesario para realizar revisiones de privacidad y navegar por un panorama regulatorio en rápida evolución. Por otra parte, debe superar la percepción de que la privacidad es un obstáculo para la productividad y hacer que sus equipos de producto y crecimiento vean la privacidad como una ventaja competitiva que les permite construir rápidamente y ganarse la confianza del consumidor. De lo contrario, el retroceso, la baja adopción y la apatía le impedirán lograr un progreso real.

Para unificar el desarrollo de productos con los estándares de privacidad, debe hacer que sea increíblemente fácil para los equipos de productos cumplir con los estándares de privacidad. Eso significa llevar el programa de privacidad directamente a su proceso, justo donde ya están trabajando, así como brindarles medidas de seguridad fáciles de entender que les permitan construir rápidamente, sin tener que involucrarse en un doloroso intercambio con los abogados de privacidad y ingenieros que realizan revisiones de privacidad.

TerraTrue ayuda a nuestros clientes a construir esta alineación interfuncional proporcionando integraciones listas para usar con las herramientas más importantes en software, seguridad y almacenamiento en la nube: JIRA, Slack, Ironclad, Google Cloud Platform, AWS y Github, solo para nombrar unos pocos. Nuestras integraciones están diseñadas para poder brindarles a quienes realizan revisiones de privacidad la visibilidad que necesitan con una interrupción mínima para los equipos de productos y desarrollo. TerraTrue también mapea los aportes de los equipos de desarrollo y productos frente a las claras medidas de protección de las leyes de privacidad en los Estados Unidos y Europa, incluidos el RGPD, CPRA, VCDPA, CPA y conjuntos de reglas de privacidad personalizados para que puedan trabajar rápidamente sin prisas ni esperas. revisiones típicas de privacidad.

Drenik: En el mundo actual, donde los procesos comerciales se vuelven más dinámicos, las organizaciones han comenzado a depender cada vez más de terceros para brindar servicios esenciales. ¿Cómo pueden los líderes de la empresa utilizar las métricas de privacidad en su beneficio y evitar riesgos de seguridad de terceros?

Boutros: Las organizaciones primero deben comprender la postura de seguridad de sus terceros porque, sin una base sólida de seguridad, no se puede proteger la privacidad. Hay preguntas que se deben hacer durante las revisiones de diligencia debida y certificación de seguridad para ayudar a los CISO a evitar riesgos de seguridad de terceros.

Luego viene el trabajo de privacidad donde las organizaciones revisan qué datos se intercambian con ese tercero y cómo se intercambian esos datos. Es muy común que las organizaciones intercambien más información de la estrictamente necesaria para lograr su propósito comercial, lo que las expone innecesariamente al riesgo de que esos datos se vean comprometidos. Se aplican muchas otras consideraciones, como si esos datos se pueden correlacionar entre terceros de formas no previstas o identificar a las personas en función de su ubicación u otros puntos de datos. Algunos terceros también pueden hacer un uso indebido de los datos que se les proporcionan si no cuentan con políticas y procedimientos de privacidad adecuados, etc. Un programa de privacidad bien construido con las herramientas y los informes adecuados sacará automáticamente a la luz estos tipos de riesgos que son particularmente sensibles y requieren una revisión más profunda.

Drenik: Ha comenzado la cuenta regresiva para todas las nuevas leyes de privacidad que veremos en 2023. ¿Cuáles son las formas en que los equipos de privacidad pueden adelantarse a estas leyes de privacidad?

Boutros: Con la entrada en vigencia de nuevas leyes de privacidad en California, Colorado, Utah, Virginia y Connecticut, las empresas están desesperadas por ver cómo los estados interpretarán y harán cumplir las leyes. La CCPA es una fuente particular de incertidumbre. La ley otorgó a la Agencia de Protección de la Privacidad de California un amplio poder sobre la elaboración y aplicación de normas. Sin embargo, la CPPA se ha enfrentado a múltiples retrasos. En este punto, las reglas no se finalizarán a tiempo para que las empresas desarrollen programas de cumplimiento antes del comienzo del año.

A nivel federal, las cosas son igual de confusas. Afortunadamente, ya hay una gran cantidad de lecciones disponibles de los reguladores europeos. El RGPD ha estado en vigor desde 2018, y los reguladores de la UE han producido una gran cantidad de orientación de cumplimiento. Si bien los detalles del RGPD son diferentes de las leyes de EE. UU., las preocupaciones básicas son las mismas y los controles subyacentes, como los DPIA, son muy similares. Hay una variedad de lecciones que el RGPD puede enseñar sobre el cumplimiento de la ley de privacidad de EE. UU.

En primer lugar, su experiencia de usuario de privacidad debe ser lo más clara, accesible y transparente posible para que los usuarios puedan tomar decisiones informadas sobre sus datos. Si bien las leyes de los EE. UU. no tienen las mismas reglas internacionales de transferencia de datos, requieren que proteja sus datos contra filtraciones y usos indebidos. Y a menos que sepa adónde van sus datos y qué sucede con ellos en cada etapa, no puede hacer eso. Entonces, aunque el fundamento legal es diferente, el RGPD aún sirve como un modelo sobresaliente para el cumplimiento de los EE. UU. Y finalmente, debe comprender cuándo implementar una DPIA. Esencialmente, las DPIA se requieren en cualquier momento en que la protección de datos plantee un riesgo significativo para la privacidad del consumidor o los derechos de datos. Eso incluye una variedad de casos de uso, desde evaluar y puntuar a los usuarios (p. ej., exámenes de crédito) hasta el uso de tecnologías innovadoras o nuevas.

Drenik: ¿Ve el móvil como el próximo campo de batalla de la privacidad? ¿Qué papel jugarán los desarrolladores de aplicaciones?

Boutros: Ciertamente no diría que es el próximo campo de batalla. Los dispositivos móviles y otros dispositivos inteligentes han estado a la vanguardia de la privacidad desde sus inicios. Vale la pena señalar que estos dispositivos han convertido en gran medida la privacidad en lo que es hoy. Debido a que siempre están encendidos, siguen constantemente al usuario, potencialmente tienen acceso a datos muy personales (por ejemplo, libreta de direcciones, información de salud), incluyen sensores (por ejemplo, cámara, GPS, salud) y brindan volúmenes de telemetría, incluidos datos de ubicación, han resultado en una gran cantidad de investigaciones sobre privacidad. Se han vuelto esenciales para nuestra vida diaria y también plantean una multitud de amenazas a la privacidad. El móvil es un gran ejemplo del yin y el yang.

Tengo la suerte de traer una experiencia significativa aquí de mis años con Snap. Para los desarrolladores de aplicaciones, el consejo clave es que entiendan cómo usan los datos, minimizar los datos que salen de los dispositivos móviles (es decir, recopilados/almacenados/procesados en los servidores) y administrar el ciclo de vida de esos datos respetando la privacidad (por ejemplo, eliminar lo antes posible). Las técnicas como la privacidad diferencial pueden ser muy poderosas para recopilar y analizar la telemetría de una manera que preserva más la privacidad. Con el aumento del poder de cómputo en los dispositivos móviles, también es cada vez más posible realizar aprendizaje automático en dispositivos móviles sin transmitir datos a los servidores, lo que también mejora la privacidad.

Drenik: ¿Qué le depara el futuro a TerraTrue? ¿Cuál es tu visión para el futuro?

Boutros: En este macroentorno desafiante, las organizaciones nos buscan para que las ayudemos a hacer más con menos recursos. Es por eso que ahora estamos particularmente enfocados en construir más automatización e inteligencia en nuestra plataforma de privacidad y seguridad. A través de la automatización, podemos descubrir nuevos riesgos de manera rápida y confiable, liberando un tiempo precioso tanto para el negocio como para los equipos de revisión. Con más inteligencia, eliminamos la necesidad de muchas revisiones comunes y permitimos que las organizaciones dediquen su atención a aquellas que presentan los riesgos más importantes para la empresa.

A medida que las leyes de privacidad del mundo se vuelven más complejas y fragmentadas, y a medida que las empresas buscan recopilar más datos que crean más riesgos bajo una variedad de reglas diferentes, nos queda cada vez más claro que la privacidad ya no puede considerarse simplemente una función de cumplimiento. Al igual que la seguridad anterior, la privacidad debe cambiar realmente a la izquierda. El camino de TerraTrue es continuar fomentando la colaboración entre equipos para elevar la privacidad y la seguridad en el ciclo de vida del desarrollo de software y proporcionar la información correcta para guiar a esos equipos hacia un lanzamiento seguro.

Tiene que haber un nuevo nivel de confianza en las marcas con las que interactúan los consumidores, dando poder a los productos que potencian el derecho de todos a la privacidad y la seguridad y todos tenemos un camino por recorrer. En TerraTrue, imaginamos un futuro en el que las empresas lideren el impulso de la protección de la privacidad. Según una encuesta reciente de Prosper Insights & Analytics, el 73,5 % de los consumidores toman medidas para proteger su privacidad: queremos que las empresas participen tanto como los consumidores.

Prosper – Protección de la privacidad digital y en línea

Perspectivas y análisis prósperos

Drenik: Gracias por tomarse el tiempo para analizar cómo continúa evolucionando el espacio de privacidad y qué deberíamos estar buscando para avanzar. En este microclima difícil, es emocionante que TerraTrue empodere a más empresas para que utilicen la privacidad como una palanca potencial que pueden aprovechar para crecer. Espero ver su éxito proliferar de compañías más grandes hacia abajo.