Ricordi quando 40 milioni erano un gran numero? Quaranta milioni di dollari di vendite, 40 milioni di clienti, 40 milioni di follower su Twitter, 40 milioni di manifestanti:tutti una volta hanno trasmesso qualcosa di sostanziale.

Se fosse così solo per le violazioni dei dati.

In qualità di accademico che ha studiato la governance dei dati negli ultimi 20 anni e ha lavorato con centinaia di consigli di amministrazione e migliaia di direttori e dirigenti, Sono sgomento e preoccupato che la portata e la gravità delle violazioni dei dati continuino a crescere senza sosta.

Violazioni in aumento

Nel 2011, hacker hanno attaccato RSA Security, una società di sicurezza di rete, ha rubato 40 milioni di record di token di sicurezza (dispositivi fisici utilizzati per accedere alle reti). Due anni dopo, altri 40 milioni di record contenenti password dei clienti e informazioni personali sono stati rubati dalla società di software Adobe.

Al tempo, i consumatori sono sembrati scioccati dalle dimensioni di queste violazioni e, almeno temporaneamente, hanno perso la fiducia in queste organizzazioni. C'era una richiesta di controlli più severi e sanzioni più severe.

Da allora, le violazioni e i furti di dati sono aumentati sia in termini di dimensioni che di frequenza. Gli hacker hanno violato Sony e hanno rubato 77 milioni di record nel 2011. Hanno fatto lo stesso con Target Corporation per 110 milioni di record nel 2013, eBay per 145 milioni di dischi nel 2014, Equifax per 143 milioni di record nel 2017, e Marriott International per 500 milioni di record nel 2018; ce n'erano molti altri.

Questi sono stati tutti eclissati dai tre miliardi di record compromessi in una colossale violazione di Yahoo Inc. Quando la società ha inizialmente rivelato la violazione nel 2013, ha detto che aveva colpito solo un miliardo di record. Ha rivelato il vero numero nel 2017.

Questa è un'era di grandi violazioni dei dati. La generale disponibilità e raccoglibilità dei dati, e la disponibilità spesso passiva dei consumatori a condividere le proprie informazioni personali ha portato ad un aumento della velocità, visibilità e vastità delle violazioni che aumentano a ritmi allarmanti.

Reazioni del governo

Il Congresso ha approvato la legge Sarbanes-Oxley nel 2002, in reazione a comportamenti eclatanti e fraudolenti su larga scala da parte di aziende come Enron, WorldCom, Tyco, Adelphia e i loro revisori complici (in particolare Arthur Andersen nel caso di Enron).

Tra le sue numerose disposizioni, Sarbanes-Oxley incarica gli azionisti di un'azienda di eleggere revisori esterni che riferiscono direttamente al consiglio di amministrazione dell'organizzazione invece che al management. L'atto criminalizza la falsificazione dei bilanci, e obbliga l'amministratore delegato e gli ufficiali finanziari a certificare trimestralmente che i rendiconti finanziari dell'organizzazione sono conformi.

Sarbanes-Oxley ha inaugurato una nuova era di corporate governance, con consigli di amministrazione e management sempre più sotto esame.

Il punto di svolta della sicurezza informatica

Credo che la sicurezza informatica abbia raggiunto il suo momento Sarbanes-Oxley. Norton, la società di sicurezza Internet, ha pubblicato un rapporto di metà anno del 2019 in cui si afferma che ce ne sono stati 3, 800 violazioni segnalate pubblicamente, esponendo finora 4,1 miliardi di record, un aumento del 54% rispetto al 2018.

Queste violazioni non avevano riguardo per la geografia o il settore, colpire i servizi finanziari, intrattenimento, sanità e governo. Hanno incluso le informazioni personali degli individui e le cartelle cliniche; in modo allarmante, queste violazioni sono state tutte perpetrate da criminali che devono ancora essere identificati.

Secondo me, le risposte aziendali continuano ad essere inadeguate, e violazioni evitabili. I legislatori hanno iniziato a colmare questo vuoto di supervisione.

Il Parlamento dell'Unione Europea è stato uno dei primi a colmare questa lacuna quando ha emanato il Regolamento generale sulla protezione dei dati (GDPR) nel 2016, entrato in vigore il 25 maggio 2018. Il GDPR si applica a tutte le persone fisiche residenti nell'UE, e prevede sanzioni severe (20 milioni di euro o il 4% del fatturato annuo mondiale dell'organizzazione dell'anno precedente, il maggiore) in caso di violazione della privacy. L'UE è stata aggressiva nella sua applicazione, riscuotendo più di 100 ammende finora.

La Securities and Exchange Commission (SEC) degli Stati Uniti ha approvato all'unanimità l'emissione di obblighi di divulgazione per gli incidenti informatici all'inizio del 2018. In Canada, il governo federale ha iniziato a modificare la sua legge sulla protezione delle informazioni personali e sui documenti elettronici (PIPEDA), per definire quando una violazione della privacy dovrebbe essere divulgata pubblicamente e i requisiti di divulgazione.

L'iniziativa più recente è forse anche la più rigorosa. Il California Consumer Privacy Act (CCPA), che entrerà in vigore il 1° gennaio, 2020, si applica a qualsiasi organizzazione in California che riceve o divulga informazioni personali o ricava il 50% o più dei propri ricavi dalla vendita di informazioni personali.

Proprietà dei dati

Il CCPA multerà le organizzazioni e fornirà pagamenti a coloro che sono colpiti da violazioni dei dati. Ma il principio più rivoluzionario del CCPA è affermare che i consumatori possiedono i propri dati, se divulgato volontariamente o meno, e può scegliere di non divulgarlo senza discriminazioni.

In altre parole, un consumatore può scegliere di impedire a Facebook di raccogliere informazioni sul proprio comportamento online senza che gli venga impedito di utilizzare le funzionalità di Facebook. L'impatto su Facebook e società simili potrebbe essere catastrofico poiché la maggior parte delle loro entrate deriva dalla pubblicità.

Così, cosa può fare un'organizzazione? Innanzitutto, il consiglio di amministrazione o l'organo di controllo deve avere la privacy e la sicurezza informatica sul suo radar e discuterne in ogni singola riunione. La sicurezza informatica e la privacy dovrebbero essere incluse nella pianificazione dei rischi dell'impresa e monitorate attivamente.

Gli amministratori non dovrebbero solo avere familiarità con i problemi di conformità normativa, ma anche di quali dati l'organizzazione possiede, processi e, ma ancora più importante, passa. La protezione delle risorse di dati dell'organizzazione diventa un processo molto più trasparente e prioritario. Di conseguenza, viene conferito un duplice vantaggio, per proteggere le informazioni del cliente che sono di valore per l'organizzazione ha anche l'effetto di proteggere gli individui. Ne nasce un circolo virtuoso.

Una recente violazione al Desjardins Group, una cooperativa cooperativa di credito canadese, fornisce un piano di risposta esemplare. La violazione era piccola per gli standard globali:4,2 milioni di record, ma quasi tutti i clienti privati ​​e aziendali dell'azienda.

Guy Cormier, il presidente e amministratore delegato di Desjardins, ha annunciato la violazione poco dopo che la banca l'ha confermata, e fornito ai clienti tre misure correttive:protezione contro il furto di identità fino a cinque anni; supporto individuale da Desjardins per accompagnare i clienti attraverso tutti i processi per ristabilire le loro identità elettroniche, compreso l'indennizzo per eventuali perdite finanziarie; e fino a $50, 000 per cliente per compensare eventuali spese legali o contabili sostenute a seguito della violazione.

Questo coinvolgimento attivo delle parti interessate, oltre ad azionisti e clienti, sottolinea un impegno autentico.

Sarbanes-Oxley è diventato lo standard per buone pratiche di governance. Il GDPR, PIPEDA, Le linee guida CCPA e SEC annunciano collettivamente una nuova era nella privacy e nella protezione dei dati.

In assenza di iniziativa, le organizzazioni si troveranno sotto una legislazione sempre più severa e un controllo concomitante. La scelta è netta, ma semplice:inizia a prendere sul serio la privacy dei dati, o farlo imporre. La sicurezza informatica ha raggiunto il suo momento Sarbanes-Oxley.

Questo articolo è stato ripubblicato da The Conversation con una licenza Creative Commons. Leggi l'articolo originale.