Com o avanço das tecnologias e a crescente necessidade de proteção de dados, cada país com uma lei de proteção de dados possui suas próprias autoridades reguladoras e órgãos auxiliares. Nos Estados Unidos, o National Institute of Standards and Technology (NIST) desempenha um papel crucial nesse cenário. O NIST é uma agência governamental não regulatória do Departamento de Comércio, dedicada a promover padrões e tecnologias que facilitem a vida das pessoas por meio do uso seguro de dispositivos e softwares.
O NIST é conhecido por suas contribuições significativas para a proteção de dados e privacidade, especialmente através de sua estrutura de cibersegurança e privacidade. Em maio de 2024, a agência desenvolveu uma estrutura de privacidade com o objetivo de ajudar organizações a identificar e gerenciar riscos associados à privacidade de dados. Similar à ISO 29100, esta estrutura do NIST visa fornecer uma terminologia comum para comunicar atividades relacionadas à privacidade e é compatível com regimes legais e regulatórios, como a GDPR e a CCPA, embora não inclua todos os seus requisitos.
A estrutura de privacidade do NIST é composta por três níveis principais: Função, Categoria e Subcategoria. Esses níveis formam o "núcleo" da estrutura, que descreve um conjunto de atividades e resultados de privacidade. A Função é o nível mais amplo e consiste em cinco funções recomendadas: Identificar, Governar, Controlar, Comunicar e Proteger. Essas funções ajudam as organizações a gerenciar riscos de privacidade de maneira eficaz.
A agência também desempenha um papel crucial na minimização de riscos. Recentemente, em resposta a uma série de violações significativas em redes de infraestrutura crítica e federal, o NIST anunciou que fará um balanço do trabalho já realizado e poderá não desenvolver novos padrões imediatamente. Matthew Scholl, chefe da Divisão de Segurança de Computadores do Laboratório de Tecnologia da Informação do NIST, destacou a importância de consolidar e utilizar a orientação existente para enfrentar as ameaças atuais.
Apesar das contribuições do NIST, um dos desafios é a implementação das orientações já estabelecidas. Em 2020, todo o portfólio de segurança cibernética e privacidade do NIST foi financiado com apenas US$ 78 milhões. As agências federais ainda enfrentam dificuldades para adotar as orientações existentes para lidar com as ameaças da cadeia de suprimentos de software. É crucial que essas agências priorizem a implementação da orientação existente e recebam recursos adequados para isso.
Além da estrutura de privacidade, o NIST desenvolveu diversos frameworks, cada um com um foco específico:
O NIST desempenha um papel vital na proteção de dados e privacidade nos EUA, oferecendo padrões e frameworks que ajudam organizações a gerenciar riscos e implementar práticas seguras. A adoção e a implementação eficaz dessas orientações são essenciais para enfrentar os desafios de cibersegurança e proteção de dados na era digital.