Fuga de Dados

A contagem decrescente já começou. Em pouco mais de oito meses, o Regulamento Geral de Proteção de Dados (RGPD) vai entrar em vigor e trará grandes implicações para as empresas – de todas as dimensões e em todos os países – que lidam com os dados pessoais dos cidadãos da UE.

Considerado como a maior alteração ao nível da privacidade em 20 anos, o RGPD não é meramente uma directiva, mas a legislação da UE consagrada em lei. Na prática foi desenvolvida para harmonizar diferentes leis de modo a proteger a privacidade dos indivíduos, oferecendo aos consumidores um maior controlo e direitos sobre os seus dados pessoais. Os indivíduos podem solicitar que as empresas excluam as suas informações exercendo, o “direito a serem esquecidos”. Como tal, existirão regras muito mais rígidas ao nível da questão do consentimento; notificação de violação de dados; avaliações obrigatórias de impacto de privacidade e o requisito de “privacidade por design e por defeito.

O incumprimento em relação ao novo regulamento tem implicações graves para as organizações. As empresas podem ser atingidas com multas de até quatro por cento do volume de negócios mundial anual, ou 20 milhões de euros – o que for maior.

As grandes empresas podem pagar uma destas contas, no entanto esta soma pode prejudicar gravemente uma pequena ou média empresa. É por este motivo que causa surpresa o facto de apenas uma em cada cinco empresas europeias estar preparada para a nova legislação. Esta tendência agrava-se nas empresas sediadas fora da UE, mas que lidam com os dados dos cidadãos Europeus. Em paralelo, 52% não conhecem o impacto que o RGPD terá nas suas organizações. No caso das pequenas empresas, este número sobe para 55%.

O mês Europeu da Segurança Informática é o momento perfeito para as empresas se prepararem para o RGPD. Embora pareça uma tarefa assustadora, existem alguns passos essenciais que vão ajudar qualquer empresa a estar preparada para este novo regulamento:

Estabelecer e avaliar a forma como uma empresa lida com os dados

É necessário que se compreenda a fundo a forma como uma determinada empresa lida com os dados. De acordo com as regras atuais, somente os controladores de dados são responsáveis ​​pela conformidade. No entanto, com a entrada em vigor do RGPD estas responsabilidades cairão também sobre quem os manipula. Portanto, é importante estabelecer se uma organização é um processador de dados ou um controlador de dados, tendo em mente pode ser ambos.
Saber onde os dados são armazenados, a segurança desse local, bem como determinar se esses dados estão a ser partilhados, é crítico. Especialmente a partir de maio de 2018.

Aprender com o passado

Para que seja possível verificar-se a capacidade de resposta a um ataque futuro, é necessário que se examine o que aconteceu durante eventuais fugas de dados passadas e que se conclua que as decisões que forem tomadas estão de acordo com os requisitos do RGPD. Segundo as novas regras, as as falhas terão de ser relatadas dentro de 72 horas, juntamente com informações acerca da gravidade da mesma. Se uma empresa não conseguir fazê-lo pode resultar numa multa grave.

Nomear um oficial de proteção de dados

Isso pode ser um conselho simples para uma empresa com muito dinheiro, mas representar um grande investimento para pequenas empresas. No entanto, é melhor um investimento do que uma multa que corresponda a 4% da receita de uma empresa. O oficial de proteção de dados age de forma independente e ajuda a implementar os requisitos. A alocação de recursos adicionais antes e depois vai assegurar que uma empresa não só esteja em conformidade, mas seja capaz de lidar com qualquer violação de dados.

A questão dos colaboradores

Os colaboradores de ambos os lados do Atlântico não têm as noções principais de segurança informática, em contraste, com o elevado nível de confiança que as empresas depositam nas suas capacidades neste campo.

Esta é a principal descoberta de um novo estudo realizado por Willis Towers Watson, que descobriu que 63% das empresas do Reino Unido acreditam que os seus sistemas estão altamente protegidos com todos os processos necessários para lidarem com possíveis fugas de informação.

No entanto, a pesquisa descobriu uma elevada falta de conhecimentos básicos entre os próprios colaboradores, quase metade afirmou que era “seguro abrir qualquer e-mail no computador de trabalho”.

A falta de formação na área da segurança informática pode ser a principal causa do problema, com 62% dos entrevistados a responderem que apenas se informaram acerca de alguns assuntos porque era necessário.

Quase metade (46%) dos colaboradores inquiridos ​​passou menos de 30 minutos em formação, enquanto mais de um quarto (27%) não passou nenhum,

As consequências destas lacunas são alarmantes, com os próprios colaboradores a apontarem a compreensão insuficiente da segurança informática como uma das maiores barreiras para poderem gerir com eficácia os riscos alusivos à segurança dos dados.

Todas estas descobertas vão aumentar sem dúvida as preocupações alusivas ao RGPD que vai entrar em vigor em Maio do próximo ano.

Lembramos que de acordo com um relatório da IDC publicado no Verão apenas uma em cada cinco empresas na Europa está preparada para o RGPD.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

*