quarta-feira, 31 de maio de 2017

Mais uma sessão IT’S TIME TO TALK ABOUT: «A prevenção é a base da segurança»



Lisboa, 31 de maio de 2017 - A itSMF Portugal realizou ontem, na Fundação Cidade de Lisboa, mais uma edição da iniciativa IT’S TIME TO TALK ABOUT. Desta vez o tema “Defining and Implementing Security Policies” promoveu o debate sobre segurança das organizações, que ganha maior expressão atualmente por força da pressão regulatória.

No debate, cuja moderação esteve a cargo de José Carlos Martins, participaram Fernando Fevereiro Mendes, da Focus2Comply, Sérgio Sá, da EY Portugal, e Rui Duro, da Checkpoint Systems Portugal.

Com a entrada em vigor do Regulamento Geral da Proteção de Dados a 25 de maio de 2018, a segurança das organizações está na ordem do dia. Com o aumento da pressão regulatória, as organizações vão ter de abordar de maneira diferente os dados seus dados e os dados dos clientes. Estas mudanças acontece numa altura em que as empresas portuguesas já olham para a componente digital como forma de alavancar os seus negócios, tirando partido da IoT e da mobilidade como novas abordagens estratégicas para as organizações.
Fernando Fevereiro Mendes, da Focus2Comply, começou por sublinhar que «os cidadãos portugueses ainda não têm grande sensibilidade para os problemas relacionados com a prevenção». Contudo, os riscos podem ter impactos muito negativos no negócio e ainda não há uma visão consolidada de gestão do risco. Segundo o representante da Focus2Comply, há apenas nichos que já têm alguma capacidade e sensibilidade para abordar as questões de segurança: «Faz falta uma promoção por parte das instâncias nacionais na prevenção como meio de melhorarem todo o contexto empresarial. É verdade que alguns setores investem em segurança mas são quase sempre os que já têm questões as segurança da sua génese». Naturalmente que esta visão não é fácil de ser materializada porque, trabalhar em segurança, é trabalhar no campo dos cenários que ainda não aconteceram.

Estabelecendo um paralelo com o mercado internacional, Fernando Fevereiro Mendes acredita que as ameaças à segurança vão agora passar para o mercado, o que vai expor mais as organizações. Até aqui tínhamos muito esses relatos vindos dos Estados Unidos (porque eram obrigados a reportar as quebras de segurança) mas agora também a Europa terá de passar a fazê-lo.

No que toca à privacidade, as empresas têm que tomar as medidas necessárias para proteger os seus clientes e em particular os utentes no caso da saúde. «É preciso formar e sensibilizar pessoas. Formação em tecnologia e o estabelecer de políticas do que se pode ou não pode fazer numa organização, é que nos vai levar ao objetivo maior da “privacidade da informação”», antecipou Fernando Fevereiro Mendes.

Para algumas empresas, passar a lidar com informação sensível, pode implicar um retrocesso na sua atual posição e da forma como se diferenciam no mercado. Por exemplo os laboratórios de análises clinicas que atualmente fazem o envio do resultado das análises dos utentes por mensagem SMS ou por e-mail.

Sérgio Sá, da EY Portugal, constatou que, na área digital, os incidentes acontecem muito depressa e exigem uma resposta ainda mais rápida: «A prevenção é a base de tudo; as empresas que vão conseguir sobreviver a eventuais ataques são as que têm uma capacidade de reação rápida. Tendencialmente cada vez haverá mais controlos no âmbito da segurança, sendo os mesmos cada vez mais específicos».

Para fazer face a estes cenários tão distintos que podem colocar-se, além da prevenção é também necessária formação adequada para uma melhor e mais rápida reação porque «a questão não é se vamos ser atacados mas quando vamos ser atacados», salientou o representante da EY. A formação de segurança numa empresa tem que ser alargada a todos os seus recursos humanos e colaboradores.

A segurança assenta em três pilares: pessoas, procedimentos e avaliação de risco. Para que todas as nuances que os riscos e a segurança implicam, é necessário definir o que são, agora, as boas práticas de segurança. Até que ponto um juiz pode determinar se houve, ou não, culpa na fuga de informação sensível? O modelo, segundo ficou plasmado nesta sessão do IT’S TIME TO TALK ABOUT, é mostrar que a empresa seguiu standards de segurança internacionais. Para isso, o primeiro passo é saber que informação temos e queremos ter dentro da nossa organização e saber como protegê-la. Uma tarefa que, ainda por cima, está dificultada para as PMEs que estão menos preparadas e têm menos ajuda exterior nesse sentido.

«Para o fabricante, nunca o cenário foi tão bom. A oportunidade está do lado de quem vai vender os serviços. As PMEs não sabem o que têm de fazer porque na sua grande maioria o seu apoio informático é também realizados por parte de outras pequenas empresas, geograficamente próximas», referiu Rui Duro, da Checkpoint Systems Portugal.

É consensual que se deve recorrer a proteções do tipo DLP - Data Loss Prevention -  que é um dos sistemas mais comuns para evitar que haja uma fuga de informação confidencial, mas no entanto é um dos sistemas mais difíceis de implementar: «Será o DLP é uma ferramenta que se pode implementar? Pode ser necessária legislação complementar», alertou o representante da Checkpoint Systems Portugal. «Ainda há uma nuvem cinzenta muito grande. Temos que perceber o que é inovação e o que é risco. A tecnologia está no fim da cadeia; é apenas o que vai tornar possível todo este processo de segurança», acrescentou.

Atualmente, e ainda de acordo com os dados partilhados na sessão da itSMF dedicada ao tema “Defining and Implementing Security Policies”, as empresas estão mais preocupadas com os níveis de produção do que em garantir a sua segurança. Muitas empresas não sabem exatamente o que estão a fazer na cloud e é importante salientar que a maioria dos operadores só oferece espaço de armazenamento e não segurança de informação. 

Disponibilidade e redundância (ter os dados repetidos por várias clouds) podem levar a que a informação esteja espalhada por mais locais, logo, haverá menor controlo sobre todas essas plataformas. «Num cenário de conflito ou de guerra, se os nossos dados e sistemas estiverem armazenados numa cloud internacional, podemos vir a ter os nossos dados reféns em outro país», concluiu Rui Duro.

Em junho haverá uma nova edição da iniciativa IT’S TIME TO TALK ABOUT.

Sem comentários: