Axians e Quidgest promovem o evento “RGPD: Estratégias para gerir a Privacidade de Dados e os Riscos de Segurança”
No âmbito dos cinco anos de implementação do Regulamento Geral sobre a Proteção de Dados (RGPD), a Axians e a Quidgest realizaram, no passado dia 23 de maio, um encontro para abordar a temática da privacidade do tratamento de dados e da segurança da informação nas organizações, sob o mote “RGPD: Estratégias para gerir a Privacidade de Dados e os Riscos de Segurança”.
Na mensagem de boas-vindas dirigida a cerca de 80 pessoas na plateia, Carla Zibreira, Cibersecurity Business Unit Director na Axians Portugal, referiu que o RGPD é “um marco importante não só da história da transformação digital como da economia digital”, sobretudo no que respeita aos tópicos da privacidade e da segurança da informação, “dois aspetos que são indissociáveis um do outro, mas que por vezes se confundem”, acrescentando que enquanto a privacidade está focada no acesso à informação, a segurança está focada na proteção e na salvaguarda dessa informação. “Um cocktail e um desafio fantástico para as organizações que temos visto nos últimos cinco anos”, concluiu.
Na mesa-redonda “A Privacidade como estratégia de Cibersegurança”, António Gameiro Marques, Diretor-Geral do Gabinete Nacional de Segurança, começou por frisar que “o âmbito do RGPD são os dados pessoais”. Tendo por base esta premissa, lembrou que vivemos num mundo real com duas componentes, a física e a virtual, e que, “embora a cibersegurança exista porque o engenho humano desenvolveu estas tecnologias onde trabalhamos e socializamos, tudo isto existe também num mundo real e físico – e o RGPD tem de abarcar estas duas visões e dimensões”, até porque muitas organizações, sobretudo as que existem há mais tempo, “continuam a ter muito dados pessoais em formato físico”.
Carlos Fernandes, Responsável de Proteção de Dados da TML, sublinhou, por outro lado, que “o orçamento condiciona qualquer estratégia e plano de ação associados à segurança da informação. Estamos a falar de recursos tecnológicos e de técnicos especializados, que têm o seu peso no orçamento, mas, por experiência própria, é possível trabalhar com poucos recursos e com cooperação, aproveitando mais as relações que vamos criado com outras empresas”. “Tão ou mais importante do que investir é saber como investir”.
Inês Oliveira, Presidente da APDPO, considerou que “há muito trabalho a fazer”. A proteção de dados gera confiança e é importante mostrar às empresas que não se trata só de pagar multas, há um mundo de benefícios derivados dessa geração de confiança que vai das empresas aos cidadãos. Com respeito aos titulares de dados é, contudo, crucial reforçar a comunicação, “para que o cidadão possa estar informado e se dê aqui um casamento perfeito entre privacidade e segurança”. Os titulares de dados estão conscientes, mas não profundamente conscientes, só superficialmente. Não estão conscientes, por exemplo, de que “quando as aplicações são gratuitas, o preço somos nós”.
Na segunda mesa-redonda “Zero trust com Privacidade: Uma fórmula de sucesso”, Josué Delgado, CISO da Lusíadas Saúde, explicou o significado de zero trust, referindo que existe sempre uma “componente de marketing” e “novas buzzwords” em torno de conceitos emergentes, sobretudo, por parte dos fabricantes. No entanto, ao estarmos perante um paradigma novo, no que toca ao aceso aos dados e a aplicações, “a confiança não pode ser dada implicitamente a quem vai aceder. “Quando falamos de zero trust, podemos adotar uma atitude não vou confiar em ninguém”. “É por isso que as organizações têm de apontar um caminho” – um modelo de gestão de identidade e acessos – “uma série de iniciativas que não se fazem do dia para a noite.”
Luis Ferreira, Information Security Officer do Leroy Merlin, começou por referir que “não existe abordagem zero trust sem compromisso. Tem de haver uma alteração cultural e a organização deve estar preparada para abraçar uma abordagem zero trust. Desde a entrada em vigor do RGPD e o surgimento de legislação mais específica no que toca à privacidade, tenho verificado, enquanto profissional da segurança, que a importância deste tema tem sido reforçada, a sensibilização tem sido feita gradualmente e vejo que a minha organização tem uma consciência completamente diferente da que tinha há 4 ou 5 anos.”
Miguel Jacinto, CISO do EuroBIC, frisou que “quando as organizações sofrem um ciberataque, potencialmente podem contaminar toda a cadeia de valor”, explicou afirmando que “a NIS2 não pode falhar, porque nesta nova economia estamos todos ligados digitalmente. Nós na Banca temos um quadro de obrigações regulatórias muito exigente e ainda há muito trabalho por fazer, imagine-se as empresas que não são reguladas. Garantir a segurança do Ciberespaço é, para além dos diversos reguladores setoriais também uma questão de bom senso e por isso uma “responsabilidade de todos os agentes económicos.”
Parceria Axians/Quidgest dá origem a nova solução na área de Gestão de Riscos
O evento prosseguiu com uma apresentação de Beatriz Bagoin Guimarães, Information and Business Process Management Systems Manager na Quidgest, e Miguel Gonçalves, Cybersecurity Consulting Manager na Axians, tendo por base algumas questões que ambas as organizações ouvem dos seus clientes diariamente e que resulta numa parceria, entre a Axians e Quidgest, para a implementação de uma solução integrada e holística. Miguel Gonçalves explicou que esta solução começa por uma avaliação de risco personalizada, “tendo em conta o contexto específico e os desafios de cada empresa e organização”, depois de definir e planear, “a metodologia desta solução é alavancada pela operacionalização”, referiu Beatriz Bagoin Guimarães.
“Esta ferramenta, sobre a qual vamos ter mais novidades no segundo semestre deste ano, vai permitir uma análise completa da gestão de riscos e parametrizar e integrar a componente do RGPD e da privacidade, porque existem necessidades específicas.”
Miguel Gonçalves frisou que” esta solução vem dar resposta a um desafio que, durante muito anos, não era visto como um tema essencial – a continuidade do negócio, é absolutamente crítico ter um guião montado e equipas preparadas para responder a uma real ameaça, sem pôr em causa a fiabilidade do negócio e a exposição e segurança dos dados da organização em perigo”.