A cibersegurança da empresa: da recomendação à obrigação

Se há algum tempo isto era apenas uma medida de segurança recomendada, hoje em dia é uma obrigação imposta pela União Europeia. O Regulamento Geral de Proteção de Dados da União Europeia (GDPR na sigla em inglês) diz que, a partir do dia 25 de maio de 2018, as empresas serão obrigadas a pagar uma multa de até 4% do seu rendimento anual se não cumprirem os regulamentos, incluindo aquelas que apesar de não terem a sua sede na União Europeia gerem dados de cidadãos europeus.

Para evitar a fuga/perda de dados confidenciais e a aplicação destas multas pesadas, as empresas devem investir em tecnologias de cibersegurança e de encriptação inovadoras que as protejam do roubo de dados através de software malicioso, ciberataques ou fugas de informação acidentais. Já existem soluções disponíveis no mercado que permitem às empresas adotar as melhores práticas de encriptação de ficheiros “always-on” para resguardar a informação à qual os utilizadores acedem através dos equipamentos móveis, computadores, redes e aplicações de partilha na cloud.

A Sophos é o primeiro fornecedor a oferecer uma encriptação persistente, transparente e proativa que protege por defeito os ficheiros em Windows, Mac, iOs e Android.

Em Espanha, aproximadamente 80% das PMEs, que são o motor da economia nacional, desconhecem as implicações deste regulamento imposto pela UE, e não sabem que a perda de dados confidenciais é uma das maiores preocupações das empresas espanholas e um dos principais pontos fracos das companhias no que diz respeito à proteção da informação.

Estudos realizados recentemente pela Sophos, revelam que 54% das empresas europeias têm muito pouco conhecimento sobre as multas associadas ao GDPR. Quase 1 em cada 5 (17%) empresas inquiridas admitiram que se fossem multadas fechavam portas. Este valor sobe para 54% no caso das pequenas empresas de até 50 pessoas. Além disto, 39% dos responsáveis de TI inquiridos reconheceram que as multas poderiam ainda conduzir a despedimentos nas respetivas empresas. À margem desta preocupação, apenas 6% das empresas do Reino Unido consideram o GDPR a sua grande prioridades, valor que sobre para os 30% em França e para os 25% no Benelux. Cerca de 20% das empresas britânicas consideram o GDPR uma prioridade baixa, uma percentagem bem mais elevada que aquela registada em França (8%) e no Benelux (11%).

O processo de preparação para o GDPR é longo. Se as autoridades se demonstrarem dispostas a impor a multa máxima em maio de 2018, as empresas vão arrepender-se seriamente de não se terem preparado a tempo.

Em cerca de 70% das empresas, é a equipa de TI ou de segurança das TI que está responsável pelo cumprimento do GDPR. O estudo da Sophos sublinhou que apenas 4% das equipas do departamento legal e 13% dos membros da direção estão encarregues da sua implementação. Muitos dos responsáveis de TI mencionam a falta de conhecimento por parte dos administradores como uma das principais razões para a ausência de alguns protocolos em vigor; e para o facto de estes não estarem preparados para reportar uma fuga de dados até 72 horas depois de esta ser descoberta (uma das regras vitais para o cumprimento do GDPR).

Existem também pontos positivos, uma vez que 65% das empresas têm vigente uma política de segurança. Cerca de 98% das empresas contam já, ou estão a implementar, planos de formação para os seus funcionários que descrevem o que é uma política de segurança de dados e explicam de eu forma os trabalhadores devem manipular estes dados sensíveis. Isto mostra que as organizações estão a promover cada vez mais a segurança dos dados no local de trabalho e a alertar os funcionários para a seriedade deste assunto. Apesar de tudo isto, existe ainda um longo caminho a percorrer.

Ricardo Maté, diretor-geral da Sophos para Portugal e Espanha