RGPD

Chegou a hora do RGPD – E agora?

Diz o provérbio antigo que “Quando Maio chegar, quem não arou tem de arar”. No terreno do novo RGPD, isto assenta na perfeição. Depois de, nos últimos meses, muito se ter falado sobre o Regulamento e os seus impactos, chegámos ao “momento 0"

Chegou a hora do RGPD – E agora?

Mas, afinal, o que tem que ser feito?

Estamos, antes de mais, a falar de implementar medidas para prevenir falhas de segurança de informação, sendo que, no contexto do RGPD, “informação” são os dados pessoais. Para isso tem que se assegurar o básico: conhecer a informação que temos.

Por outras palavras, é preciso identificar:

  • que informação entra na empresa, com dados pessoais – saber as categorias dos dados recolhidos – e aqui não estamos “só” a falar da informação de clientes e potenciais clientes, mas também da informação dos recursos humanos da organização;
     
  • por onde passa essa informação – qual o seu fluxo e onde ficam armazenados os dados – o que inclui identificar as pessoas que tratam da informação, o software e o hardware por onde a mesma passa, onde é tratada e onde fica registada – ao longo de todo o ciclo de vida destes dados, desde o momento em que entram na organização, até ao final do seu ciclo de vida, incluindo a sua destruição.
     

O passo seguinte é fazer uma análise de risco a essa informação:

  • Identificar que ameaças podem afetar os diferentes fluxos de informação – que serão com certeza diferentes de fluxo para fluxo;
     
  • Medir a probabilidade e impacto que cada ameaça pode implicar na proteção dos dados. A organização desta informação e a análise de risco permitem ter uma abordagem estruturada e sistémica, orientada aos três pilares chave – pessoas, processos e tecnologia. Possibilita igualmente uma identificação mais clara dos processos críticos e dá o input crucial para determinar quais as áreas de intervenção prioritária.
     

Nomeadamente ao nível de:

  • Pessoas – é, ou não, necessário melhorar os níveis de awareness / dar formação sobre segurança de informação e proteção de dados, bem como a quem deve ser dada essa formação e com que prioridade;
     
  • Processos – quais os processos mais críticos em termos de tratamento de dados pessoais e quais os que necessitam de revisão ao nível das políticas e organização da segurança de informação e da conformidade com o novo Regulamento – permite identificar não só os processos de negócio críticos, bem como a segurança nas Operações e em áreas como os RH, Marketing e Vendas, que tipicamente lidam com este tipo de dados;
     
  • Tecnologia – identificar e prioritizar medidas que sejam necessárias, em áreas como a gestão de ativos, o controlo de acessos, criptografia, segurança física, segurança nas comunicações, a aquisição, desenvolvimento e manutenção de sistemas – incluindo a gestão de fornecedores (nomeadamente dados que são passados de e para sistemas externos à organização) –, a gestão de incidentes de segurança da informação e a gestão da continuidade de negócio.

 

Pode parecer um mundo mas, por um lado, estes levantamentos conseguem ser feitos num espaço de tempo relativamente rápido – o mais importante é começar e ter alguém responsável por manter o foco. Estes levantamentos dão-nos também as evidências fundamentais de que a empresa já está a fazer o caminho para cumprir com a nova regulamentação. Por outro lado, a experiência diz-nos que só cerca de 20% dos processos são críticos, pelo que é por esses que importa começar, de imediato, a intervir. O benefício desta abordagem é que, ao cumprirmos com a regulamentação, estamos não só a proteger as pessoas – os nossos clientes e os nossos RH – mas também a proteger o nosso negócio e a continuidade do mesmo.

 

 

Branded Content

Artigo produzido por MediaNext para  Multicert

 

 
Tags

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT INSIGHT Nº 15 Outubro 2018

IT INSIGHT Nº 15 Outubro 2018

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.