RGPD

Chegou a hora do RGPD – E agora?

Diz o provérbio antigo que “Quando Maio chegar, quem não arou tem de arar”. No terreno do novo RGPD, isto assenta na perfeição. Depois de, nos últimos meses, muito se ter falado sobre o Regulamento e os seus impactos, chegámos ao “momento 0"

Por Branded Content – Multicert . 21/05/2018

Chegou a hora do RGPD – E agora?

 

Mas, afinal, o que tem que ser feito?

Estamos, antes de mais, a falar de implementar medidas para prevenir falhas de segurança de informação, sendo que, no contexto do RGPD, “informação” são os dados pessoais. Para isso tem que se assegurar o básico: conhecer a informação que temos.

Por outras palavras, é preciso identificar:

  • que informação entra na empresa, com dados pessoais – saber as categorias dos dados recolhidos – e aqui não estamos “só” a falar da informação de clientes e potenciais clientes, mas também da informação dos recursos humanos da organização;
     
  • por onde passa essa informação – qual o seu fluxo e onde ficam armazenados os dados – o que inclui identificar as pessoas que tratam da informação, o software e o hardware por onde a mesma passa, onde é tratada e onde fica registada – ao longo de todo o ciclo de vida destes dados, desde o momento em que entram na organização, até ao final do seu ciclo de vida, incluindo a sua destruição.
     

O passo seguinte é fazer uma análise de risco a essa informação:

  • Identificar que ameaças podem afetar os diferentes fluxos de informação – que serão com certeza diferentes de fluxo para fluxo;
     
  • Medir a probabilidade e impacto que cada ameaça pode implicar na proteção dos dados. A organização desta informação e a análise de risco permitem ter uma abordagem estruturada e sistémica, orientada aos três pilares chave – pessoas, processos e tecnologia. Possibilita igualmente uma identificação mais clara dos processos críticos e dá o input crucial para determinar quais as áreas de intervenção prioritária.
     

Nomeadamente ao nível de:

  • Pessoas – é, ou não, necessário melhorar os níveis de awareness / dar formação sobre segurança de informação e proteção de dados, bem como a quem deve ser dada essa formação e com que prioridade;
     
  • Processos – quais os processos mais críticos em termos de tratamento de dados pessoais e quais os que necessitam de revisão ao nível das políticas e organização da segurança de informação e da conformidade com o novo Regulamento – permite identificar não só os processos de negócio críticos, bem como a segurança nas Operações e em áreas como os RH, Marketing e Vendas, que tipicamente lidam com este tipo de dados;
     
  • Tecnologia – identificar e prioritizar medidas que sejam necessárias, em áreas como a gestão de ativos, o controlo de acessos, criptografia, segurança física, segurança nas comunicações, a aquisição, desenvolvimento e manutenção de sistemas – incluindo a gestão de fornecedores (nomeadamente dados que são passados de e para sistemas externos à organização) –, a gestão de incidentes de segurança da informação e a gestão da continuidade de negócio.

 

Pode parecer um mundo mas, por um lado, estes levantamentos conseguem ser feitos num espaço de tempo relativamente rápido – o mais importante é começar e ter alguém responsável por manter o foco. Estes levantamentos dão-nos também as evidências fundamentais de que a empresa já está a fazer o caminho para cumprir com a nova regulamentação. Por outro lado, a experiência diz-nos que só cerca de 20% dos processos são críticos, pelo que é por esses que importa começar, de imediato, a intervir. O benefício desta abordagem é que, ao cumprirmos com a regulamentação, estamos não só a proteger as pessoas – os nossos clientes e os nossos RH – mas também a proteger o nosso negócio e a continuidade do mesmo.

 

 

Branded Content

Artigo produzido por MediaNext para  Multicert

 
 
Tags
multicert rgpd segurança dados

RECOMENDADO PELOS LEITORES

Divulgados mais de 54 mil milhões de cookies
Segurança

Divulgados mais de 54 mil milhões de cookies

Ciberameaças aumentam investimentos em cibersegurança das empresas europeias
Segurança

Ciberameaças aumentam investimentos em cibersegurança das empresas europeias

REVISTA DIGITAL

IT INSIGHT Nº 48 Março 2024

IT INSIGHT Nº 48 Março 2024
EDIÇÕES ANTERIORES

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

+ VISITADAS

Integração de IA generativa com digital twins pode ser chave para evolução da indústria transformadora

OPERAÇÃO . 04/04/2024

Cinco passos para as empresas se adaptarem à Lei da IA da União Europeia

IT STRATEGY . 08/04/2024

IA reduzirá a força de trabalho dentro de cinco anos

IT STRATEGY . 08/04/2024

Big Tech vão estudar como a IA pode afetar empregos

DIGITAL . 09/04/2024

Salesforce apresenta novas capacidades de automação de IA e integração no MuleSoft

INOVAÇÃO . 10/04/2024

+ NOTÍCIAS

Divulgados mais de 54 mil milhões de cookies

SEGURANÇA . 06/04/2024

Ciberameaças aumentam investimentos em cibersegurança das empresas europeias

SEGURANÇA . 26/03/2024

Como a IA generativa vai impactar o DevSecOps

SEGURANÇA . 11/03/2024

Meta procura combater desinformação nas eleições europeias

SEGURANÇA . 27/02/2024

Identidade digital está a ser alvo de ciberataques

SEGURANÇA . 25/02/2024

ITInsight
Logo IT-Insight Logo IT-Channel Logo IT-Security Logo Smart Planet Logo Tecno Hotel
Logo Media Next Logo Linkedin
Copyright © 2013 - 2024 Media Next . All Rights Reserved
O nosso website usa cookies para garantir uma melhor experiência de utilização.