RGPD

Chegou a hora do RGPD – E agora?

Diz o provérbio antigo que “Quando Maio chegar, quem não arou tem de arar”. No terreno do novo RGPD, isto assenta na perfeição. Depois de, nos últimos meses, muito se ter falado sobre o Regulamento e os seus impactos, chegámos ao “momento 0"

Por Branded Content – Multicert . 21/05/2018

Chegou a hora do RGPD – E agora?

 

Mas, afinal, o que tem que ser feito?

Estamos, antes de mais, a falar de implementar medidas para prevenir falhas de segurança de informação, sendo que, no contexto do RGPD, “informação” são os dados pessoais. Para isso tem que se assegurar o básico: conhecer a informação que temos.

Por outras palavras, é preciso identificar:

  • que informação entra na empresa, com dados pessoais – saber as categorias dos dados recolhidos – e aqui não estamos “só” a falar da informação de clientes e potenciais clientes, mas também da informação dos recursos humanos da organização;
     
  • por onde passa essa informação – qual o seu fluxo e onde ficam armazenados os dados – o que inclui identificar as pessoas que tratam da informação, o software e o hardware por onde a mesma passa, onde é tratada e onde fica registada – ao longo de todo o ciclo de vida destes dados, desde o momento em que entram na organização, até ao final do seu ciclo de vida, incluindo a sua destruição.
     

O passo seguinte é fazer uma análise de risco a essa informação:

  • Identificar que ameaças podem afetar os diferentes fluxos de informação – que serão com certeza diferentes de fluxo para fluxo;
     
  • Medir a probabilidade e impacto que cada ameaça pode implicar na proteção dos dados. A organização desta informação e a análise de risco permitem ter uma abordagem estruturada e sistémica, orientada aos três pilares chave – pessoas, processos e tecnologia. Possibilita igualmente uma identificação mais clara dos processos críticos e dá o input crucial para determinar quais as áreas de intervenção prioritária.
     

Nomeadamente ao nível de:

  • Pessoas – é, ou não, necessário melhorar os níveis de awareness / dar formação sobre segurança de informação e proteção de dados, bem como a quem deve ser dada essa formação e com que prioridade;
     
  • Processos – quais os processos mais críticos em termos de tratamento de dados pessoais e quais os que necessitam de revisão ao nível das políticas e organização da segurança de informação e da conformidade com o novo Regulamento – permite identificar não só os processos de negócio críticos, bem como a segurança nas Operações e em áreas como os RH, Marketing e Vendas, que tipicamente lidam com este tipo de dados;
     
  • Tecnologia – identificar e prioritizar medidas que sejam necessárias, em áreas como a gestão de ativos, o controlo de acessos, criptografia, segurança física, segurança nas comunicações, a aquisição, desenvolvimento e manutenção de sistemas – incluindo a gestão de fornecedores (nomeadamente dados que são passados de e para sistemas externos à organização) –, a gestão de incidentes de segurança da informação e a gestão da continuidade de negócio.

 

Pode parecer um mundo mas, por um lado, estes levantamentos conseguem ser feitos num espaço de tempo relativamente rápido – o mais importante é começar e ter alguém responsável por manter o foco. Estes levantamentos dão-nos também as evidências fundamentais de que a empresa já está a fazer o caminho para cumprir com a nova regulamentação. Por outro lado, a experiência diz-nos que só cerca de 20% dos processos são críticos, pelo que é por esses que importa começar, de imediato, a intervir. O benefício desta abordagem é que, ao cumprirmos com a regulamentação, estamos não só a proteger as pessoas – os nossos clientes e os nossos RH – mas também a proteger o nosso negócio e a continuidade do mesmo.

 

 

Branded Content

Artigo produzido por MediaNext para  Multicert

 
 
Tags
multicert rgpd segurança dados

RECOMENDADO PELOS LEITORES

Investimento em cibersegurança em Portugal deverá chegar aos 250 milhões de euros
Segurança

Investimento em cibersegurança em Portugal deverá chegar aos 250 milhões de euros

Ataques com IA são o principal risco para as organizações
Segurança

Ataques com IA são o principal risco para as organizações

REVISTA DIGITAL

IT INSIGHT Nº 52 Novembro 2024

IT INSIGHT Nº 52 Novembro 2024
EDIÇÕES ANTERIORES

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

+ VISITADAS

O futuro da cibersegurança europeia com NIS2 e DORA

PARTNERS . 08/11/2024

Sustentabilidade e IA impulsionam novos negócios em infraestruturas digitais

DIGITAL . 19/11/2024

OpenAI inova com técnica de raciocínio em tempo real

IT STRATEGY . 13/11/2024

Como transformar o negócio com inteligência artificial

IN DEEP . 08/11/2024

Apenas 21% das empresas apostam na tecnologia para reduzir pegada ambiental

DIGITAL . 16/11/2024

+ NOTÍCIAS

Ataques com IA são o principal risco para as organizações

SEGURANÇA . 05/11/2024

Investimento em cibersegurança em Portugal deverá chegar aos 250 milhões de euros

SEGURANÇA . 31/10/2024

47% das empresas portuguesas não tem conhecimento sobre a NIS2

SEGURANÇA . 19/10/2024

Ciberatacantes estão a utilizar IA para gerar malware

SEGURANÇA . 12/10/2024

Maioria das empresas considera IA um benefício para a segurança

SEGURANÇA . 02/10/2024

ITInsight
Logo IT-Insight Logo IT-Channel Logo IT-Security Logo Smart Planet Logo Tecno Hotel
Logo Media Next Logo Linkedin
Copyright © 2013 - 2024 Media Next . All Rights Reserved
O nosso website usa cookies para garantir uma melhor experiência de utilização.