Exige-se ética e sugere-se ponderação

Aos fornecedores de soluções e serviços às empresas pede-se ética, nos projectos de conformidade com o regulamento europeu de protecção de dados.

MRCW

Com o prazo de adopção e definidos os vários riscos por incumprimento, prevê-se o surgimento de fornecedores com soluções ilusórias, interessados em aproveitar a pressão sobre as organizações. Face à urgência e os benefícios gerais da conformidade com o regulamento, exige-se ética de negócio aos fabricantes.

O risco envolve uma implantação perigosamente distorcida dos objectivos da legislação proposta pela União Europeia.

(O presente artigo pertence a um conjunto de seis, que reflectem um debate organizado pelo Computerworld, sobre o novo regulamento geral europeu de protecção de dados e desafios associados à sua adopção por parte das empresas portuguesas).
António Rio Costa_UTAD_MesRedCompWor_027JEC

António Rio Costa

CW ‒ O que se espera de um fabricante ou parceiro tecnológico nestas situações?

António R. Costa (Universidade de Trás-os-Montes e Alto Douro) ‒ Que não se aproveite da situação.

João Rato (Micro Focus) ‒ Mas isso vai acontecer.

Miguel Jacinto (BIC) ‒ O mercado também deverá regular a situação.

António R. Costa ‒ Se as pessoas e as entidades não estiverem suficientemente maduras para fazer o investimento de forma clarificada e a classificação…o prazo de dois anos vai ser curto. As organizações tendem a dar passos em falso ao tentarem adaptar-se o mais rapidamente possível. Saber ponderar vai ser muito importante.

Pode resultar numa situação muito pior do que o estado Vamos ter uma regulação mal cumprida e um problema ainda mais difícil de compor.

João Stott (Timwe) ‒ Já ouvi um auditor dizer que ISO só por si não é para quem quer, é para quem pode.

E vai ser preciso muito cuidado, com as empresas de serviços que vão surgir. Será preciso “empowerment” ou capacitação e orçamento para lidar com isso.

Tolentino Martins (NAV) ‒ Vão surgir especialistas de segurança como nascem cogumelos!

CW ‒ Como é que os fabricantes podem ajudar mais?

João Stott_MesRedCompWor_036JEC

João Stott

João Stott ‒ Como CISO, nós também vamos ajudá-los por que isto está encadeado e também nos interessa que eles estejam em conformidade. Há a questão de quem fica com o respectivo controlo, quem conseguirá transferir o risco e de modo a este ser aceite.

Quando ele não for aceite terá de haver uma negociação com todos os “stakeholders”. O mais importante é beneficiar toda cadeia.

Ricardo Martins (Universidade de Aveiro) ‒ No plano prático a implantação representa dificuldades sérias. Perguntando -se à maioria das empresas portuguesas, o que é a norma ISO 27001 poucas sabem dizer o que é.

Haverá excepções [no regulamento] para as PME quando o tratamento da informação é manual. Mas na generalidade o regulamento aplica-se a todas.

E não existem muitas empresas a fazerem serviços de implantação do ISO 27 0001.

Miguel Jacinto ‒ Há empresas de consultoria focadas nos processos e muitas vezes a ponte com a tecnologia acaba por falhar.

Ricardo Martins ‒ As empresas com oferta abrangente olham para isto de forma agregada, sem ser para vender apenas storage. Com dois anos para haver competência do lado dos fornecedores, adaptação e depois implantação, devem surgir ‘muitos negócios da China’.
Escolher bem vai ser difícil, porque o tema entrou na ordem do dia.

CW ‒ Há algum papel especial ou específico para o Estado nisto?

Ricardo Martins ‒ O Estado já tem promovido a conformidade com a União Europeia. A Agência para a Modernização Administrativa (AMA) tem financiado projectos na área da segurança.

Para o Estado é muito importante que haja financiamento até porque a AP tem sofrido cortes de financiamento muito importantes. Pode ser interessante se for através da AMA, para criar competências.

Tolentino Martins ‒ No meio deste processo de adaptação era bom que houvesse uma visão holística sobre pessoas, processos e tecnologia. E que falassem uns com os outros [os organismos], para não se gastarem rios de recursos ingloriamente e depois os sistemas não funcionarem uns com os outros.

Ricardo Martins_MesRedCompWor_085JEC

Ricardo Martins

Ricardo Martins ‒ Um dos benefícios que já alcançámos no consórcio é ter a perspectiva da cooperação. Da partilha de conhecimento e capacidade para partilhar e criar soluções que se adaptem à várias realidades de organizações com estado de maturidade completamente diferente entre elas.

O consórcio permitiu-nos dar passos muito grandes que sozinhos não conseguiríamos.

CW ‒ É uma experiência que pode ser replicada para outras esferas da Administração Pública?

Ricardo Martins ‒ Nós temos dialogado com a AMA e entidades do ensino superior, exactamente para que os modelos produzidos, sejam replicáveis, com adaptação para os outros organismos. Se não, o país vai gastar muito mais dinheiro, do que precisaria.

O consórcio já foi alargado de quatro para mais universidades, temos uma experiência de dois anos e meio. É um desafio fazer a gestão dele, mas o ganhos são imensos.

CW ‒ Como é que os parceiros tecnológicos podem ajudar mais, Miguel?

Miguel Jacinto ‒ Estamos a fazer um trabalho interno para definir o que precisamos, com base nos pareceres da áreas jurídicas, de “compliance” e de TIC.

Os nossos parceiros, conhecedores da nossa realidade e de outros projectos podem trazer soluções. Embora eu não tenha dúvidas de que cada caso será um caso e os parceiros vão ter de fazer um “fato à medida para cada uma dos clientes. Na banca há sinergias internas que se podem aproveitar.

Os nossos parceiros são quem nos diz que não precisamos de uma coisa porque já existe um sistema em funcionamento. Convém criar uma plataforma única porque há sistemas que podem inibir outros e isso cria entropia ao negócio.

CW ‒ Na sua visão Carlos, o que será fundamental os tecnológicos oferecerem aos clientes?

Carlos Barbero ‒ Nós na NetIQ tentamos desenvolver soluções para cobrir diferentes áreas. E por exemplo para as necessidade relativas a risco, estamos a propor ferramentas de governação de TI.

Carlos Barbero_MesRedCompWor_006JEC

Carlos Barbero

É possível com elas levar que, a cada seis meses, os responsáveis de departamentos façam uma revisão dos privilégios de acesso dos utilizadores, e validem as permissões. Serve ainda para definir logo na parte de conformidade as funções. As pessoas de “compliance” é que sabem mais disso.

Abordamos também o tema dos acessos, com tecnologia de autenticação dinâmica e processos de verificação de segurança baseada numa série de factores.

Há outra área da nossa oferta que tem a ver com protecção de dados mais clássica, baseada em soluções de SIEM. Também estamos a endereçar a protecção de dados com requisitos de alto grau, para o que apresentamos soluções de monitorização de mudanças.

O novo regulamento é muito severo quanto à gestão de acessos. As organizações precisam de ter capacidade de saber o que utilizadores acedem e a quê.

Não tem a ver apenas com gestão das permissões, mas com monitorização física do acesso. Faz sentido ter uma ferramenta externa, por exemplo com o Sharepoint, para perceber cada vez que acontece uma mutação, no acesso.

João Rato ‒ Eu vejo o mercado com bastante potencial. Vai exigir uma atitude ética porque haverá tentativas de aproveitamento, por haver um prazo estabelecido. Para quem está na “primária da segurança” vai ser pesado.

Pode haver investimento gorado que nem assegura a conformidade porque as empresas não têm os processos.

Tolentino Martins ‒ E há outro assunto perverso: que empresas têm competências para avaliar uma proposta sobre segurança da informação?

João Rato ‒ Sozinhas as PME nunca vão ter, capacidade crítica para abordar temas destes. Tem de haver associação.

CW ‒ A certificação dos parceiros de fabricantes ganha também uma grande importância, não é?

João Rato ‒ É fundamental.

CW ‒ Há também o risco de os fabricantes não conseguirem dar resposta se as empresas deixarem a preparação para os últimos meses?

João Rato ‒ Nós vamos ter de promover e falar com as organizações, para alertar.

Ricardo Martins ‒ As associações têm de estar alertas, é verdade. Mas conhecendo os seus direitos, os cidadãos também podem ser o factor mais decisivo de pressão.




Deixe um comentário

O seu email não será publicado