Saber do risco e impor requisitos

Para as PME, os desafios não são desprezíveis e o associativismo surge como opção, mais do que o outsourcing.

MRCW

Se a ameaça das multas não chegar para abalar as administrações, a análise de risco será a única forma de garantir financiamento, para garantir a conformidade com o regulamento geral europeu de protecção de dados. Os custos não são desprezíveis, sobretudo para a PME ,que precisam de evoluir  muito para apanhar esse “comboio”.

Os requisitos de segurança têm de se impor logo à partida, e para obter capacidade, o associativismo pode dar músculo às empresas menos preparadas.

(O presente artigo pertence a um conjunto de seis, que reflectem um debate organizado pelo Computerworld, sobre o novo regulamento geral europeu de protecção de dados e desafios associados à sua adopção por parte das empresas portuguesas).

CW – Há o desafio de perceber como se afina o investimento e como calculam as vantagens, portanto.

Miguel Jacinto_BIC_MesRedCompWor_046JEC

Miguel Jacinto

Ricardo Martins (Universidade de Aveiro) – Agora há uma lei que diz «vocês têm que fazer, porque se não fizerem têm penalidades». Mas quando não há, é sempre difícil justificar os investimentos.
É uma dificuldade imensa. Falo pela nossa experiência.

CW – E agora será mesmo mais fácil?

Ricardo Martins – Não será mais fácil…

Miguel Jacinto (BIC) – Depende das análises de risco que são feitas.

Tolentino Martins (NAV) – E tem a ver com o “risk assessment” [avaliação de risco]. A única maneira de justificar investimento em segurança é com ‘risk assessment’. Não conheço outra.

João Stott (Timwe) – Contudo, um “risk assessment” que não traduza impactos financeiros, não está bem feito. Podemos ter os nossos controlos, ter em conta o risco inerente, somar tudo, saber até qual é risco remanescente. Mas se eu não conseguir quantificar o impacto financeiro… E tudo pode ser quantificado. A ISO 27001 obriga a isso mesmo. Uma análise de risco e depois uma revisão pela gestão a dizer: “este risco é aceite e aquele não é”.

Tolentino Martins – De acordo com a política de segurança da organização, do seu nível de risco e do seu “risk apetit”.

CW – E há ainda o desafio de conseguir personalizar a oferta, usando os dados que se recolheu do cliente e respeitando o regulamento. Ou isso não é uma questão assim tão importante?

João Stott – Mais uma vez, não é um tema novo. Mas os CISO e os CSO têm de aproveitar esta onda, nomeadamente para a classificação da informação. Eu gosto de começar simples ter os controlos maduros e, depois sim, evoluir.

Mas não avançar para algo muito robusto que depois não consigo cumprir. Na realidade nós nunca na vida seremos os detentores do dados.

Temos equipas que são os “data custodians”, que é quem armazena e gere os dados. Mas o dono dos dados é um negócio que nos vai dizer como são classificados.

E este tipo de exercício, este tipo de “awareness” é importantíssimo nas organizações. Tem a ver com um ciclo, ou seja, tem a ver com o nível de maturação a atingir. Isso implanta-se com programas específicos.

Tolentino Martins – Implanta-se incidindo em três vectores: pessoas, processos e infra-estruturas. Se nos esquecermos de algum destes, não vale a pena.

CW – António, o que pode acrescentar sobre esta área?

António Rio Costa MesRedCompWor_029JEC

António Rio Costa

António R. Costa (UTAD) – Preocupa-me o “risk assessment”, na organização a que pertenço. Parece-me um bocado custoso e difícil de ver, como é que uma organização que é académica normalmente e dá pouco valor à informação, mas valoriza a imagem, poderá colocar o tema em cima da mesa e executar.

A gestão da identidade e o seu ciclo de vida deverão ser preocupações muito claras. Também há a questão do “authoring” à volta destas situações, acho que é por aí que se deve começar: as pessoas, processos e infra-estruturas, ligadas ao ‘risk assessment’ da identidade.

[Importa saber] como é que uma identidade flui na organização, e como é que ela vive, como é que eu faço a gestão do ciclo de vida? Como é que eu associo informação ou dados a uma pessoa em determinado ponto da vida? O que é eu deixo de considerar crítico ou não, independentemente do estágio dessa identidade? Só depois é que eu me posso preocupar com o exterior. É a chamada de atenção que a regulamentação traz.

CW – Essa chamada não chega sem impacto no orçamento de segurança dos sistemas de informação. Com que ordem de grandeza? Têm isso estipulado?

António R. Costa ‒ É uma pergunta que não se deve fazer.

CW – Não? Porquê?

António R. Costa – Sabemos que vai ter impacto, agora depende do estado de maturidade de cada uma das instituições, em primeiro lugar. Se as entidades fazem gestão do ciclo de vida já…

CW – Já evoluíram?

António R. Costa – Já estão preocupadas com a segurança da informação. Mas legalmente segurança dos dados é diferente da segurança de informação. Depende do estado de maturidade das entidades.

CW – Mas devemos assumir, como ponto de partida que a maturidade não é muita entre as organizações portuguesas, não é?

António R. Costa – No ensino superior não conheço nenhuma instituição que não faça ‘life cycle management’, embora com diferenças entre organizações. A nossa autonomia permite que não nos regulemos todos da mesma maneira.

De forma mais ou menos madura, faz-se. Tenho dúvidas sobre como nos vamos adaptar.

Tolentino Martins – Podemos começar a lidar com isto internamente e depois podemos quando vamos à procura de produtos ou serviços, colocando os requisitos de segurança que pretendemos para a organização. Pôr requisitos de segurança num produto que já está em produção é…

João Stott_MesRedCompWor_042JEC

João Stott

João Stott –Impraticável.

Tolentino Martins – Os custos são…. [enormes] E chegamos ao…

CW – “Privacy by design” ou desenho orientado à privacidade?

Tolentino Martins – Mais do que ‘Privacy by Design’, é…

Miguel Jacinto – É ‘By default’ [por omissão].

Tolentino – ‘By design’ e ‘By default’, tem que ser das duas formas.

Miguel Jacinto – Tem que estar no ADN dos produtos…

João Rato – As organizações têm de se associar. Criar grupos multi-organização. Porque se uma organização estiver só, não é possível.

CW – Já há partilha de boas práticas, ou não…

João Rato – Não, em comunidade, era preciso haver uma associação ou…

Tolentino Martins – O sector já faz isso com o EAL4 e o EAL4+, as certificações de segurança de plataformas.

João Rato – Sem dúvida. Eu pensei que estivesse a falar de aspectos ainda mais específicos.

Tolentino Martins – Não, eu estava a falar, no caso das PME, que quando vão adquirir algum produto. Mas se me perguntar se têm capacidade para o fazer, aí já tenho grandes dúvidas.

João Rato – Pois têm de se associar. Não há outra forma.

Ricardo Martins – Do ponto de vista das universidades, já não somos propriamente instituições pequenas, e mesmo assim muitas vezes temos dificuldade em lidar com estas coisas.
Por isso é que fizemos este consórcio, porque temos muito mais capacidade, digamos, de influência.

CW – Considerando o estado de maturidade dos bancos, o tema ainda terá um grande impacto no orçamento de segurança de TI?

Miguel Jacinto – Terá algum. Quando se trabalha com margens muitos estreitas, tudo tem impacto.

Obviamente já temos algum caminho andado, por exemplo na anonimização dos dados, sujeitos a uma série de obrigações legais. Estas obrigam a anonimizar os dados dos clientes e os dados considerados críticos.

Aqueles que, no seu conjunto, ou per se, podem potenciar um qualquer tipo de fraude: dados de cartão de crédito, por exemplo. Mas precisamos de em conjunto com os parceiros tecnológicos da empresa, perceber o que já temos.

Para não estar a duplicar esforços e depois ficarmos com peças soltas.  A informação é transversal à empresa e a segurança da informação também tem ser.

Nos processos temos de saber se a tecnologia serve para cumprir com a legislação, ou se é preciso fazer actualizações. Nisto as áreas de negócio são críticas por que trazem “inputs” positivos sobre a utilização dos dados e para que servem.

CW ‒ Acha que vai precisar de muito mais dinheiro, João?

João Stott ‒ Tem de haver bom senso mas obviamente que vai haver um impacto. Sobretudo quando há pessoas, processos que vão ter de ser acomodados.

Mas nós já estamos certificados com ISO 27001. No qual obriga a objectivos claros de melhoria contínua. Isto é auditado. Cada vez que vamos para o mercado internacional, consigo em virtude disso, responder com relativa facilidade quando os clientes apresentam-nos requisitos de segurança.

E vão começar a surgir requisitos de conformidade com as normas da União Europeia.

João Rato_Micro Focus_MesRedCompWor_050JEC

João Rato

Miguel Jacinto ‒ O João [Stott] tocou num assunto importante. Tem de haver rastreabilidade, o processo tem de ser auditável. Tanto para as empresas de tecnologia como para os clientes o “audit trail” será fundamental para comprovar o cumprimento de critérios universais.

Tolentino Martins ‒ Eu não tenho grandes dúvidas que o regulamento vai ter custos. E no casos das PME vão ser grandes.

CW – Diz isso baseado no estado de maturidade das empresas?

Tolentino Martins ‒ Implantar uma aproximação mínima à norma 27000 não é possível sem custos. Mas uma coisa serão os “custos de entrada” da “compliance”, da conformidade, e outra os de manutenção.

E não a vale a pena fazer o “risk assesment” uma vez por ano. Porque o quadro muda muito rapidamente.

CW ‒ Acha que o regulamento vem promover o outsourcing das operações de segurança? Será uma via mais fácil para as PME?

Tolentino Martins ‒ De um certo ponto de vista é mais fácil. Mas há custos impossíveis de eliminar: os de “compliance”, das pessoas, dos processos e das infra-estruturas, para chegar a determinado estádio.

Esse processo pode é ser mais ou menos faseado. Mais abrangente ou mais restrito. Cada entidade tem de olhar para si, definir a sua política de informação e segui-la. E de maneira a não neutralizar o negócio.

CW ‒ E quanto mais depressa começar melhor.

Tolentino Martins ‒ Claro.

João Rato ‒ Há aqui uma oportunidade para os CISO das grandes organizações, ao terem mais aporte para justificar mais investimentos, que hoje não conseguem.

Miguel Jacinto ‒ E é uma clara oportunidade de negócio para os fabricantes.

João Rato ‒ É preciso a atitude correcta e colaboração porque se não, acontece no o caso do “bug do ano 2000”, com evoluções por caminhos errados.

Tolentino Martins  ‒ Mas isto são vários “bugs do ano 2000”. E vão mesmo acontecer (risos).

António Rio Costa ‒ É importante que a vontade de aproveitar a oportunidade de negócio não gore as expectativas do que se pretende.

O texto prossegue com o artigo: “Exige-se ética e sugere-se ponderação”.




Deixe um comentário

O seu email não será publicado