Elsa Veloso, advogada, especialista em privacidade de dados e segurança da informação e CEO da DPO Consulting, aborda os desafios presentes e futuros da proteção de dados e segurança da informação no digital.
Grande Consumo – À medida que a introdução do digital nos hábitos quotidianos se apresenta como uma realidade incontornável, existem, contudo, alguns riscos associados à sua proliferação. Quais são, de forma resumida, os principais desafios colocados às transações digitais no presente momento?
Elsa Veloso – São várias as esferas sobre as quais poderemos analisar este tópico, pelo que irei cingir-me aos desafios referentes aos dados e informações pessoais.
A União Europeia está a regular cada vez mais a transferência de dados, na qual assenta a Indústria 4.0. A circulação de dados – de informação pessoal ou de negócio –, que acontece aquando de qualquer transação digital, vem, efetivamente, colocar um conjunto de desafios, cujo entendimento antecipado do alcance, dimensão e oportunidade constituirá um fator decisivo para qualquer organização, podendo dar origem a uma reorganização da cadeia de valor da indústria, nomeadamente, ao nível dos “players”.
Na verdade, no panorama regulatório atual, temos em vigor no espaço europeu o Regulamento Geral de Proteção sobre Dados (RGPD) que impõe medidas que obrigam a definir, documentar e implementar processos, a implementar estruturas de “governance”, bem como formar e sensibilizar os colaboradores da necessidade de alteração de comportamentos de risco face às ameaças da segurança da informação e às ainda mais críticas ameaças cibernéticas provenientes da interligação global, do fim das fronteiras e perímetros físicos das organizações e da reduzida maturidade das organizações face a estes riscos.
Estão em vigor leis que vêm obrigar à adoção de um conjunto de medidas que garantam a resiliência e uma mitigação do risco de ataques, em conjunto com a capacidade de responder adequadamente e repor os níveis de serviço num espaço de tempo definido e aceitável.
Foi já apresentado pelo Centro Nacional de Cibersegurança o quadro de referência de Cibersegurança, que é a base da conformidade para as organizações e empresas europeias (Programa de Certificação da ENISA – Agência Europeia de Cibersegurança), de forma a poderem demonstrar evidências na chamada “Digital Trust” ou confiança digital, perante os seus parceiros de negócio no mercado único europeu, medida basilar da Comissão Europeia para o aumento da competitividade da Europa face ao panorama EUA/China.
Cumprir toda esta regulamentação pelas organizações é o maior de todos os desafios no presente momento.
“O constante aumento do número de ataques cibernéticos, com consequências financeiras significativas, alerta para a necessidade de incluir o risco de ataques cibernéticos e violações de dados (pessoais, de negócio ou de propriedade intelectual) na análise de risco corporativa”
GC – Black Friday, Cyber Monday e Natal são algumas das efemérides que geram inúmeras transações de bens e serviços. São, igualmente, alturas de risco acrescido, no que diz respeito à integridade dos dados dos consumidores? Ou o risco é algo que existe, independentemente do pico de utilização das infraestruturas?
EV – O constante aumento do número de ataques cibernéticos, com consequências financeiras significativas, alerta para a necessidade de incluir o risco de ataques cibernéticos e violações de dados (pessoais, de negócio ou de propriedade intelectual) na análise de risco corporativa, sob pena da estratégia das empresas estar a ser definida ignorando um crescente fator de disrupção.
As maiores empresas do sector, maduras nas suas políticas e processos internos, mais poderosas financeiramente, estão progressivamente a aumentar o grau de rigor no processo de seleção dos seus parceiros e fornecedores (por exemplo, novos contratos e adendas para subcontratantes com base no RGPD e realização de auditorias), o que se traduz numa crescente exigência, baseada em evidências de responsabilidade demonstrada, confiança e resiliência. As empresas maiores sabem que o risco é algo que existe sempre, talvez acrescido no pico de utilização das infraestruturas.
GC – É possível pensar no comércio eletrónico e na sua expansão crescente sem pensar, igualmente, na coexistência com ameaças que serão, necessariamente, mais complexas mediante a evolução dos sistemas transacionais?
EV – Este desafio externo vem colocar o repto às empresas, independentemente da sua área de negócio, de assumirem a decisão estratégica de serem inovadoras e proativas perante os requisitos de segurança da informação provenientes da regulação europeia e internacional.
Esta proteção, cada vez mais necessária, estende-se, naturalmente, aos parceiros e clientes de cada empresa, dada a interligação crescente dos sistemas de informação. A decisão dos líderes não é sobre “se” ,mas sim “como” e “quando” e “hoje” já não é cedo.
GC – Fishing, smishing, entre outros, são expressões que começam, pelas razões erradas, a fazer parte do nosso dia-a-dia. Que medidas podem, e devem, as empresas implementar para fazer da experiência de compra digital uma experiência positiva e segura?
EV – Cumprir todas as regulamentações existentes em matéria de privacidade, proteção de dados e segurança da informação, terem fornecedores conhecedores das melhores soluções e constituírem equipas mistas, internas e externas, altamente qualificadas nesta área.
“Só uma excelente reputação pode ser o alicerce da confiança e a chave para a fidelização de consumidores, conquista de novos clientes e para o aumento da quota de mercado”
GC – A promoção de uma experiência de compra segura é um fator crítico para que os operadores mantenham a sua reputação? Pode-se retirar o fator reputação da dimensão de serviço prestado por um determinado operador? Comprar na Internet é também um fator de confiança? A credibilidade de um operador é um fator crítico de sucesso na era digital?
EV – A credibilidade, notoriedade e “goodwill” são o ativo mais valioso e crítico de qualquer marca e organização. Só uma excelente reputação pode ser o alicerce da confiança e a chave para a fidelização de consumidores, conquista de novos clientes e para o aumento da quota de mercado.
GC – A profusão dos serviços prestados baseados em plataformas tecnológicas irá, igualmente, potenciar mudanças no mercado de trabalho? Novas necessidades de resposta obrigam a outro tipo de qualificações e, por consequência, novas competências ao nível da formação, do ensino e da empregabilidade?
EV – Sem dúvida. Julgo que o principal desafio diferencial estará sempre mais ao nível das “soft skills”, desde logo, competências aparentemente simples, como sejam a gestão do tempo, a autonomia, a capacidade de gerar ao empregador confiança. Todas estas competências vão ser cruciais na valorização dos profissionais.
Paralelamente, é intrínseca a necessidade de um domínio absoluto das tecnologias, quer as existentes, quer a adaptação às novas tecnologias. É obrigatória uma plasticidade mental para aprender e ensinar, a capacidade de gerar empatia com a intermediação dos ecrãs, para além do entendimento de ferramentas específicas, como é o caso atual, por exemplo, de routers, VPN´s e todas as tecnologias de trabalho à distância.
GC – A implementação do RGPD já se encontra devidamente concretizada em Portugal?
EV – O RGPD veio regular, no âmbito da União Europeia, o tratamento de dados pessoais e a segurança dos sistemas de informação. Este regulamento acarreta mudanças e avanços significativos na segurança e gestão da privacidade individual e coletiva, afetando todas as organizações no espectro do tratamento de dados de cidadãos europeus. Falamos de um contributo essencial para a reputação e credibilidade das organizações, ao fornecer bases e diretrizes essenciais para implementarem.
Em Portugal, existem graus de maturidade bastante distintos entre as organizações e nos diversos sectores do nosso tecido empresarial. De forma geral, as empresas de maior dimensão e as multinacionais estão já em fase de melhoria contínua, de auditorias a terceiros e com uma performance avançada nesta área. Por oposição, as pequenas e médias empresas apresentam uma maior variação nos níveis de preparação e nos processos de implementação.
O caminho percorrido neste campo está a ser globalmente positivo, contudo, temos ainda um longo percurso conjunto pela frente. Há que continuar a ter como bússola a literacia tecnológica, a segurança e a obrigatoriedade do RGPD, dado que as multas são reais e estão a ser aplicadas. Apenas desta forma poderemos continuar a seguir o rumo certo.
