Pedro Fatal
03/11/2017
As organizações atuais bem como os seus colaboradores estão, cada vez mais, ligadas a definitivamente à internet. A dependência maior ou menor da internet é ubíqua e inultrapassável.
Já não é possível voltar aos anos 80 ou 90.
A forma atual de fazer negócios implica a ligação permanente à internet, criando uma exposição, sem precedentes, para as organizações. Cada vez mais, há infraestruturas físicas, aplicacionais e informais permanentemente expostas sobre o escrutínio do mercado.
Há, contudo equipamentos e soluções que nunca foram pensados para este ambiente e que continuam ligados, com proteções simples e que se tornam um alvo fácil.
Os “data breach” vendem notícias e afundam a confiança nas empresas, mercados ou pessoas.
Não havendo a possibilidade de ser feita uma supervisão eficaz, fica nas mãos de cada organização aumentar as suas defesas relativamente a eventuais tentativas de obtenção não autorizada de informação. Está nas mãos de cada pessoa, como colaborador ou como individuo optar por comportamentos seguros e efetuar escolhas que não arrisquem a sua privacidade e dos pares ou familiares.
Não basta ter o cofre-forte, é preciso saber o que proteger e implementá-lo efetivamente.
Mas, antes de haver privacidade tem que haver segurança. Ainda que possa haver segurança sem privacidade, o contrário não é verdade. Mais, a segurança e privacidade não é um tema apenas para a internet. Há contudo outros fatores que concorrem para a minimização dos “data breach”.
Pilares da segurança e privacidade.
A segurança e privacidade alicerçam-se em três pilares fundamentais:
Políticas e processos
Indicam como gerir os ativos, como as pessoas devem atuar e definem as condições para a monitorização e avaliação, garantindo a conformidade.
Pessoas e comportamentos
A atuação das pessoas é ditada pela liderança, solidificada pela formação técnica e o seu comportamento balizado pelas políticas e definições processuais. O comportamento seguro deve ser optado por todos e é um dos principais fatores de defesa.
Infraestruturas físicas e tecnológicas
Os meios que as empresas utilizam na sua atividade, necessários persecução dos seus objetivos. Podem ser físicos como por exemplo escritórios, armazéns, viaturas, armários com pastas ou datacenters ou lógicos, como dados, configurações, aplicações ou chaves de acesso.
Se suportarem atividades fundamentais da empresa serão considerados ativos críticos.
Para juntar mais um nó (empresa ou solução aplicacional) à internet, devemos ter a cultura de segurança e privacidade em mente.
As regras do desenvolvimento seguro são cada vez mais necessárias para garantirmos a confidencialidade da informação residente nas aplicações que desenvolvemos ou que adquirimos.
O GDPR vem agora reforçar a privacidade by default e by design (desde a conceção).
O artigo 25 do GDPR – Proteção de dados desde a conceção e por defeito e bem como a consideração (78) sobre a exigência da adoção de medidas técnicas e organizativas adequadas e o artigo 35 – Avaliação do impacto das operações de processamento previstas sobre a proteção de dados pessoais e consideração (75) sobre o risco para os direitos e liberdades das pessoas singulares, determinam o tipo de situações em que as empresas se devem focar.
Esta preocupação implica a consideração, desde o início de cada projeto, dos requisitos de segurança e privacidade e técnicas para as reforçar, bem como a demostração na sua preocupação e respetiva aplicação, à posteriori. Tem que existir nas organizações a capacidade de transformar a legislação aplicável em planos de ação técnicos e processuais.
Esta abordagem obriga à existência de um programa de privacidade e segurança e à nomeação de um responsável qualificado.
As equipas de projeto devem incluir os planos de ação de segurança e privacidade no plano de projeto e criar um plano global fundindo a funcionalidade com a segurança, criando um todo coerente (end-to-end protection). Têm de seguir por exemplo, processos formais de desenvolvimento que incluam análises de risco e do ciclo de vida dos dados (incluindo eventualmente o DPIA), métodos de minimização ou pseudominização e anonimização dos dados.
A metodologia de gestão e de desenvolvimento de projetos é transversal à segurança e privacidade
O desenvolvimento de software é um processo complexo que se torna mais complicado à medida que o número de intervenientes e linhas de código aumentam.
Para o gerir, muitas organizações adotam processos formais de desenvolvimento – por exemplo, o Rational Unified Process (RUP), o eXtreme Programming, o Microsoft Solutions Framework (MSF) ou Scrum da scrumalliance.org. Todos estes processos podem ser usados com sucesso.
A inclusão da segurança é agnóstica ao processo utilizado, pois mapeia com as fases-chave comuns a todos os processos de desenvolvimento.
Um novo paradigma de segurança e privacidade
A criação de um novo ecossistema de desenvolvimento é suficientemente disruptiva para poder criar entraves sérios á capacidade de delivery das empresas.
Para minimizar o seu impacto nos projetos as organizações necessitam avaliar a segurança e privacidade de uma forma holística, dividindo atividades necessárias e partilhando o peso.
Todas as empresas, mas principalmente as que fazem desenvolvimento, devem dar particular atenção a:
- Organização da privacidade
- Cultura de segurança
- Meios técnicos adequados
- Formação em áreas de análise de risco, segurança e cibersegurança
- Reorganização da área de Projetos
- Reforço dos programas de Quality Assurance
- Extensão da área Legal e Compliance
A adoção do GDPR, ainda que obrigatória, é uma oportunidade para melhorar a cultura, os sistemas e os processos, analisando as fragilidades da empresa, permitindo aumentar a sua proteção e das aplicações desenvolvidas antes de entrarem em produção.
Para mais informação contatar: Pedro.Fatal@primealliance.consulting
