2018 tem sido um ano marcante para o cumprimento. As atenções têm-se centrado firmemente na protecção de dados e as organizações tiveram de reavaliar todos os seus processos de tratamento de dados para se conformarem com o GDPR recentemente introduzido.
Não há dúvida de que esta legislação tem sido o catalisador da mudança, contudo o preocupante aumento dos ciberataques também tem levado a que se tenha em conta a importância de salvaguardar dados valiosos dos clientes.
À medida que os ataques se tornam mais sofisticados, as organizações têm de se tornar mais proactivas na sua abordagem à segurança cibernética para garantir que estão equipadas para lidar com estas ameaças em evolução.
Isto significa defender agressivamente os dados que possuem e tomar todas as medidas necessárias para garantir que não são a próxima empresa violada a ser salpicada sobre as primeiras páginas das notícias.
Apesar deste empenho em melhorar a segurança dos dados, há uma série de problemas que as organizações podem encontrar no próximo ano e que constituem uma ameaça ao seu cumprimento contínuo.
Os cinco principais regulamentos de TI e problemas de conformidade que as organizações enfrentarão em 2019
GDPR
O muito publicitado GDPR entrou em vigor no dia 25 de Maio e lançou novas bases para a forma como as organizações processam e lidam com os dados que avançam. A legislação modernizou as regras de protecção de dados e dá agora aos indivíduos um maior controlo sobre quem recolhe e processa os seus dados, para que servem e como estão a ser protegidos.
As organizações devem ser capazes de demonstrar o cumprimento da legislação ou enfrentar pesadas multas até 4% do volume de negócios global anual ou 20 milhões de euros. As multas também dependerão da gravidade da infracção e se as organizações tiverem tomado medidas para demonstrar a sua conformidade.
No entanto, o 25 de Maio não foi, de forma alguma, um ponto final para o GDPR. A demonstração da conformidade com a GDPR é um processo contínuo e as organizações terão de identificar e abordar continuamente os riscos de privacidade e segurança para garantir que não sejam infringidos pela legislação.
Regulamento da ePrivacidade
As organizações passaram os últimos seis meses a lidar com o GDPR e já têm de se preparar para um novo regulamento da UE que exigirá o mesmo cumprimento da legislação da UE.
Espera-se que o Regulamento ePrivacidade seja implementado nos próximos 6-12 meses e abordará os avanços da tecnologia e centrar-se-á especificamente na privacidade individual relacionada com as comunicações electrónicas. Isto incluirá dados em websites, SMS, e-mail, redes sociais, blogs, aplicações, VoIP, vídeo, mensagens de social media e dispositivos IoT.
Embora haja alguma sobreposição entre a GDPR e o regulamento da ePrivacidade, a principal diferença é que a GDPR abrange o tratamento de dados pessoais em todas as formas, enquanto que o regulamento da ePrivacidade abrange as comunicações electrónicas. As organizações terão de demonstrar o total cumprimento da legislação ou enfrentar as mesmas multas íngremes impostas ao abrigo da GDPR.
O Regulamento ePrivacidade aplicar-se-á a todos e a qualquer país que preste serviços de comunicações electrónicas à UE, mas espera-se que tenha um impacto mais forte nalguns sectores do que noutros. Indústrias como o Marketing, a Publicidade e os Meios de Comunicação Social não poderão enviar material promocional aos clientes sem o seu consentimento prévio.
Prestadores de serviços de terceiros
A segurança e conformidade cibernética tornaram-se agora prioridades-chave para as organizações, no entanto, a única área que tende a ser negligenciada é a das suas terceiras partes. Nos últimos anos, tornou-se norma que as organizações utilizem uma série de diferentes fornecedores terceiros para apoiar as principais funções empresariais, e muitas vezes muitas destas partes terão acesso aos sistemas e dados internos de uma empresa. Esta interconectividade representa um enorme risco para a segurança e a postura de conformidade de uma organização.
As organizações podem ter sistemas de segurança e defesa revestidos a ferro, mas os hackers estão apenas demasiado conscientes de que a forma mais fácil de contornar estas defesas é explorar vulnerabilidades em sistemas de terceiros. Tipicamente, estes fornecedores não terão as mesmas defesas de segurança cibernética robustas no local e fornecerão um ponto fraco fácil de ataque.
Alguns dos maiores ciberataques da história são o resultado de violações de terceiros e um recente inquérito conduzido pela Soha Systems revelou que 63% de todos os ciberataques poderiam ser rastreados directa ou indirectamente a terceiros.
No futuro, as organizações terão de avaliar a sua segurança cibernética de múltiplos ângulos e assegurar que as directrizes e sistemas adequados são seguidos pelos seus fornecedores externos. Ao abrigo da GDPR, as organizações estão agora legalmente obrigadas a dar garantias aos reguladores de que os seus fornecedores de serviços de terceiros estão em conformidade com os novos regulamentos, dispondo de bons controlos de segurança e privacidade cibernética.
Empregados
Os empregados podem ser o seu maior bem, mas são também o seu elo mais fraco. Os cibercriminosos visarão frequentemente os empregados de uma organização, uma vez que fornecem a forma mais fácil de se infiltrarem num sistema.
88% de todas as violações de dados podem ser atribuídas a erros humanos, pelo que é vital que as organizações invistam em formação de alta qualidade em cibersegurança que permita ao pessoal reconhecer o importante papel que desempenham na salvaguarda de dados sensíveis da empresa.
A formação não só educará o pessoal sobre a gama de ameaças que enfrentam internamente, mas também abordará os riscos de segurança cibernética enfrentados quando se trabalha remotamente. O trabalho à distância pode apresentar um sério risco de segurança que pode deixar a rede, sistemas e dispositivos informáticos de uma organização altamente vulneráveis a ataques. A informação detida em dispositivos móveis é extremamente valiosa para os ciber-criminosos e estes tirarão partido de quaisquer falhas de segurança para roubar estes dados sensíveis.
Uma formação eficaz de sensibilização para a segurança cibernética irá educar o pessoal, reduzir a possibilidade de ocorrência de violações de dados e ajudar a construir uma cultura de maior conformidade de segurança.
Gestão de software
Para que as organizações se tornem conformes, devem defender todos os pontos de acesso para garantir que os hackers não possam penetrar nos seus sistemas. Uma das principais causas dos ciberataques é o facto de os sistemas não terem sido atacados. Novas vulnerabilidades são constantemente descobertas e, a menos que sejam aplicadas correcções, os hackers irão explorar estas vulnerabilidades para invadir uma rede.
O Patching assegurará que cada software utilizado dentro de uma organização esteja actualizado com as versões mais actuais lançadas pelo fabricante. As organizações terão de ser proactivas na sua abordagem à aplicação de patches para assegurar que são capazes de detectar quaisquer vulnerabilidades antes que um hacker o faça.
A MetaPrivacidade foi concebida para fornecer a melhor abordagem prática para o cumprimento da privacidade dos dados. Contacte-nos para mais informações sobre como podemos ajudar a sua organização a melhorar a sua estrutura de conformidade.