No âmbito do dia do Regulamento Geral sobre a Proteção de Dados (RGPD), a Axians, marca do grupo da VINCI Energies dedicada às Tecnologias de Informação e Comunicação e ao desafio da transformação digital, e a Quidgest, empresa pioneira na geração automática de software através de generative AI e modelação, realizaram  um encontro, no anfiteatro da Axians, para abordar a temática da privacidade do tratamento de dados e da segurança da informação nas organizações “RGPD: Estratégias para gerir a Privacidade de Dados e os Riscos de Segurança”.

Para este debate realizaram-se duas mesas-redondas que promoveram a abordagem sobre o RGPD cinco anos após o início da sua aplicação e contou ainda com a presença de cerca de 80 pessoas na plateia. “A Privacidade como estratégia de Cibersegurança” contou com António Gameiro Marques, Diretor-Geral do Gabinete Nacional de Segurança, Carlos Fernandes, Encarregado de Proteção de Dados da TML, e Inês Oliveira, Presidente da APDPO, como oradores. E o tema “Zero trust com Privacidade: Uma fórmula de sucesso” recebeu os oradores Josué Delgado, CISO da Lusíadas Saúde, Luis Ferreira, Information Security Officer do Leroy Merlin, e Miguel Jacinto, CISO do EuroBIC.

Na mensagem de boas-vindas, Carla Zibreira, Cibersecurity Business Unit Director na Axians Portugal, referiu que o RGPD é

“um marco importante não só da história da transformação digital como da economia digital”, sobretudo no que respeita aos tópicos da privacidade e da segurança da informação, “dois aspetos que são indissociáveis um do outro, mas que por vezes se confundem”, acrescentando que enquanto a privacidade está focada no acesso à informação, a segurança está focada na proteção e na salvaguarda dessa informação. “Um cocktail e um desafio fantástico para as organizações que temos visto nos últimos cinco anos”.

Na mesa-redonda “A Privacidade como estratégia de Cibersegurança”, António Gameiro Marques, Diretor-Geral do Gabinete Nacional de Segurança, começou por frisar que “o âmbito do RGPD são os dados pessoais”. Tendo por base esta premissa, lembrou que vivemos num mundo real com duas componentes, a física e a virtual, e que,

“embora a cibersegurança exista porque o engenho humano desenvolveu estas tecnologias onde trabalhamos e socializamos, tudo isto existe também num mundo real e físico – e o RGPD tem de abarcar estas duas visões e dimensões”

,até porque muitas organizações, sobretudo as que existem há mais tempo,

“continuam a ter muito dados pessoais em formato físico”. Sobre o teletrabalho e o aumento crescente da utilização de ferramentas online, “se estamos mais expostos ao ciberespaço, estamos naturalmente mais sujeitos a mais preocupações".

Carlos Fernandes, Responsável de Proteção de Dados da TML, sublinhou, por outro lado, que

“o orçamento condiciona qualquer estratégia e plano de ação associados à segurança da informação. Estamos a falar de recursos tecnológicos e de técnicos especializados, que têm o seu peso no orçamento, mas, por experiência própria, é possível trabalhar com poucos recursos e com cooperação, aproveitando mais as relações que vamos criado com outras empresas”. “Tão ou mais importante do que investir é saber como investir”. 

Inês Oliveira, Presidente da APDPO considerou que “há muito trabalho a fazer”.

A proteção de dados gera confiança e é importante mostrar às empresas que não se trata só de pagar multas, há um mundo de benefícios derivados dessa geração de confiança que vai das empresas aos cidadãos. Com respeito aos titulares de dados é, contudo, crucial reforçar a comunicação,

“para que o cidadão possa estar informado e se dê aqui um casamento perfeito entre privacidade e segurança. Os titulares de dados estão conscientes, mas não profundamente conscientes, só superficialmente. Não estão conscientes, por exemplo, de que “quando as aplicações são gratuitas, o preço somos nós”. 

Na segunda mesa-redonda “Zero trust com Privacidade: Uma fórmula de sucesso”, Josué Delgado, CISO da Lusíadas Saúde, explicou o conceito de zero trust, referindo que existe sempre uma “componente de marketing” e “novas buzzwords” em torno de conceitos emergentes que surgem, sobretudo, por parte dos fabricantes. No entanto, ao estarmos perante um paradigma novo, no que toca ao aceso aos dados e a aplicações,

“a confiança não pode ser dada implicitamente a quem vai aceder. Quando falamos de zero trust, podemos adotar uma atitude não vou confiar em ninguém. É por isso que as organizações têm de apontar um caminho – um modelo de gestão de identidade e acessos - uma série de iniciativas que não se fazem do dia para a noite". 

Luis Ferreira, Information Security Officer do Leroy Merlin, começou por referir que

“não existe abordagem zero trust sem compromisso. Tem de haver uma alteração cultural e a organização deve estar preparada para abraçar uma abordagem zero trust.
Desde a entrada em vigor do RGPD e o surgimento de legislação mais específica no que toca à privacidade, tenho verificado, enquanto profissional da segurança, que a importância deste tema tem sido reforçada, a sensibilização tem sido feita gradualmente e vejo que a minha organização tem uma consciência completamente diferente da que tinha há 4 ou 5 anos”.

Miguel Jacinto, CISO do EuroBIC, falou sobre a fronteira que convém acautelar nos nossos dias que vai desde o controlo total da identidade pelo empregador (não é aceitável pelo RGPD) em especial quando podem estar associadas outras tecnologias como IA e o chatGPT.

“Existem muitos níveis de zero trust” e, por isso, o que é o “zero trust” numa organização pode ser muito diferente do que é em outra, e exemplo disso é a Banca”. 

O RGPD já nos dá algumas ferramentas de controlo sobre o que é aceitável fazer com os dados que identificam os colaboradores. Muitas organizações têm já algumas ferramentas/arquiteturas de “zero trust” implementadas, acessos VPN, Condicional Acces, IAM, etc são exemplos que há efetivamente empresas com nível de maturidade mais elevado no acesso aos dados, mas há outras ainda muito imaturas. 
 

“Quando as organizações sofrem um ciberataque, potencialmente podem contaminar toda a cadeia de valor”, explicou afirmando que “a NIS2 não pode falhar, porque nesta nova economia estamos todos ligados digitalmente. Nós na Banca temos um quadro de obrigações regulatórias muito exigente e ainda há muito trabalho por fazer, imagine-se as empresas que não são reguladas. Garantir a segurança do Ciberespaço é, para além dos diversos reguladores setoriais também uma questão de bom senso e por isso uma “responsabilidade de todos os agentes económicos”.

O evento prosseguiu com uma apresentação de Beatriz Bagoin Guimarães, Information and Business Process Management Systems Manager na Quidgest, e Miguel Gonçalves, Cybersecurity Consulting Manager na Axians, tendo por base algumas questões que ambas as organizações ouvem dos seus clientes diariamente e que resulta numa parceria, entre a Axians e Quidgest, para a implementação de uma solução integrada e holística. Miguel Gonçalves explicou que esta solução começa por uma avaliação de risco personalizada, “tendo em conta o contexto específico e os desafios de cada empresa e organização”,  depois de definir e planear, “a metodologia desta solução é alavancada pela operacionalização”, referiu Beatriz Bagoin Guimarães,

“Esta ferramenta, sobre a qual vamos ter mais novidades no segundo semestre deste ano, vai permitir uma análise completa da gestão de riscos e parametrizar e integrar a componente do RGPD e da privacidade, porque existem necessidades específicas”.

Miguel Gonçalves frisou que

”esta solução vem dar resposta a um desafio que, durante muito anos, não era visto como um tema essencial – a continuidade do negócio, é absolutamente crítico ter um guião montado e equipas preparadas para responder a uma real ameaça, sem pôr em causa a fiabilidade do negócio e a exposição e segurança dos dados da organização em perigo”.