quinta-feira, 17 de dezembro de 2015

«A privacidade é um direito dos cidadãos» conclui conferência da APDSI


A APDSI realizou, a 16 de dezembro de 2015, a conferência “Privacidade e Segurança na Sociedade da Informação” na Fundação Portuguesa das Comunicações, em Lisboa.

Sendo esta mais uma das temáticas a que a Associação para a Promoção e Desenvolvimento da Sociedade da Informação se dedica com o foco no cidadão, Raul Mascarenhas, presidente da direção da APDSI, deixou o alerta ao cidadão comum para não confiar cegamente nas instituições e habituar-se a dar feedback sobre como se sente nas circunstâncias em que julga que a sua privacidade e segurança estejam a ser ameaçadas por influência das novas tecnologias.

Hélder Vasconcelos, Vogal do Conselho de Administração da ANACOM, começou por identificar dois problemas no quadro de 2015 a ameaçarem as garantias de privacidade na sociedade da informação. O excesso de informação requerida ao cidadão, como por exemplo na criação de uma simples conta de gmail, e que depois é mantida em formato digital, foi um dos problemas apontados, bem como a imposição de cláusulas de renúncia de privacidade feita, regra geral, pelas mesmas entidades.

Este cenário, segundo o responsável da Autoridade Nacional de Comunicações, sai agravado pelo facto de a informação ser guardada em servidores sem garantias de segurança e, ainda, quando as empresas facultam os dados a parceiros ou recorrem a serviços de outsourcing: «A privacidade é um direito dos cidadãos e a sua informação não deve ser usada de forma ilegítima. Ao ser digitalizada, a informação é guardada em servidores sem garantias de segurança».

Com a tecnologia a alargar-se ao mercado das apps, Helder Vasconcelos mostrou a sua preocupação pelo facto de a informação estar a ser usada para fins comercial e segundo regras diferentes: «Estamos a criar uma regulação assimétrica entre os operadores tradicionais e os que fazem apps. Tem havido queixas de assimetrias na aplicação das regras. Há um trabalho a ser feito na definição de perímetros de regras simétricas e iguais para todos».

Com o foco nas necessidades específicas que o setor da banca enfrenta neste domínio, Luís Mira Amaral, Presidente da Comissão Executiva do BancoBIC, considera que a administração de sistemas de segurança na banca deve ser assegurada por alguém com conhecimentos tecnológicos.

Ao sublinhar que a informação está exposta a três elementos fundamentais - tecnologia, pessoas e processos - Mira Amaral entende que as políticas, normas e procedimentos de segurança da informação se devem aplicar a todos os colaboradores, independentemente do seu vínculo profissional, através de uma política de segurança com definição e divulgação de regras de segurança. O presidente do Banco BIC é da opinião que os planos de continuidade de uma política de segurança são os mais importantes numa organização, e não propriamente os planos de emergência. «Não se trata da possibilidade de ser atacado mas sim de como se responde a esse ataque e a maior parte das vezes o perigo nem vem de fora. Já passei por uma situação em que as áreas mais afetadas na empresa foram aquelas onde os recursos humanos levavam os PCs para casa e acediam ao serviços a partir de outros locais», lembrou.

O setor financeiro é o que está mais sujeito aos cyberataques. Segundo a websense há mais 300% de cyberataques a bancos do que a outras instituições.

A opinião de José Alegria, Diretor de CyberSecurity e Privacidade na MEO, segue a mesma linha, já que entende que os maiores problemas de segurança são internos, particularmente «quando há promiscuidade no uso de serviços móveis e aplicações na cloud». 

Armazenamento, processamento e comunicação são os três passos que José Tribolet, Professor Catedrático do IST e Presidente do INESC, considera fundamentais para se cumprir quando se pretende agir adequadamente no momento certo. «Uma organização é o que é pelas pessoas que a compõem e os recursos que lhe estão afetos. É imprescindível definir quem tem acesso a escrever e a ler na documentação. As empresas têm que indicar quem tem autoridade para fazer o quê», entende o professor, que acrescenta que a especificação do modelo de segurança deverá ser uma característica da arquitetura da informação independente da sua concretização aplicacional e tecnológica assente no princípio de “não confiança”.

Rodrigo Simões de Almeida, Country Manager da MARSH Portugal, trouxe à conferência da APDSI o resultado da primeira sondagem europeia relativamente aos riscos cibernéticos. Nela participaram 700 empresas sendo que Portugal foi dos países que mais contribuiu para o estudo, de onde se concluiu que as empresas portuguesas são semelhantes às europeias.

64% das empresas respondeu que não tem um plano implementado para aceder a fundos de financiamento, de modo a responder quando for necessário, e 64% identificou cenários que podem afetar a empresa. O mesmo estudo revela, ainda, que 74% não estimou o impacto financeiro de um ataque cibernético, 29% receia a fuga de clientes em casa de ataque cibernético e 39% receia os ataques externos mas 30% admite que podem ser os próprios colaboradores da empresa a causarem os riscos de segurança.

As principais conclusões apontadas por Rodrigo Simões de Almeida revelam que as empresas portuguesas apesar de colocarem o risco cibernético no seu top de riscos, têm um conhecimento básico ou limitado sobre a sua exposição a este perigo e a revisão e a gestão dos riscos cibernéticos deve passar não apenas pelo Departamento de IT, mas também pelo Departamento de Gestão de Riscos e Administração.

Ainda no âmbito da governação empresarial, Ivo Antão, Vogal do Conselho de Administração da Luz Saúde, afirma que, com as ferramentas eletrónicas, a informação sobre os doentes passou a ter «o dom da ubiquidade. O consultório passou a ser qualquer lugar do mundo e o risco é muito grande. Que tipo de informação está a ser veiculado? Os sistemas de informação são muito importantes para a gestão de perfis».

Esta inquietação também ficou plasmada na apresentação de Sérgio Sá, Diretor da Unidade de Negócio Estratégica da Prática de Segurança da UNISYS Portugal. Para o especialista o aumento do número dos dispositivos móveis faz com que o roubo de dados esteja a aumentar de uma forma significativa: «Os acessos remotos não controlados têm cada vez mais probabilidade de acontecerem e os ataques a aplicações também começam a ser incidentes comuns. É necessário rever todo o modelo de segurança». De referir que, 2015 foi o ano em que começou a avaliar-se o risco das empresas e, com ele, criar negócio.

Do Centro Nacional de Cibersegurança fica a certeza de que esta é uma área que ainda sofre debilidades. O coordenador José Carlos Martins acredita que o problema reside no facto de não haver exercícios a serem feitos «de forma real e efetiva» que depois não resultam em situações reais e práticas. Como solução José Carlos Martins aconselha as diferentes entidades a fazerem simulacros e treinos internos para «capacitarem as suas equipas na resposta a incidentes».

Outra área em que há debilidades a combater é na propriedade intelectual, segundo André Marquet, Presidente da Productized e Co-fundador da Beta-i. «Nesta área o número de patentes é muito inferior ao da média da União Europeia; as nossas empresas não estão preparadas nem preocupadas com estas questões porque só são sustentáveis através de financiamentos.

O encontro foi organizado pelo Grupo Segurança na Sociedade da Informação (GSSI) da APDSI.

Sem comentários: