Preparar para o inevitável: o que 2018 nos ensinou sobre proteção de dados
Dan Shprung VP EMEA, Infinidat
Já no início deste ano, a maioria dos peritos da indústria concordava que 2018 ia a ser o “ano da proteção de dados”. E a verdade é que estas previsões provaram estar certas ao longo do ano. À medida que os meses passavam, os meios foram escrevendo artigos atrás de artigos sobre falhas de segurança, o que veio aumentar a consciência das empresas acerca da vulnerabilidade dos seus dados confidenciais.
Hoje, é impossível abordar a proteção de dados ao longo de 2018 sem fazer referência ao Regulamento Geral de Proteção de Dados (RGPD), que entrou em vigor a 25 de maio. Trata-se, sem dúvida, da revisão mais importante quanto à proteção de dados na Europa desde sempre, e está a ter consequências de grande monta para qualquer empresa que tenha que lidar com dados pessoais de cidadãos da UE. Concebido como uma “regra de ouro” nesta matéria, é de esperar que acabe por ser replicada por organismos governamentais de todo o mundo.
Nas semanas que se seguiram à entrada em vigor do RGPD, muitas empresas optaram por esperar para ver as consequências, e inclusive conhecer as primeiras “vítimas” das novas regras. Mas dois acontecimentos sucedidos desde então acabaram por ter um impacto decisivo na forma como as empresas percecionam a segurança dos dados pessoais: a violação de dados sofrida pela Facebook em setembro, e a que – apenas poucas semanas depois – aconteceu ao Google.
Agora que se acerca o final do ano, estas violações colocaram na agenda a crua realidade, marcada por uma incómoda verdade: no futuro próximo, tudo indica que as falhas de segurança nos dados das empresas serão quase inevitáveis. Isto representa um ponto de inflexão histórico, sem margem para dúvidas.
Mudança de paradigma
Até à revolução da privacidade de dados produzida este ano, as empresas concentravam-se sobretudo no reforço da segurança do seu perímetro, em aplicar firewalls e em preservar a segurança da sua rede, fazendo todos os possíveis para evitar que os hackers entrassem ou que os dados saíssem. Embora esta continue a ser uma precaução necessária, se algo nos ensinou 2018 é que as violações podem acontecer de muitas formas, envolvendo alvos tanto humanos como tecnológicos, e podem ocorrer inclusive nas empresas e organizações mais seguras.
Com efeito, assistimos a uma mudança de paradigma, em que se deixa de apostar tudo apenas na prevenção prévia à violação, para preparar também para o dia seguinte. Assumindo esta inevitabilidade, a mudança de paradigma consiste em proteger os dados para que, mesmo em caso de violação, os atacantes nunca consigam aceder aos mesmos.
O que nos leva, de novo, ao RGPD. É inegável que se trata de um regulamento longo e complexo, mas contém um campo de natureza tecnológica bem nítido e que proporciona um “passaporte” para evitar o desastre, relacionado com um aspeto chave: a encriptação de dados.
A cláusula 3 do Artígo 34 do RGPD estabelece que, em caso de uma violação de dados pessoais, a empresa não é obrigada a comunicar esta falha às pessoas afetadas sempre que se tenham aplicado medidas concretas, como a encriptação, para fazer com que, mesmo se os dados saírem da organização, não possam ser realmente utilizados. Ou seja: se os dados estiverem corretamente encriptados, serão praticamente imunes ao que o RGPD considera como “violação de dados”.
Considerando, de novo, esse dia seguinte, se a empresa tiver a certeza de que a encriptação foi aplicada a todos os dados pessoais que estão em seu poder – tanto em repouso, como em trânsito –, a possibilidade de sanções, processos judiciais ou danos graves à sua reputação deixará de ser uma ameaça.
2019: o ano decisivo
No próximo ano, continuaremos sem dúvida a fazer avanços na mitigação de danos de violações que parecem inevitáveis, mas talvez sejam necessários novos acontecimentos de alto nível para, de uma vez por todas, elevar a consciência acerca da importância desta prática na mente das empresas.
Em 2019, a encriptação de dados de extremo a extremo (EE2E) já não será apenas uma opção, mas necessidade. Por isso, as organizações devem começar a adotar novos modelos, mais modernos, nas suas estratégias de proteção de dados. Só com esta mudança de mentalidades as empresas serão capazes de implementar uma estratégia sólida neste sentido. E não só para proteger os dados, como também para desenvolver uma plataforma de segurança preparada para o futuro.
Publicado em:
OpiniãoPartilhe nas Redes Sociais