Cibersegurança ou Privacidade – Qual a prioridade?

Nos dias de hoje o rápido avanço das tecnologias de informação criou nas organizações níveis de desenvolvimento sem precedentes associados a um maior valor económico. De alguma forma, isto resulta dos dados disponibilizados por todos nós que alimentam estes sistemas e que implicam a movimentação de enormes volumes de dados entre estes.

Para além dos benefícios temos riscos adicionais que nos últimos anos passaram a estar na agenda dos responsáveis das organizações:

• Cibersegurança – proteger os sistemas de acesso não-autorizado, ex. phishing, spear phishing e malware/ramsomware
• Privacidade – manuseio dos dados: consentimento, notificação, sensibilidade e questões regulatórias

A questão é: como é que as organizações lidam com a importância de ambos?

À primeira vista ambos são importantes. No entanto, do ponto de vista prático, o que temos é uma abordagem orientada ao impacto financeiro.

Assim, de uma forma geral, em Portugal (e na Europa) a questão da Privacidade tomou a prioridade por as sanções por incumprimento do Regulamento Geral de Proteção de Dados (Lei 58/2019 – RGPD) poderem ter um impacto financeiro bastante elevado quando comparado com a Cibersegurança cujas sanções de regulamentos como a Lei 46/2018 – Segurança do Ciberespaço (Serviços Essenciais: Energia, Transportes, Saúde, Fornecimento de Água, Mercado Financeiro, Infraestruturas Digitais) têm um impacto financeiro bastante mais baixo.

No entanto, também existem outras geografias (ex. EUA) e mercados (ex. Banca, Telecomunicações) em que a Cibersegurança também obriga a investimentos significativos, resultado de regulamentos ou normas que são obrigados a respeitar (ex. PCI, EBA).

Independentemente da decisão que leva definir a prioridade para Cibersegurança ou Privacidade os passos a seguir são semelhantes:

1. Identificar os dados a proteger
2. Determinar as Leis/Regulamentos aplicáveis a esses dados
3. Identificar que segurança está implementada para proteger esses dados
4. Preparar um gap analysis do que falta ser endereçado
5. Implementar as iniciativas identificadas para mitigar esses gaps
6. Testar a conformidade do programa implementado
De notar que tanto a Cibersegurança como a Privacidade têm bastantes áreas comuns, o que permite a muitas organizações, com uma abordagem adequada, atingir níveis interessantes de maturidade em ambos.