Entrada para si

Menu
Notícias

Como é que a Input for You trata os dados confidenciais?

isabelle gilles
  1. Início|
  2. Notícias|
  3. Como é que a Input for You trata ...

Quando as organizações confiam os seus documentos e dados à Input for You, estão também a confiar as suas informações mais sensíveis: dados de clientes, dados financeiros, registos médicos, documentos de RH, contratos, etc. A pergunta lógica é: como garantir que esses dados permaneçam seguros e confidenciais?

Colocámos esta questão a Pierre De Landsheere, responsável pela segurança externa da Input for You. Pierre aconselha a empresa em matéria de segurança da informação, privacidade e certificação há mais de dez anos.

Input for You: “Pierre, para começar, qual é a sua opinião geral sobre a forma como a Input for You trata os dados confidenciais?”

Pierre De Landsheere: “Em termos gerais, há dois aspectos que devem andar sempre de mãos dadas: a política e a prática.

Política é dizer o que se vai fazer. A prática é fazer o que se disse que se ia fazer. Não é possível oferecer uma segurança ou confidencialidade séria das informações se uma das duas não estiver presente ou se não estiver alinhada.

Na Input for You, organizamo-nos em torno da norma ISO 27001 para a segurança da informação. Isto significa que implementámos um Sistema de Gestão de Segurança da Informação (ISMS). Este sistema salvaguarda todos os aspectos importantes, como a segurança das informações, a conformidade, a privacidade, a segurança dos dados e a gestão de riscos.

Uma vez por ano, um auditor externo acreditado verifica se a nossa política cumpre todos os requisitos da norma ISO. Trata-se de um controlo independente de todo o nosso quadro político. E depois começa a parte mais importante: garantir que o que está no papel também é posto em prática todos os dias.

Input para si: “Como é que essa política se traduz em termos concretos nas nossas operações diárias e na forma como tratamos os dados dos nossos clientes?'

Pierre De Landsheere: “Há vários níveis envolvidos aqui: organização, tecnologia e princípios.

Um princípio importante é o trabalho baseado no risco. Identificamos os riscos e tomamos medidas para os reduzir tanto quanto possível. Isto pode envolver medidas técnicas, processos, mas também escolhas em termos de infra-estruturas.

Por exemplo, limitamos conscientemente a parte das nossas operações que é visível na Internet pública. Quanto menor for a superfície de ataque, menor será a hipótese de alguém entrar onde não deve.

Outro princípio é manter o controlo. A Input for You adquire o seu próprio hardware, utiliza o seu próprio equipamento e gere tudo, na medida do possível. Tratamos do armazenamento, processamento e transmissão dos dados dos clientes internamente, tanto quanto possível. Isto dá-nos o máximo controlo sobre o que acontece a esses dados.

Por último, estamos fortemente empenhados na automatização e na integração de sistemas. Quanto menos intervenções manuais forem necessárias, menor será o risco de erro humano. Mas, mais uma vez, tudo se baseia nessa abordagem de risco e está integrado no sistema de gestão ISO 27001, para que não tenhamos pontos cegos nas nossas operações.”

Input for You: “Os regulamentos relativos aos dados e às TIC estão a tornar-se cada vez mais rigorosos. Pense no RGPD e, mais recentemente, no DORA no sector financeiro. Como é que lidamos com isto?”

Pierre De Landsheere: “No âmbito do quadro ISO, existe um enfoque explícito nas obrigações legais e contratuais. Isto significa que não olhamos apenas para a nossa própria casa, mas também para os regulamentos que se aplicam aos nossos clientes.

Veja-se, por exemplo, o DORA (Digital Operational Resilience Act), um novo quadro regulamentar para o sector financeiro, especificamente em torno das TIC e da externalização. A Input for You é um parceiro de externalização para muitos intervenientes nesse sector. Isso significa que temos de os ajudar a cumprir as suas obrigações.

Por conseguinte, estamos a desenvolver competências específicas em relação a estes regulamentos. Acompanhamos o que preocupa os nossos clientes, quais os requisitos impostos pelos seus reguladores e como podemos fornecer informações e provas de forma proactiva.

Em suma, não nos limitamos ao nosso próprio perímetro; também olhamos por cima dos ombros dos nossos clientes para as suas obrigações e para a forma como podemos ser um elo fiável neste processo.

Contributos para si: “Os nossos clientes são frequentemente grandes organizações com muitos intervenientes envolvidos. Como é que garantimos que todos se sentem confortáveis com a confidencialidade e a segurança à sua maneira?”

Pierre De Landsheere: “Exatamente. A Input for You é relativamente pequena, mas os nossos clientes são frequentemente grandes actores. Numa chamada típica, há duas pessoas do nosso lado e oito a dez do lado do cliente. Trata-se de perfis comerciais, de gestão de projectos, de responsáveis pela segurança, de segurança da informação, de conformidade e de compras, todos com as suas próprias perspectivas.

Por isso, uma parte importante do nosso trabalho é a gestão das partes interessadas. É quase uma arte fazer chegar a informação certa à pessoa certa no momento certo. Um responsável pela segurança quer ver detalhes diferentes dos de um gestor de projeto ou de alguém das compras.

É por isso que trabalhamos com uma combinação de:

  • Documentação normalizada que descreve as nossas políticas e processos em matéria de segurança e confidencialidade das informações.
  • Respostas específicas para cada projeto, adaptadas ao tipo de dados, à natureza do processo, à criticidade e aos riscos.

E se os clientes quiserem ainda mais certezas, também oferecemos transparência no local. Alguns clientes querem ver o nosso centro de dados por si próprios. Então, vestimos o nosso fato de proteção, caminhamos juntos até à sala dos servidores e mostramos-lhes literalmente onde os seus dados são armazenados e onde são processados. Este tipo de abertura inspira muita confiança”.”

Contributos para si: “Se um novo cliente, como uma companhia de seguros, quiser começar a trabalhar connosco, qual é a abordagem em termos de dados confidenciais e segurança?”

Pierre De Landsheere: “Na verdade, muitas vezes começa antes do arranque efetivo do projeto. Na fase de pré-venda, recebemos regularmente extensas avaliações de segurança, especialmente do mundo financeiro. Trata-se frequentemente de folhas de cálculo volumosas com centenas de perguntas sobre segurança da informação, privacidade dos dados, infra-estruturas, processos, etc.

Além disso, existem NDAs (acordos de não divulgação) e rondas adicionais de perguntas antes mesmo de se falar de um piloto inicial. Isso é normal. Os clientes querem saber exatamente para onde vão os seus dados confidenciais.

Quando o projeto é efetivamente lançado, analisamos:

  • Quais os documentos e dados que iremos tratar.
  • O grau de criticidade do processo, por exemplo, um projeto de arquivo de seis meses ou processos com um SLA de quatro horas.
  • Se o processamento é totalmente automatizado ou se são necessárias etapas manuais.

Com base nisto, dimensionamos a infraestrutura, determinamos medidas e asseguramos que a abordagem corresponde ao perfil de risco do projeto. Desta forma, evitamos surpresas desagradáveis em termos de capacidade, segurança ou fiabilidade”.”

Input para si: “Por vezes, trabalhamos com tecnologia ou parceiros externos, por exemplo, para automatização ou ferramentas específicas. Como é que asseguramos a confidencialidade dos dados nesses casos?”

Pierre De Landsheere: “É um ponto muito importante, porque continuamos a ser responsáveis pelos dados que tratamos, mesmo quando trabalhamos com terceiros.

Tentamos fazer duas coisas:

  1. Fazer o máximo possível por nós próprios. É por isso que temos o nosso próprio centro de dados, os nossos próprios servidores e a nossa própria infraestrutura.
  2. Quando trabalhamos com entidades externas, preferimos escolher entidades com as quais temos um contacto direto, e não nuvens públicas anónimas onde desaparecemos na multidão.

Queremos evitar deixar os dados “algures na nuvem” sem uma visão clara de onde vão parar fisicamente e o que lhes acontece exatamente.

Trabalhamos com terceiros com base em acordos claros. Por exemplo, se utilizarmos um serviço externo, pedimos que nenhum dado seja armazenado permanentemente por essa entidade. Os dados são processados, devolvidos a nós e depois permanecem connosco. Isto limita o impacto de um possível incidente nesse terceiro.

Tudo isto se enquadra na gestão de riscos de terceiros, algo em que os reguladores também estão fortemente empenhados. Olhamos para isto em duas direcções: nós em relação aos nossos fornecedores e nós, enquanto fornecedores, em relação aos nossos clientes.

Input para si: “O cibercrime está a tornar-se cada vez mais sofisticado. Os atacantes estão constantemente à procura de novas formas de aceder aos dados. Onde é que estabelecemos as nossas prioridades nesta batalha?”

Pierre De Landsheere: “O maior risco muitas vezes não é o hack altamente sofisticado, mas o fator humano. Alguém que clica na hiperligação errada, que não reconhece um e-mail suspeito ou que é contactado por telefone com uma história credível.

É por isso que estamos fortemente empenhados em:

  • Sensibilizar os nossos funcionários para o que nunca devem fazer, como reconhecer sinais suspeitos e o que devem comunicar.
  • Compartimentar os sistemas para que um incidente permaneça limitado e não se propague como um incêndio em toda a rede.
  • Ferramentas de monitorização que monitorizam constantemente o que está a acontecer nos nossos servidores, na nossa rede e nos nossos sistemas e detectam actividades suspeitas.

Além disso, aplicamos o princípio de várias camadas de defesa. Nunca é possível aceder aos nossos sistemas num único passo. O acesso é concedido, por exemplo, através de:

  1. Uma VPN com autenticação de dois factores.
  2. Um login separado para sistemas internos, com os seus próprios direitos e controlos.

Se uma camada for violada algures, o utilizador continua a não estar “no centro” do sistema. O risco nunca é nulo, mas este tipo de segurança em camadas reduz consideravelmente a possibilidade de incidentes graves.

Input for You: “Como é que nos mantemos informados sobre as novas ameaças e a evolução da cibercriminalidade?”

Pierre De Landsheere: “Nem tudo o que se lê nos jornais é relevante para uma organização como a Input for You. O risco para um centro de investigação nuclear é diferente do risco para uma empresa de processamento de documentos.

Trabalhamos com uma combinação de:

  • Produtos de segurança com inteligência incorporada, como antivírus, deteção de ameaças e segurança de rede. Estes são continuamente actualizados com novas informações sobre ameaças.
  • Soluções de monitorização em diferentes níveis da infraestrutura, que detectam padrões suspeitos sem que tenhamos de analisar tudo nós próprios.

Não é preciso ser um especialista em vírus para utilizar um bom software antivírus. O mesmo se aplica aqui: adquirimos os conhecimentos adequados através de ferramentas e combinamo-los com a nossa própria análise de riscos e conceção de infra-estruturas.

Input para si: “Depois de um cliente estar ativo, como podemos garantir que a segurança e a proteção dos dados confidenciais se mantêm ao nível exigido a longo prazo?”

Pierre De Landsheere: “Trata-se de uma combinação de controlos periódicos e processos contínuos.

Todos os anos, realizamos, entre outras, as seguintes acções

  • Testes de penetração, para verificar a existência de novas vulnerabilidades.
  • Análises de rede, para verificar sistematicamente a infraestrutura.
  • A auditoria externa ISO 27001, que verifica se todo o nosso sistema de gestão continua a estar em conformidade.

Além disso, os processos internos, como a gestão de riscos, a gestão de incidentes, a monitorização, a cópia de segurança e a recuperação de desastres, são executados continuamente.

É igualmente importante que normalizemos tanto quanto possível a nossa infraestrutura de TI. Uma abordagem para as cópias de segurança, uma abordagem para a recuperação de desastres, um sistema de monitorização global. Desta forma, evitamos um emaranhado de excepções e garantimos que tudo está sob a mesma camada de proteção.

Distinguimo-nos nos nossos serviços através da personalização. No centro das TI e das infra-estruturas, esforçamo-nos por padronizar, precisamente porque é mais seguro e mais fácil de gerir.”

Input para si: “Por último, como vê o futuro da segurança e da confidencialidade dos dados no nosso contexto?”

Pierre De Landsheere: “O futuro trará certamente mais integrações e automatizações com terceiros. Isso é quase inevitável. O grande desafio passa então a ser como manter o controlo sobre o que acontece aos dados, contratual, legal e operacionalmente.

A IA e as novas ferramentas tornam muito possível, mas muitas vezes o modelo é atirar os dados por cima da vedação e receber algo em troca, sem saber exatamente o que acontece pelo caminho. Este é um problema fundamental para os dados confidenciais.

Na Input for You, tentamos manter esse controlo. Ou fazemos as coisas nós próprios, ou garantimos que temos voz e conhecimento suficientes sobre o processamento, em total conformidade com o RGPD, que se refere à finalidade e aos meios de processamento de dados.

Uma coisa é certa: haverá mais integração e automatização. O nosso papel é garantir que os nossos clientes podem confiar-nos os seus dados confidenciais com confiança durante esta evolução, porque monitorizamos o controlo, a supervisão e a segurança como parte do nosso serviço.

Sobre Pierre De Landsheere

Pierre De Landsheere é o responsável pela segurança externa da Input for You há mais de dez anos. Presta aconselhamento a várias empresas em matéria de segurança da informação, certificação ISO 27001 e conformidade com o RGPD. Nesta função, ajuda a Input for You a acompanhar os novos regulamentos, os desenvolvimentos tecnológicos e as expectativas dos clientes, sem perder de vista a confidencialidade e a segurança dos dados.

isabelle gilles