Segurança e conformidade regulamentar: Juntos para ultrapassar os desafios do COVID-19

Tal obriga à tomada de decisões urgentes, frequentemente não planeadas ou incorretamente definidas. Nesta corrida desmedida pela sobrevivência, algumas organizações em perfeita transformação dos seus negócios para o domínio digital serão inevitavelmente negligentes ou descuidadas face à segurança dos dados. A escassez de recursos, a necessidade de estabilizar as infraestruturas tecnológicas ou as dificuldades logísticas inerentes à mobilidade dos colaboradores-chave são alguns dos fatores que fragilizam as defesas de segurança das organizações, expondo-as a cibercriminosos astutos - situação que os reguladores dificilmente tolerarão.

A situação de confinamento imposta a cada cidadão fez nascer, ou crescer, a procura de serviços em canais digitais. Os negócios que até à data se viam exemptos de obrigações legais são agora obrigados a equacionar requisitos regulamentares de segurança aplicáveis ao novo contexto organizacional, como por exemplo, sites de catálogos de produtos que, de um dia para o outro, se viram obrigados a entrar no mundo das compras online e que, por consequência de transacionarem pagamentos, têm que estar em conformidade com o PCI-DSS. Analogamente, negócios que viram os seus negócios online florescer, como sites de compras online em que o número de transações de pagamento aumentou exponencialmente, são agora possivelmente obrigados a novos níveis de exigência de conformidade com o PCI-DSS. Mas neste período de contingência, este passa a ser mais um “fardo” na agenda dos decisores.

Contudo, é importante realçar que este “fardo” poderá ser o fator crucial e diferenciador de sobrevivência de vários negócios. Influenciar a decisão com conhecimento do risco a que se está exposto, o acompanhamento da evolução dos ciber riscos, e a consciência das alternativas estratégicas de mitigação de riscos continua a ser um processo fundamental para as organizações neste período.

Várias são as entidades reguladoras, no âmbito da certificação de empresas e na certificação de profissionais, que vêm a público reforçar o seu domínio de aplicabilidade, informar o reforço de mecanismos de monitorização e de regras para a gestão dos prazos de conformidade no contexto do Covid-19:

— PCI Security Standards Council (PCI SSC): emitiu, em março, uma notícia que reforça a aplicabilidade do seu código de conduta de auditorias remotas como mecanismo para fazer face à avaliação de conformidade do PCI DSS no contexto de Covid-19. O PCI SSC declarou que uma avaliação que exigiria a presença no local pode, excecionalmente, ser realizada remotamente, se o QSA tomar as medidas necessárias para garantir que a verificação é realizada com um nível de segurança suficiente para confirmar que os controlos estão em vigor.

— European Data Protection Board (EDPB): esclarece que o GDPR não será um impedimento no combate à pandemia, mas que os demais responsáveis devem acautelar o cumprimento dos requisitos, esclarecendo que o GDPR:

• Prevê que o tratamento de dados pessoais pelas autoridades de saúde num cenário como o do COVID-19, em que está em causa a proteção da saúde pública, possa ser feito sem ter que obter o seu consentimento.

• No contexto laboral, as empresas podem solicitar informação de saúde relacionada com o COVID-19, mas que deve ser feita em estreito cumprimento das suas responsabilidades organizacionais e de acordo com a legislação nacional.

— Entidades certificadoras de sistemas de gestão ISO: estenderam os períodos de validade das certificações.

— Entidades formadoras: PCI-Council, ISACA, SANS reforçaram os seus catálogos de formação e certificações online, e esclareceram as regras de contabilização de CPEs neste novo contexto.

O surgimento do COVID-19 não altera o dever nem a responsabilidade de assegurar a segurança da informação. Por isso, apesar das circunstâncias atuais incomuns, é imperativo que as organizações entendam o benefício inerente à reflexão e implementação dos requisitos regulatórios para evitar interações futuras desnecessárias com os reguladores.

Conteúdo co-produzido pela MediaNext e pela S21sec