O que é a encriptação e o que é que ela protege?
A encriptação é o processo de codificação da informação para que esta não possa ser acedida por pessoas não autorizadas. Se os dados encriptados da sua empresa forem divulgados, qualquer pessoa que roube ou encontre os dados não poderá lê-los, pois são ininteligíveis sem a chave de desencriptação adequada.
Muitas pessoas não sabem que muitas informações já estão protegidas por tecnologia de encriptação. Por exemplo, as compras online e os serviços bancários pela Internet não funcionariam sem uma boa encriptação. A encriptação é concebida para proteger dinheiro e informação pessoal. Quanto ao ambiente empresarial, a encriptação deve ser utilizada para proteger a propriedade intelectual e o know-how da sua empresa, bem como os dados pessoais que processa dentro da sua empresa.
Ler mais
A propriedade intelectual e o know-how podem incluir os produtos ou serviços criados pela sua empresa. Podem também ser os métodos que utiliza para vender com sucesso esses produtos, ou os processos utilizados para garantir o seu funcionamento eficaz ao longo do seu ciclo de vida. Da mesma forma, podem incluir planos de negócios e de marketing para o próximo ano civil. Toda esta informação pode ser monetizada ou mal utilizada depois de um ciberataque.
As informações pessoais que a sua empresa recolhe e processa podem incluir informações sobre os seus clientes e colaboradores. É obrigado por lei a proteger o acesso a tais dados, tal como estipulado pelo Regulamento Geral de Proteção de Dados da União Europeia (RGPD).
RGPD e encriptação
O RGPD define os dados pessoais. Estes incluem nomes e apelidos, fotografias, endereços de e-mail, números de telefone, números de conta, impressões digitais e vozes. Este regulamento, que está em vigor em todos os estados membros da UE desde 25 de maio de 2018, descreve a encriptação como uma salvaguarda contra o risco de reputação.
Imagine que um dos seus colaboradores perde uma pen USB que contém a lista dos seus clientes. De acordo com o RGPD, deverá informar todas as pessoas da lista sobre o incidente. Eles podem perceber a violação dos dados como um motivo para mudar de fornecedor. No entanto, a obrigação de notificar estas pessoas não se aplica se os seus dados pessoais tiverem sido encriptados.
Sabe o que fazer se a sua empresa tiver fugas de informação pessoal?
Obrigação de notificar o regulador:
Tem de comunicar qualquer violação de dados pessoais à autoridade de proteção de dados. Esta obrigação aplica-se não só a incidentes maiores, tais como grandes fugas de bases de dados, mas também a erros menores. Por exemplo, se misturar incorretamente o conteúdo de envelopes destinados a dois destinatários diferentes, deve comunicar o facto.
72 horas
Tem de notificar a autoridade de supervisão relevante sobre o incidente no prazo de 72 horas a partir do momento em que toma conhecimento do mesmo, e não a partir do momento em que o incidente ocorreu. Contudo, se este prazo não for cumprido, o atraso na notificação (ou seja, as razões pelas quais a violação não foi comunicada no prazo de 72 horas) deve ser justificado.
Obrigação de notificar as pessoas afetadas
Em casos mais graves, para além de notificar a autoridade de proteção de dados, deve também informar as pessoas cujos dados foram afetados pelo incidente. Contudo, esta medida não é necessária se o incidente tiver ocorrido depois de a sua empresa ter implementado medidas de segurança técnicas e organizacionais adequadas, em particular as que tornam os dados pessoais ininteligíveis para qualquer pessoa não autorizada a aceder aos mesmos. O termo jurídico "medidas técnicas" refere-se à encriptação.
Multas possíveis relacionadas com o RGPD
O incumprimento da obrigação de comunicar uma violação de dados à autoridade de controlo competente é punível com uma multa até 10 milhões de euros ou, no caso de uma empresa, até um máximo de 2% das suas receitas anuais mundiais do exercício financeiro anterior. Para além de uma elevada sanção financeira, a autoridade de proteção de dados pode também decretar o seguinte:
- uma limitação temporária ou definitiva, incluindo a proibição de tratamento de dados pessoais
- eliminação de dados pessoais
Isto significa que poderá perder todos os contactos para os seus atuais clientes, ou a sua empresa poderá ser temporariamente proibida de armazenar tais dados.
As violações de dados afetam empresas de todas as dimensões
Muitas empresas acreditam que não são vulneráveis a ciberataques ou violações de dados devido à sua pequena dimensão e aos seus ativos limitados. Infelizmente, não é este o caso: segundo os analistas da IDC, as pequenas e médias empresas são vítimas de mais de 70 por cento das violações de segurança. Mas a boa notícia é que as empresas não precisam de comunicar ciberataques, a menos que os seus dados pessoais tenham sido comprometidos ou perdidos.
Devido à falsa impressão de que outras empresas não enfrentam ciberataques, as empresas podem sentir vergonha ou recear atenção negativa se comunicarem um ataque.
A ESET observou que, no primeiro ano após a entrada em vigor do RGPD, as autoridades de supervisão na Europa ainda se estavam a familiarizar com as novas regras. É provável que venham agora a impor mais multas.
No entanto, a experiência mostra que, se as empresas afetadas cooperarem, tendem a receber multas de menor dimensão. Também parece que se a sua empresa não for um gigante da Internet, é pouco provável que receba uma multa elevada.
Por conseguinte, recomendamos que as organizações observem sempre a obrigação de notificação, cooperem com as autoridades de supervisão e informem os seus colaboradores sobre o que são dados pessoais e como devem ser protegidos.
Soluções de encriptação da ESET
ESET Endpoint
Encryption
A solução ESET Endpoint Encryption protege dados sensíveis em dispositivos empresariais por meio de encriptação. Fornece encriptação de ficheiros e pastas, e-mails e anexos, suportes amovíveis, discos virtuais, bem como para o disco inteiro. É fácil de utilizar, oferece controlo remoto completo das chaves de encriptação e não requer servidor para a sua implementação.
Obtenha um teste gratuito de 30 dias e experimente ESET Endpoint Encryption na sua empresa.
Saiba mais
