2018-4-20
De acordo com a Trend Micro, menos de dois terços (63%) das multinacionais têm um processo para notificar as violações de segurança para os seus clientes, enquanto apenas metade aumentou o investimento em segurança de TI antes da entrada em vigor do RGPD
A Trend Micro auscultou mais de mil responsáveis de tomada de decisões de empresas com mais de 500 colaboradores em todo o mundo: Reino Unido, EUA, França, Itália, Espanha, Países Baixos, Alemanha, Polónia, Suécia, Áustria e Suíça. O relatório do fabricante apurou que apenas 51% dos entrevistados aumentaram os seus investimentos em segurança para facilitar o cumprimento da normativa, apesar de uma quarta parte se queixar da “falta de proteção suficiente em segurança TI” (25%) e de uma “falta de segurança de dados eficiente” (24%), como os maiores desafios para os esforços de conformidade. Menos de um terço (31%) dos entrevistados assegura ter feito investimento em encriptação, apesar de ser uma das poucas tecnologias nomeadas no GDPR. Ao mesmo tempo, algumas organizações alocaram algum do seu orçamento para a Prevenção de Perda de Dados (33%) ou a tecnologias avançadas desenhadas para detetar intrusos na rede (34%). Por outro lado, 25% das empresas afirma que os recursos limitados são o maior desafio para o cumprimento e explicam as razões que há por detrás desta falta de investimento. “O RGPD é claro ao mencionar que as organizações devem encontrar tecnologias de última geração para ajudar a repelir as ciberameaças e manter seguros os dados e sistemas chave. É preocupante que os responsáveis de TI não tenham os fundos ou não possam encontrar as ferramentas adequadas para estar de acordo com a conformidade”, explica José de la Cruz, diretor técnico de Trend Micro Ibéria. “As organizações necessitam de uma defesa profunda que combine a união intergeracional de ferramentas e técnicas, desde o endpoint da rede até ao ambiente de cloud híbrida”. O relatório também revela que muitas empresas não estão preparadas para gerir os novos requisitos quando se trata de denunciar uma violação dentro das 72 horas estabelecidas por lei. Cerca de 21% dos entrevistados afirmam ter um processo formal para notificar apenas a autoridade de proteção de dados. No entanto, o Artigo 34 do RGPD estabelece que as pessoas também devem ser notificadas se uma violação representar um alto risco aos seus direitos e liberdades. Menos de 10% (6%) dizem não ter nenhum processo implementado, enquanto 11% não sabem se têm ou não. Outra das preocupações dos entrevistados concentra-se nos preparativos para apoiar o chamado "direito ao esquecimento", uma parte fundamental do RGPD. Embora 77% dos participantes no estudo, a nível mundial, assegurem ter os processos apropriados para atender às solicitações dos clientes sobre os dados pessoais geridos pela organização, o tratamento dos dados tratados por terceiros é outra coisa. Cerca de um terço (36%) das organizações afirmam não conhecer ou ter processos / tecnologias implementadas para lidar com solicitações esquecidas de dados recolhidos por agências de terceiros, fornecedores da cloud (32%) e parceiros (32%). |