Luzes e Tecnologia
NOESIS NOS MEDIA
11 janeiro 2022

Data Protection & Privacy: como definir uma estratégia eficiente


Com o recurso à Inteligência Artificial e os modelos de Machine Learning, são cada vez mais os dados sensíveis geridos pelas organizações. Esse grande volume de informação crítica é um alvo apetecível para ciberataques

Por Pedro Lopes, Data Analytics & AI Team Leader na Noesis
 
Se os dados são vistos como a nova e mais valiosa commodity, torna-se fundamental adotar uma estratégia para proteção de tão importante ativo nas organizações.
 
Assim, o tema de Data Protection and Privacy está cada vez mais na agenda e deve estar no centro das prioridades de qualquer gestor. Estima-se, segundo a Gartner, que a partir de 2022, 30% dos ataques vão incidir sobre os dados-fonte de modelos de machine learning.
 
Apesar de assistirmos a alguma preocupação com o tema nas organizações, especialmente focada na melhoria dos seus processos internos, o certo é que este é um tema crítico, com tendência para aumentar nos próximos anos. Os ciberataques serão cada vez mais frequentes, e cada vez mais sofisticados.
 
Deste modo, para a implementação de uma estratégia de Data Protection, é necessário, por um lado, aumentar a consciencialização do tecido empresarial para esta temática, e, por outro lado, aumentar o seu know-how técnico. É essencial identificar onde e como se pode inovar, sem comprometer a segurança dos dados.
 
O que podem fazer as empresas para dar o salto?
 
Os clientes serão cada vez mais fiéis às organizações que assegurem a segurança e privacidade dos seus dados. Uma empresa que queira criar diferentes serviços e produtos de forma inovadora, fomentados por soluções de dados, inteligência artificial ou analítica, tem que, em primeiro lugar, definir uma correta estratégia de data protection & privacy e, em segundo lugar, assegurar as ferramentas necessárias para a proteção desses dados.
 
Uma das soluções possíveis é que os dados sejam “pseudo-anonimizados”. Isto quer dizer que uma base de dados operacional que esteja protegida ao ser migrada para a cloud, deve ser sujeita a um processo de anonimização. Em caso de um ataque cibernético que consiga ultrapassar as várias camadas de segurança da organização e aceder à base de dados, a informação recolhida não será relevante por não ser possível identificar ou relacionar esses dados com os indivíduos – são os dados que estão encriptados e não a base de dados.
 
Assim, não basta olhar para a segurança ao nível das suas redes, infraestrutura ou periféricos, e numa perspetiva preventiva. É necessário também pensar na segurança no caso de uma efetiva violação, garantindo que não será possível extrair informação legível dos dados comprometidos. Esta será a última camada de defesa nas organizações.
 
É necessário assegurar que as equipas de segurança e privacidade nas organizações estão alerta para a questão da proteção dos dados e têm as ferramentas e o know-how necessários para a implementação destas políticas.
 
Nos EUA assistimos a uma crescente adesão das empresas, por exemplo seguradoras, ao tema da anonimização, muito potenciado pelas alterações legislativas introduzidas, nomeadamente com o IPA (Investigatory Powers Act). Já no que toca à Europa, há uma grande disparidade entre a forma como os vários países abordam esta temática, registando-se também alguma preocupação em relação à adoção de políticas de Data Protection por parte de entidades públicas e governamentais, em que são tratados dados pessoais de cidadãos.
 
Em Portugal, o grande desafio é o da confiança. É necessário que as organizações tenham um plano para este tema e, ao mesmo tempo, que o receio de possíveis ataques não afete as suas estratégias de inovação e aposta nos dados.
 
Esta é uma missão onde todos têm um papel a desempenhar, só assim será possível estarmos mais seguros e garantirmos a privacidade dos dados que nos são confiados!
 
Publicado em IT Insight