Privacy awareness in Portuguese SMEs

Detalhes bibliográficos
Autor(a) principal: Alvega, João Manuel Costa
Data de Publicação: 2021
Tipo de documento: Dissertação
Idioma: eng
Título da fonte: Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
Texto Completo: http://hdl.handle.net/10451/51906
Resumo: Tese de Mestrado, Segurança Informática, 2021, Universidade de Lisboa, Faculdade de Ciências
id RCAP_e9b8c4246d9e18b3bfc4280deaac5d64
oai_identifier_str oai:repositorio.ul.pt:10451/51906
network_acronym_str RCAP
network_name_str Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
repository_id_str 7160
spelling Privacy awareness in Portuguese SMEsPrivacidadeRGPDGestão de RiscoMelhores PráticasStandards da IndústriaTeses de mestrado - 2021Domínio/Área Científica::Engenharia e Tecnologia::Engenharia Eletrotécnica, Eletrónica e InformáticaTese de Mestrado, Segurança Informática, 2021, Universidade de Lisboa, Faculdade de CiênciasA revisão do Regulamento Geral da Proteção de Dados (RGPD) chegou numa altura em que os utilizadores de serviços online sentem-se desprotegidos perante as práticas abusivas das organizações que lhes proporcionam estes serviços e em que se verifica uma desconfiança crescente resultante destas práticas. Entre estas práticas contam-se a recolha desmedida de informação sobre os utilizadores e publicidade dirigida. O RGPD veio regulamentar a recolha de informação pessoal e proteger a informação pessoal dos utilizadores. Enquanto que, o regulamento é visto com agrado pelos utilizadores em geral, este tem significado trabalho extra para as organizações de pequena e média dimensão (PME). Tal como outras organizações, as PMEs Portuguesas têm que manter conformidade com as regulamentações e fazer o seu melhor para proteger a privacidade dos sues utilizadores. Isto significa a manutenção das melhores práticas da indústria, avaliar e administrar o risco enquanto tentam manter-se como empresas viáveis dum ponto de vista económico. Com a maioria das organizações da atualidade a ter algum tipo de presença online e as ameaças à segurança informática em crescendo, estas Organizações também têm que proteger estes ativos online o melhor que conseguirem sobre pena de disseminação de informação confidencial e incorrer em pesadas multas perante o regulamento. A obtenção de claro e expresso consentimento, a explicação sucinta dos métodos usados para processar a informação e a salvaguarda da informação privada de cada utilizador são tarefas que podem ser uma sobrecarga muito grande para as organizações mais pequenas cuja dimensão pode ser tão reduzida como pessoas singulares ou pequenas empresas familiares. Estas organizações têm que se manter competitivas, manter a privacidade da informação dos utilizadores e também manter a conformidade para com o RGPD a custos aceitáveis para a sua sobrevivência. Para este trabalho sondámos PMEs Portuguesas para a conformidade com o regulamento geral de proteção de dados. Dos dados obtidos avaliamos os esforços dessas organizações em cumprir com o regulamento e identificamos possíveis melhorias que essas organizações possam realizar. Criámos um questionário que disponibilizámos online e que as organizações puderam interagir anonimamente. Fizemos um total de 56 perguntas que dividimos em 18 conjuntos. Tentámos saber se os participantes do nosso questionário teriam alguma função relacionada com segurança de dados, segurança informática avaliação de rico ou funções relevantes ao cumprimento do RGPD, tais como responsável pela proteção de dados. Dado o grande enfase do RGPD na proteção online dos utilizadores e a sua informação pessoal criámos questões especificas direcionadas a serviços informáticos e plataformas online. Nos anos mais recentes vimos os preços de serviços “cloud” diminuírem drasticamente e proporcionaram a massificação e adoção destes serviços online e “cloud”. Questionámos os participantes ser teriam ou não este tipo de serviço e se os provedores destes serviços cumprem com as melhores práticas da indústria. Proporcionando, estes provedores, evidências de hardening bem como relatórios frequentes sobre a segurança dos serviços prestados por estes. Nesta orientação de pensamento perguntamos se os participantes têm um site ou página web. Esta pergunta serviu de base para a pergunta seguinte sobre a utilização de https na página/site, mais propriamente se usam cifras fortes bem como se mantêm estes servidores atualizados e a aplicação de todos os patchs de segurança recomendados. Para chamar a atenção de ferramentas online que possam ajudar na correta configuração de serviços online, questionamos se os participantes com este tipo de serviço teriam uma boa “nota” numa destas ferramentas. Algumas organizações apenas possuem infraestrutura informática própria. No entanto, independentemente de como é constituída a infraestrutura de cada organização algumas perguntas mesmo que genéricas ajudam a avaliar a cultura informática e a forma como esta tecnologias de informação são empregues. Assim, questionamos sobre as estações de trabalho. Se estas têm antivírus, anti-malware e se são atualizadas frequentemente. O mesmo conjunto de perguntas foi aplicado a equipamentos de rede, firewalls, filtros de spam e servidores. A segurança dos dados depende também da existência de firewalls com as mais diversas funções e configurações. Assim sendo, fizemos questões sobre a existência destes equipamentos e se os participantes consideram que estes equipamentos estivessem bem configurados para as funções de proteção da sua infraestrutura informática. No questionário fizemos perguntas sobre a existência de políticas de atualização dos sistemas, bem como políticas de backups. Dentro da temática dos backups questionamos sobre testes de restauro desses backups e o sucesso desses testes. Testes de restauro e o sucesso destes testes servem para viabilizar os backups, bem como base das práticas correntes de inúmeras boas políticas de backups. Abordamos também a existência de políticas de passwords e a atribuição de acessos/privilégios, de acordo com as funções. As questões sobre acessos são adequadas a diversas situações de controlo na utilização de recursos informáticos. Questionámos sobre acessos físicos a servidores e informação. Sendo no caso dos servidores, se apenas os técnicos devidos têm acesso a estes e se apenas estes são os únicos a administrar estes equipamentos. No caso do acesso à informação, se o acesso era restrito de acordo com a função e necessidade. Estas questões sobre acesso à informação foram mais a enquadrá-las no âmbito do RGPD. Questionámos se as pessoas que têm acesso a dados pessoais estão conscientes com as suas obrigações. A proteção de dados, a recolha dos dados estritamente necessários, a obtenção do consentimento para a recolha desses dados, a liberdade para que os utilizadores possam ser esquecidos por uma dada plataforma ou corrigir e atualizar os seus dados pessoais, são conceitos reforçados e regulados pelo RGPD. Para as organizações estruturadas por departamentos isto significa a coordenação dos diversos departamentos envolvidos para o cumprimento de todos os requisitos do RGPD. Organizações mais desenvolvidas delegam esta coordenação a responsáveis pela proteção de dados, como regulado pelo RGPD. No entanto nem todas as organizações têm acesso a este tipo de organização estrutural interna dada a sua dimensão e ou ramo de atividade, tentando chegar a um compromisso entre o desejável, o possível e a legalidade. Para o utilizador que visita ou usufrui destes serviços estas organizações são apenas plataformas/sites online com os seus dados pessoais onde estes depositam a sua confiança de uma correta utilização e proteção desses dados. Esta confiança deve ser transmitida pela organização aos utilizadores, no entanto os parceiros dessas organizações devem ter a mesma relação de confiança entre parceiros. Para validar a confiança das organizações participantes nos seus parceiros, questionámos se acham que seriam informados no caso de um dos seus parceiros ser alvo de um ataque informático. Esta questão é relevante para avaliar a reputação de uma organização bem com o mantimento do nível de confiança dos seus utilizadores e potenciador de uma atenção a potenciais vetores de ataque que possam emergir. O nosso questionário foi programado de forma a não recolher informação pessoal dos participantes nem quaisquer dados que os pudesse identificar ou as suas organizações. O convite para participar no inquérito foi enviado por e-mail para pessoas, empresas e organizações que já tínhamos tido contacto no passado. Recorremos também a listas públicas de empresas e organizações de várias regiões do país e diversas áreas da economia Portuguesa que convidamos a participar. Antes de aceder à página do questionário, como acontece com outras páginas, o participante tinha que provar que é humano através de um desafio. Concluímos o nosso inquérito com uma questão de satisfação dos participantes relativamente à contribuição que o inquérito teve para melhorar a sua sensibilização para a segurança, privacidade e proteção de dados.The general data protection regulation is a different approach to the today’s dilemma of unrestrained users tracking and user-oriented advertisement. While the regulation is welcomed by users in general, this has meant extra work for small and medium sized organizations. Like other organizations, Portuguese SMES have to maintain compliance with the regulations and do their best to protect user’s privacy. This implies maintaining industry best practices, assessing and managing risk while trying to maintain profitability. With most organizations today having some kind of online presence and cyber-security threats on the rise, Organizations also have to protect their online assets as best as they can under penalty of leaking private information and incur in heftier fines under the regulation. Obtaining clear and express consent, succinctly explain data processing methods and safeguard user’s private data are chores that may have a heavy burden on small organizations that in some cases might be single person or even family enterprises. These organizations have to maintain competitiveness, compliance with the regulation while also maintaining user privacy, information and data safety, at acceptable running costs. For this work Portuguese SMEs were surveyed for compliance with the general data protection regulation. From the data obtained we assess their efforts in complying with the regulation and points we believe can be improved.Respício, Ana Luísa do Carmo CorreiaRepositório da Universidade de LisboaAlvega, João Manuel Costa2022-03-22T17:34:22Z202120212021-01-01T00:00:00Zinfo:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisapplication/pdfhttp://hdl.handle.net/10451/51906TID:202931374enginfo:eu-repo/semantics/openAccessreponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãoinstacron:RCAAP2023-11-08T16:56:55Zoai:repositorio.ul.pt:10451/51906Portal AgregadorONGhttps://www.rcaap.pt/oai/openaireopendoar:71602024-03-19T22:03:07.357629Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãofalse
dc.title.none.fl_str_mv Privacy awareness in Portuguese SMEs
title Privacy awareness in Portuguese SMEs
spellingShingle Privacy awareness in Portuguese SMEs
Alvega, João Manuel Costa
Privacidade
RGPD
Gestão de Risco
Melhores Práticas
Standards da Indústria
Teses de mestrado - 2021
Domínio/Área Científica::Engenharia e Tecnologia::Engenharia Eletrotécnica, Eletrónica e Informática
title_short Privacy awareness in Portuguese SMEs
title_full Privacy awareness in Portuguese SMEs
title_fullStr Privacy awareness in Portuguese SMEs
title_full_unstemmed Privacy awareness in Portuguese SMEs
title_sort Privacy awareness in Portuguese SMEs
author Alvega, João Manuel Costa
author_facet Alvega, João Manuel Costa
author_role author
dc.contributor.none.fl_str_mv Respício, Ana Luísa do Carmo Correia
Repositório da Universidade de Lisboa
dc.contributor.author.fl_str_mv Alvega, João Manuel Costa
dc.subject.por.fl_str_mv Privacidade
RGPD
Gestão de Risco
Melhores Práticas
Standards da Indústria
Teses de mestrado - 2021
Domínio/Área Científica::Engenharia e Tecnologia::Engenharia Eletrotécnica, Eletrónica e Informática
topic Privacidade
RGPD
Gestão de Risco
Melhores Práticas
Standards da Indústria
Teses de mestrado - 2021
Domínio/Área Científica::Engenharia e Tecnologia::Engenharia Eletrotécnica, Eletrónica e Informática
description Tese de Mestrado, Segurança Informática, 2021, Universidade de Lisboa, Faculdade de Ciências
publishDate 2021
dc.date.none.fl_str_mv 2021
2021
2021-01-01T00:00:00Z
2022-03-22T17:34:22Z
dc.type.status.fl_str_mv info:eu-repo/semantics/publishedVersion
dc.type.driver.fl_str_mv info:eu-repo/semantics/masterThesis
format masterThesis
status_str publishedVersion
dc.identifier.uri.fl_str_mv http://hdl.handle.net/10451/51906
TID:202931374
url http://hdl.handle.net/10451/51906
identifier_str_mv TID:202931374
dc.language.iso.fl_str_mv eng
language eng
dc.rights.driver.fl_str_mv info:eu-repo/semantics/openAccess
eu_rights_str_mv openAccess
dc.format.none.fl_str_mv application/pdf
dc.source.none.fl_str_mv reponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
instacron:RCAAP
instname_str Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
instacron_str RCAAP
institution RCAAP
reponame_str Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
collection Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
repository.name.fl_str_mv Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
repository.mail.fl_str_mv
_version_ 1799134581811576832

Registros relacionados