Em um primeiro momento, insta salientar que a proteção de dados compreende tanto informações de pessoas físicas quanto de pessoas jurídicas.
O uso contínuo dos meios digitais, ampliou a quantidade de informações pessoais e empresariais salvas em dispositivos eletrônicos como computadores, notebooks e tablets, que, muitas vezes são compartilhadas online, seja através de smartphones, e-mails etc, o que acaba por contribuir, por vezes, ao vazamento e/ou sequestro de informações, gerando impactos negativos do ponto de vista financeiro, estratégico, reputacional , entre outros, capazes de impactar gravemente as empresas e os profissionais que nela trabalham.
Vamos abordar aqui a segurança da informação nas empresas, destacando que para gerir a segurança da informação e garantir a proteção e a preservação do valor que estas possuem para a organização, é preciso estabelecer e incorporar alguns princípios básicos da segurança da informação, a saber: confidencialidade, integridade e disponibilidade.
01. Confidencialidade
Começando pela confidencialidade, é necessário definir o que é sigiloso dentro da organização, deixando isso claro aos colaboradores internos, parceiros de negócios, terceirizados e todos aqueles que de alguma forma fazem parte do dia a dia da operação. Dessa forma, mitiga-se o risco de determinadas informações estarem disponíveis ou serem divulgadas a indivíduos, entidades ou processos sem autorização. Uma boa forma de elucidar quanto ao sigilo é realizar treinamentos que tratem do assunto, e propor que todos assinem um termo de respeito à confidencialidade, estabelecendo penalidades em caso de descumprimento.
Cabe também à confidencialidade a gestão do controle que a organização impõe em seu servidor aos colaboradores, sejam eles internos ou externos. Por exemplo: controlar quais setores podem acessar cada pasta, definir uma senha de acesso para cada colaborador e rastrear os seus acessos, definir quais usuários podem ou não copiar documentos do servidor da empresa, entre outras opções, a serem verificadas junto à equipe de TI que atende a organização. Vale lembrar que colaboradores desligados da organização, devem ter seus acessos cancelados.
A própria Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018) prevê sanções administrativas para os casos de violação às suas disposições. Assim, as organizações que incorrerem em vazamentos de dados e de informações, ainda que de forma acidental, poderão ser punidas.
O artigo 48 da LGPD prevê que a pessoa responsável pelas decisões sobre o tratamento de dados da companhia, deverá comunicar a Autoridade Nacional de Proteção de Dados e os titulares dos dados pessoais, em prazo razoável, sobre a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante ao titular. O controlador deve também descrever e classificar a informação vazada e analisar criticamente os impactos causados, para contingenciar a problemática. Em seguida, o tomador de decisões deve estudar como mitigar novos incidentes.
Logicamente, que muito antes da confidencialidade, deve ser tratado o aspecto da integridade.
02. Integridade
Quando tratamos da segurança da informação nas empresas, a integridade significa assegurar que seja mantida a originalidade do dado e/ou informação, impedindo sua alteração ou destruição por pessoas não autorizadas, visando sempre a exatidão da informação. Uma ferramenta importante para as empresas, é a de recuperação de informações danificadas ou perdidas, somente acessada por pessoal autorizado, pois quando alterados os dados/informações, se perde a veracidade, o valor e os propósitos originais, tendo sua integridade descaracterizada, ressaltando aqui a importância da equipe de TI e da definição de quem pode acessar ou alterar cada documento digital e físico. Também é imprescindível que a organização tenha uma cultura forte e enraizada de comportamento ético pelos colaboradores e profissionais que lhe atendem. Isso porque podem ocorrer situações de oportunidade de desvio de conduta, como por exemplo a oferta de facilidades ou benefícios em troca de informações, porém quando a cultura e a consciência ética estão fortes, esses transtornos são mitigados.
03. Disponibilidade
Já quando tratamos da disponibilidade, nos referimos ao sistema de funcionamento de uma rede, que deve estar operável e dispondo os dados e/ou informações de modo seguro para acesso pelos usuários autorizados. A equipe de TI deve estruturar um sistema livre de falhas e seguro. Na hora de gerar relatórios é necessário que os dados possam ser facilmente encontrados e processados, isso significa assegurar a disponibilidade dos dados e informações.
É interessante também a elaboração, divulgação e treinamento de uma Cartilha ou Caderno de Informações de Conduta, que contemple de modo didático uma Política de Segurança da Informação, esclarecendo o que é e o que não é permitido dentro da empresa, para evitar alegações de desconhecimento posteriores.
Deste modo, resguarda-se os colaboradores e a empresa, pois é possível o rastreio, o controle, dificultando o acesso por parte de agentes externos e brechas para desvios de conduta.
Observando as ferramentas e os riscos aqui apontados, podemos afirmar que é essencial uma verificação periódica (auditoria) dos controles internos da organização, com os resultados obtidos relatados formalmente à alta direção da organização, para a definição de ações de correção e/ou melhorias.
Uma oportunidade interessante a ser abraçada neste momento de clarificação acerca da LGPD é a fusão entre compliance de dados físicos e compliance digital. Levando em conta que a gestão dos riscos deve ser feita sob todos os aspectos, agrega-se aqueles que forem de natureza digital aos “palpáveis”, gerando uma gestão integrada empresarial.
Setores importantes da companhia como o de recursos humanos, financeiro e departamento estratégico, possuem um risco maior de vazamento de dados, e por isso os treinamentos aos colaboradores dessas áreas deverão ser mais frequentes, assim como os controles deverão ser mais rígidos a fim de mitigar os riscos de vazamento e sequestro de dados. No entanto, cada organização possui sua subdivisão de processos, e uma análise prévia dos riscos que cada setor está exposto definirá a rigidez dos controles a serem implementados.
Conclusão – Todas as organizações precisam de um Sistema de Segurança de Informação
Diante do exposto, é possível concluir que todas as organizações precisam de um Sistema de Segurança de Informação, prevenindo impactos negativos sob o ponto de vista estratégico, financeiro e de reputação. A estruturação dessa ferramenta é feita sob três pilares, que determinam quem podem acessar, alterar e compartilhar dados e informações, dentro de um sistema restrito, seguro e inteligente, capaz de reparar as falhas detectadas, através da recuperação dos dados e informações originais, desenhado pela alta direção e executado pela equipe de tecnologia da informação. Os benefícios da implementação de uma política de segurança da informação são inúmeros, pois esta corrobora para a mitigação dos riscos de vendas e/ou trocas de dados por benefícios, vazamentos de dados sigilosos para concorrentes prejudicando de modo estratégico e financeiro a companhia e alteração de dados e/ou informações que impactem a integridade, disponibilidade e confidencialidade destas.
A construção dessa ferramenta pode ser feita entre três equipes: alta direção, gestão de compliance/integridade e departamento de tecnologia da informação. Com vistas à melhoria contínua, mesmo que a princípio não se detecte riscos no momento, as políticas auxiliam na organização das empresas e na construção da cultura desejada e da imagem perante os clientes e o mercado.
Fonte: Studio estratégia