Blog Post

Mecanismos e Boas Práticas para a Segurança da Informação nas Empresas

Em um primeiro momento, insta salientar que a proteção de dados compreende tanto informações de pessoas físicas quanto de pessoas jurídicas.

O uso contínuo dos meios digitais, ampliou a quantidade de informações pessoais e empresariais salvas em dispositivos eletrônicos como computadores, notebooks e tablets, que, muitas vezes são compartilhadas online, seja através de smartphones, e-mails etc, o que acaba por contribuir, por vezes, ao vazamento e/ou sequestro  de informações, gerando impactos negativos do ponto de vista financeiro, estratégico, reputacional , entre outros, capazes de impactar gravemente  as empresas e os profissionais que nela trabalham.

Vamos abordar aqui a segurança da informação nas empresas, destacando que para gerir a segurança da informação e garantir a proteção e a preservação do valor que estas possuem para a organização, é preciso estabelecer e incorporar alguns princípios básicos da segurança da informação, a saber: confidencialidade, integridade e disponibilidade.

SEGURANÇA DA INFORMAÇÃO NAS EMPRESAS CONFIDENCIALIDADE

01. CONFIDENCIALIDADE

Começando pela confidencialidade, é necessário definir o que é sigiloso dentro da organização, deixando isso claro aos colaboradores internos, parceiros de negócios, terceirizados e todos aqueles que de alguma forma fazem parte do dia a dia da operação. Dessa forma, mitiga-se o risco de determinadas informações estarem disponíveis ou serem divulgadas a indivíduos, entidades ou processos sem autorização. Uma boa forma de elucidar quanto ao sigilo é realizar treinamentos que tratem do assunto, e propor que todos assinem um termo de respeito à confidencialidade, estabelecendo penalidades em caso de descumprimento.

Cabe também à confidencialidade a gestão do controle que a organização impõe em seu servidor aos colaboradores, sejam eles internos ou externos. Por exemplo: controlar quais setores podem acessar cada pasta, definir uma senha de acesso para cada colaborador e rastrear os seus acessos, definir quais usuários podem ou não copiar documentos do servidor da empresa, entre outras opções, a serem verificadas junto à equipe de TI que atende a organização. Vale lembrar que colaboradores desligados da organização, devem ter seus acessos cancelados.

A própria Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018) prevê sanções administrativas para os casos de violação às suas disposições. Assim, as organizações que incorrerem em vazamentos de dados e de informações, ainda que de forma acidental, poderão ser punidas. 

O artigo 48 da LGPD prevê que a pessoa responsável pelas decisões sobre o tratamento de dados da companhia, deverá comunicar a Autoridade Nacional de Proteção de Dados e os titulares dos dados pessoais, em prazo razoável, sobre a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante ao titular. O controlador deve também descrever e classificar a informação vazada e analisar criticamente os impactos causados, para contingenciar a problemática. Em seguida, o tomador de decisões deve estudar como mitigar novos incidentes.

Logicamente, que muito antes da confidencialidade, deve ser tratado o aspecto da integridade.

Mecanismos e Boas Práticas para a Segurança da Informação nas Empresas

02. INTEGRIDADE

Quando tratamos da segurança da informação nas empresas, a integridade significa assegurar que seja mantida a originalidade do dado e/ou informação, impedindo sua alteração ou destruição por pessoas não autorizadas, visando sempre a exatidão da informação. Uma ferramenta importante para as empresas, é a de recuperação de informações danificadas ou perdidas, somente acessada por pessoal autorizado, pois quando alterados os dados/informações, se perde a veracidade, o valor e os propósitos originais, tendo sua integridade descaracterizada, ressaltando aqui a importância da equipe de TI e da definição de quem pode acessar ou alterar cada documento digital e físico. Também é imprescindível que a organização tenha uma cultura forte e enraizada de comportamento ético pelos colaboradores e profissionais que lhe atendem. Isso porque podem ocorrer situações de oportunidade de desvio de conduta, como por exemplo a oferta de facilidades ou benefícios em troca de informações, porém quando a cultura e a consciência ética estão fortes, esses transtornos são mitigados.

SEGURANÇA DA INFORMAÇÃO DISPONIBILIDADE

03. DISPONIBILIDADE

Já quando tratamos da disponibilidade, nos referimos ao sistema de funcionamento de uma rede, que deve estar operável e dispondo os dados e/ou informações de modo seguro para acesso pelos usuários autorizados. A equipe de TI deve estruturar um sistema livre de falhas e seguro. Na hora de gerar relatórios é necessário que os dados possam ser facilmente encontrados e processados, isso significa assegurar a disponibilidade dos dados e informações.

É interessante também a elaboração, divulgação e treinamento de uma Cartilha ou Caderno de Informações de Conduta, que contemple de modo didático uma Política de Segurança da Informação, esclarecendo o que é e o que não é permitido dentro da empresa, para evitar alegações de desconhecimento posteriores.

Deste modo, resguarda-se os colaboradores e a empresa, pois é possível o rastreio, o controle, dificultando o acesso por parte de agentes externos e brechas para desvios de conduta.

Observando as ferramentas e os riscos aqui apontados, podemos afirmar que é essencial uma verificação periódica (auditoria) dos controles internos da organização, com os resultados obtidos relatados formalmente à alta direção da organização, para a definição de ações de correção e/ou melhorias.

Uma oportunidade interessante a ser abraçada neste momento de clarificação acerca da LGPD é a fusão entre compliance de dados físicos e compliance digital. Levando em conta que a gestão dos riscos deve ser feita sob todos os aspectos, agrega-se aqueles que forem de natureza digital aos “palpáveis”, gerando uma gestão integrada empresarial.

Setores importantes da companhia como o de recursos humanos, financeiro e departamento estratégico, possuem um risco maior de vazamento de dados, e por isso os treinamentos aos colaboradores dessas áreas deverão ser mais frequentes, assim como os controles deverão ser mais rígidos a fim de mitigar os riscos de vazamento e sequestro de dados. No entanto, cada organização possui sua subdivisão de processos, e uma análise prévia dos riscos que cada setor está exposto definirá a rigidez dos controles a serem implementados.

Conclusão – Todas as organizações precisam de um Sistema de Segurança de Informação

Diante do exposto, é possível concluir que todas as organizações precisam de um Sistema de Segurança de Informação, prevenindo impactos negativos sob o ponto de vista estratégico, financeiro e de reputação. A estruturação dessa ferramenta é feita sob três pilares, que determinam quem podem acessar, alterar e compartilhar dados e informações, dentro de um sistema restrito, seguro e inteligente, capaz de reparar as falhas detectadas, através da recuperação dos dados e informações originais, desenhado pela alta direção e executado pela equipe de tecnologia da informação. Os benefícios da implementação de uma política de segurança da informação são inúmeros, pois esta corrobora para a mitigação dos riscos de vendas e/ou trocas de dados por benefícios, vazamentos de dados sigilosos para concorrentes prejudicando de modo estratégico e financeiro a companhia e alteração de dados e/ou informações que impactem a integridade, disponibilidade e confidencialidade destas.

A construção dessa ferramenta pode ser feita entre três equipes: alta direção, gestão de compliance/integridade e departamento de tecnologia da informação. Com vistas à melhoria contínua, mesmo que a princípio não se detecte riscos no momento, as políticas auxiliam na organização das empresas e na construção da cultura desejada e da imagem perante os clientes e o mercado.

Desejamos a todos um excelente 2021, com muito sucesso!

***

Se você gostou do tema abordado neste post e deseja saber mais a respeito, deixe um comentário ou assine nossa newsletter para se manter atualizado.

mm

Sobre Ana Carolina Colnaghi

Natural de São Leopoldo/RS. Graduada em Arquitetura e Urbanismo pela Unisinos – Universidade do Vale do Rio dos Sinos. Pós-Graduada em Construções Sustentáveis. Possui especialização em Compliance. Auditora Líder ISO 19600 e 37001, reconhecida pela RAC/ABENDI. Atua na Construção Civil. Consultora de Compliance no Studio Estratégia, desenvolvendo e analisando processos e procedimentos, visando a melhoria contínua com base em Normas de Sistema de Gestão.

2 thoughts on “Mecanismos e Boas Práticas para a Segurança da Informação nas Empresas

  1. Rosane Galiotto disse:

    Bem esclarecedora a matéria, gostei muito. Parabéns Ana Carolina.

Deixe seu comentário