Tempo de leitura: 5 Minutos
Os dados da sua empresa estão seguros fora do escritório? A GDPR (General Data Protection Regulation, Regulamentação Geral de Proteção de Dados) entra em vigor neste mês e afetará todas as organizações, de qualquer parte do mundo, que coletam ou processam dados pessoais sobre habitantes da União Europeia. Os especialistas em conformidade com a GDPR dão conselhos sobre como proteger seu negócio
Se há funcionários remotos na sua empresa, você já sabe como é importante garantir que os dados não sejam usados, armazenados ou empregados indevidamente. Com a efetivação da GDPR neste mês (maio de 2018), também será importante atender às regras rígidas da regulamentação, sob pena de danos significativos às finanças e à reputação da empresa. Pensando nisso, como você pode proteger dados remotos sem comprometer os benefícios de uma força de trabalho realmente flexível?
1. Treine os seus funcionários
Para a GDPR, a sua empresa é a "detentora das informações" e os funcionários remotos são os "administradores das informações". Segundo John Slaughter, Diretor Executivo da Data Comply, "isso significa que os funcionários remotos têm a mesma obrigação que a empresa em manter a segurança dos dados"(1). "A conformidade com a GDPR deve tornar-se prioridade em suas funções diárias, principalmente quando estiverem trabalhando remotamente", ele acrescenta. "É fundamental ter diretrizes claras sobre o uso de redes seguras. Por isso, identifique e comunique quais registros devem ser apenas acessados em ambientes seguros." Ele aconselha as empresas a treinar, treinar novamente e avaliar os funcionários para ter certeza de que eles compreendam os problemas e de que as práticas estejam atualizadas.
As empresas também podem reforçar a mensagem de que redes Wi-Fi públicas não são seguras. "As pessoas não devem acessar suas contas bancárias quando estiverem conectadas a redes públicas, e isso também vale para documentos corporativos sigilosos", afirma Andy Kay, Diretor de Tecnologia especializado em detecção e resposta a ameaças da Redscan(2). "Recomende que os funcionários só usem pontos de acesso Wi-Fi seguros ou usem uma conexão VPN para acessar a rede da empresa. Outra possibilidade é usar uma conexão 4G (ou por dongle) segura e de boa qualidade com o provedor de serviços."
2. Proteja todos os recursos com senha
A GDPR poderá aplicar multas correspondentes a até 4% da movimentação global da empresa em caso de violações consideráveis de dados. A única forma de evitar essas multas é comprovando que os dados estavam devidamente criptografados.
"Não existe segurança à prova de falhas. Até a NASA já sofreu ataques de hackers", afirma Andrei Hanganu, autor do kit de ferramentas da documentação da GDPR para a União Europeia(3). "No entanto, senhas fortes e soluções de criptografia adequadas ajudarão a proteger os dados contra usuários não autorizados."
A maioria das empresas usa programas de software para criptografar unidades e os arquivos salvos nelas, mas isso não se aplica automaticamente a dispositivos remotos. Andrei recomenda fornecer o software de criptografia necessário para notebooks, dispositivos móveis e desktops pessoais. Assim, o usuário só precisa de um PIN ou uma senha para acessar os dados em formato legível. Todos os funcionários devem ter o hábito de usar senhas para proteger tudo.
3. Limpe tudo
Ataques de vírus e malware podem coletar e monitorar dados, o que significa que a GDPR também está atenta a isso. "Com a dificuldade de oferecer proteção contra malware, a maioria das empresas acredita que sofrer um ataque desse tipo é apenas questão de tempo", afirma Nigel Tozer, Diretor de Soluções de Marketing da Commvault para a região EMEA(4). Ele recomenda garantir que os dispositivos dos funcionários estejam protegidos pelos sistemas operacionais e antivírus mais atualizados.
"Os seres humanos são sempre o elo mais fraco na segurança de uma organização, e as consequências de um único clique em um link malicioso ou da não atualização de um sistema podem ser catastróficas", Andy acrescenta. "Portanto, é importante conscientizar a todos sobre os riscos à segurança cibernética por meio de treinamentos regulares, principalmente de funcionários remotos que podem acessar dados e serviços corporativos de diferentes dispositivos, locais e redes."
As empresas também podem implementar atendimentos regulares para que o departamento de TI faça verificações de segurança regulares e aplique atualizações e upgrades aos dispositivos móveis dos funcionários.
A sua empresa tem uma estratégia para garantir a segurança dos dados, mesmo fora do escritório?
4. Lembre-se da segurança visual
"O mundo é tecnológico, e é fácil nos esquecermos de que as pessoas ainda podem furtar os dados da sua empresa sem utilizar a tecnologia", afirma Orlagh Kelly, Advogada e CEO da Briefed GDPR Training and Consultancy Specialists(5).
Em um experimento conduzido pela 3M, um hacker teve acesso a informações sigilosas apenas olhando para as telas das pessoas em 88% das tentativas(6).
"Recomende que seus funcionários fiquem atentos para que as pessoas não possam olhar a tela dos computadores quando eles estiverem trabalhando fora do escritório", Kelly aconselha. Você pode usar filtros de privacidade para a tela e bloquear a visão lateral de quem possa estar espiando o seu trabalho.
5. Conheça as limitações da nuvem
De acordo com um estudo do Ponemon Institute, 44% dos dados corporativos armazenados na nuvem não são gerenciados ou controlados por departamentos de TI. Como resultado, o uso dos serviços em nuvem pode triplicar a possibilidade de violações de dados na ordem de 20 milhões de dólares(7).
"É muito importante escolher corretamente o seu provedor de serviços em nuvem", Nigel Tozer afirma. "Você precisa saber exatamente qual será a resposta em caso de violação de dados, já que ambos os lados são responsáveis. Se todos os dados estiverem armazenados na União Europeia, o provedor de nuvem deve garantir que os requisitos legais sejam cumpridos. Você também deve verificar se os dados que deixam a União Europeia estão sendo protegidos de acordo com a GDPR."
Nigel reforça que, para a GDPR, mesmo que o provedor faça o processamento, a sua empresa é a detentora dos dados. "[Isso significa] que você é responsável por verificar as credenciais do provedor e assegurar que haja garantias suficientes para aplicar as medidas de proteção técnica e organizacional apropriadas, conforme a nova regulamentação da União Europeia."
6. Respeite a privacidade dos seus funcionários
Se você usa ferramentas ou tecnologias para monitorar a produtividade de seus funcionários remotos, será necessário pensar em como alinhar as suas boas intenções `a necessidade de proteger a privacidade dos funcionários", afirma George Harris, consultor de GDPR da DMPC Ltd(8). Segundo ele, "[monitorar a equipe] é algo difícil de se justificar em cenários baseados em padrões".
Com a norma da GDPR, fica delicado monitorar os dispositivos dos funcionários (por meio de registros de digitação ou do monitoramento do mouse) sem violar o direito deles à privacidade. De acordo com o artigo 29 da GDPR, "as tecnologias de monitoramento da comunicação podem […] ter efeito repressor nos direitos fundamentais dos funcionários de organizar, realizar reuniões e estabelecer comunicações confidenciais (incluindo o direito de buscar informações)(9)."
7. Tenha um plano de ação em caso de violação de dados
"A violação de dados pode incluir de tudo, de um ataque de malware que afete um notebook a um funcionário que esqueça seu celular no trem, ao envio indevido de registros por e-mail, e a um grupo que troque e-mails com usuários em cópia, e não em cópia oculta", afirma James Walker, Diretor Executivo da Jaw Consulting UK, empresa especializada em segurança cibernética, proteção de dados e privacidade(10).
Apesar de o primeiro instinto ser controlar os danos, com a GDPR, a urgência é maior ainda. "As organizações têm 72 horas para notificar as partes afetadas e a autoridade pertinente em caso de violação de dados, além de apresentar uma análise da possível consequência da violação e a medida tomada ou proposta para diminuir os efeitos negativos de tal violação", James afirma.
Você se lembra das multas de 4% que mencionamos? Isso pode estar em jogo em caso de falha na conformidade. "A única ressalva a esse procedimento de notificação acontece se você puder comprovar que a violação dificilmente resultará em riscos aos direitos e à liberdade das pessoas", James continua. "Mostrar que os dados foram criptografados corretamente é a melhor coisa e pode, até mesmo, eliminar a necessidade de reportar um incidente como violação de dados."
Fontes:
(1) https://datacomply.co.uk/
(2) https://www.redscan.com
(3) https://advisera.com/eugdpracademy/eu-gdpr-documentation-toolkit/
(4) https://www.commvault.com /
(5) https://www.briefed.pro/
(6) https://www.3m.co.uk/3M/en_GB/privacy-protection-UK/visual-privacy-issues/visual-hacking-experiment/
(7) https://www.ibm.com/security/data-breach
(8) http://dmpc.ltd.uk/
(9) https://www.huntonprivacyblog.com/wp-content/uploads/sites/18/2017/07/Opinion22017ondataprocessingatwork-wp249.pdf
(10) https://www.jawconsulting.co.uk
