É preciso organizar TI e pessoas contra vazamento de dados.
Cada vez mais há incidentes envolvendo vazamento de informação confidencial ou uso de informação privilegiada por funcionários, fornecedores ou parceiros nas empresas. Por que isso tem crescido apesar de existir já tecnologias mais protetivas, bem como muitas das grandes empresas já possuírem Políticas e Normas a respeito?
Temos visto que para proteção de dados corporativos se faz necessária a implementação de diversas medidas, em conjunto, e não apenas ter um documento de norma interna sobre o assunto. Os dois aspectos mais delicados para garantir o cumprimento das normas são: Processos e Pessoas. Ou seja, não adianta ter a norma sem ficar claro o procedimento e as responsabilidades dos envolvidos, quem deve executar a tarefa em si. Assim como não adianta ter a norma e o processo sem haver capacitação e conscientização. Afinal, do ponto de vista do indivíduo, que é a menor célula de uma empresa, há sempre o pensamento de que “nunca vai acontecer comigo”. Logo, há um grande desafio de construção de cultura interna de proteção de informação confidencial.
Em termos de diagnóstico, merece atenção ainda a questão de que em muitas empresas a parte de segurança física/patrimonial está separada da segurança da informação. Ou seja, a perda ou furto de um equipamento, como um notebook, smartphone, pen drive, de propriedade da empresa, ou a entrada/acesso indevido ao ambiente da empresa por pessoa não autorizada são situações cuja gestão para prevenção, contenção e reação, normalmente, está na alçada da Segurança Patrimonial, e, em geral, não alinhada com normas e processos de Segurança da Informação.
Temos visto que para proteção de dados corporativos se faz necessária a implementação de diversas medidas, em conjunto, e não apenas ter um documento de norma interna sobre o assunto. Os dois aspectos mais delicados para garantir o cumprimento das normas são: Processos e Pessoas. Ou seja, não adianta ter a norma sem ficar claro o procedimento e as responsabilidades dos envolvidos, quem deve executar a tarefa em si. Assim como não adianta ter a norma e o processo sem haver capacitação e conscientização. Afinal, do ponto de vista do indivíduo, que é a menor célula de uma empresa, há sempre o pensamento de que “nunca vai acontecer comigo”. Logo, há um grande desafio de construção de cultura interna de proteção de informação confidencial.
Em termos de diagnóstico, merece atenção ainda a questão de que em muitas empresas a parte de segurança física/patrimonial está separada da segurança da informação. Ou seja, a perda ou furto de um equipamento, como um notebook, smartphone, pen drive, de propriedade da empresa, ou a entrada/acesso indevido ao ambiente da empresa por pessoa não autorizada são situações cuja gestão para prevenção, contenção e reação, normalmente, está na alçada da Segurança Patrimonial, e, em geral, não alinhada com normas e processos de Segurança da Informação.
Nos últimos anos diversas empresas brasileiras têm aberto em bolsa e isso faz com que situações de incidentes como estes assumam proporções catastróficas, com impacto direto no valor financeiro das ações e na própria reputação. Não é aceitável que empresas de médio e grande porte não tenham um procedimento adequado de criptografia da informação confidencial quando em dispositivos móveis. Muitas não possuem nem norma específica para isso, imagina então treinamento de equipes.
Quanto mais elevado é o cargo na hierarquia maior necessidade de mobilidade tem o executivo. Isso faz com que precise ser dada uma atenção especial ao tratamento dos dados pelos mesmos. A empresa precisa padronizar a ferramenta de criptografia, definir se haverá a guarda da chave-mestre, adquirir equipamentos que permitam inclusive identificação por biometria quando a informação a ser guardada é de altíssimo impacto (nível secreta).
Quanto mais elevado é o cargo na hierarquia maior necessidade de mobilidade tem o executivo. Isso faz com que precise ser dada uma atenção especial ao tratamento dos dados pelos mesmos. A empresa precisa padronizar a ferramenta de criptografia, definir se haverá a guarda da chave-mestre, adquirir equipamentos que permitam inclusive identificação por biometria quando a informação a ser guardada é de altíssimo impacto (nível secreta).
Logo, em termos de recomendações, há 3 níveis a serem trabalhados:
1º. Nível – tecnologia – definição da ferramenta de criptografia (padrão de cifragem, chave mestra, uso ou não de biometria em equipamentos portáteis como notebook e pen drive, outros);
2º. Nível – Políticas e Processos – elaboração de norma específica sobre proteção de dados em mobilidade que deve tratar do tráfego de informações em email, FTP, pen drive, CD, DVD, Smartphone e Notebook. Deve ser criado um procedimento, com um formulário a ser preenchido envolvendo solicitante do tráfego e transportador (usuário ou proprietário da informação). Aqui deve ser criada uma Norma específica e um Procedimento para fornecedores (terceirizados) críticos, que recebem informação confidencial da empresa (que não é apenas a assinatura de NDA ou inserção de cláusula de confidencialidade).
3º. Nível – Pessoas – é essencial que seja ministrado um treinamento específico para gestores e executivos de alto escalão da empresa, que são os que mais geram, manuseiam, portam dados confidenciais. O assunto é sério e a empresa deve mostrar qual é a regra, como cumprir a regra e qual a conseqüência de não cumprimento da mesma. Muitas vezes, a falta de noção de conseqüência faz com que se subestimem os riscos envolvidos nas situações cotidianas e rotineiras da vida corporativa.
Com isso, as empresas são capazes de fazer a gestão de risco adequada e evitar incidentes. Se o mesmo ocorrer, há toda prova jurídica para demonstrar que a empresa não foi omissa nem negligente e a responsabilidade deixa de ser corporativa, envolvendo cargos (chefias), para ser individual (do infrator). Do contrário, considerando os preceitos de governança corporativa e a aplicação de normas como Código Civil e CVM 358, a responsabilidade é do superior imediato, podendo chegar em diretores estatutários e presidente da empresa. Proteção de dados não é ter redundância, backup, é muito mais que isso!
0 comentários:
Postar um comentário