Até que ponto os dados da sua empresa estão seguros fora do escritório? Um regulamento relativo à proteção de dados (GDPR) entra em vigor este mês, afetando todas as organizações a nível mundial que recolhem ou processam dados pessoais sobre os residentes da UE. Aqui, os especialistas em conformidade com o dito regulamento aconselham como proteger a sua empresa
Se sua empresa depende de funcionários remotos, já sabe o quão crucial é garantir que os dados não sejam utilizados indevidamente, não se extraviem ou não sejam desviados. Contudo, com o regulamento relativo à proteção de dados (GDPR) a entrar em vigor já este mês (maio de 2018), é igualmente importante certificar-se de que cumpre os rigorosos requisitos do regulamento, caso contrário enfrenta graves danos financeiros e de reputação. Então, de que forma pode proteger os dados em viagem, ao mesmo tempo que mantém as vantagens de uma força de trabalho verdadeiramente flexível?
1. Instrua os seus funcionários
Na linguagem do GDPR, a sua empresa é o "proprietário da informação" e os seus funcionários remotos são "processadores de informação". “Isto significa que o papel desempenhado pelos funcionários no sentido de manterem os dados da empresa seguros é tão importante como o seu”, afirma John Slaughter, Diretor Geral da Data Comply(1). “A conformidade com o GDPR deve tornar-se prioritária em todas as suas funções diárias, especialmente quando trabalham remotamente”, acrescenta. “Diretrizes claras sobre a utilização de redes seguras são fundamentais. Por esta razão, identifique e comunique quais os registos que estão restringidos a um ambiente seguro.” Também aconselha as empresas a darem formação, a atualizarem e examinarem os funcionários de modo regular, para se certificarem de que estes últimos conhecem os problemas e de que as respetivas práticas estão atualizadas.
As empresas também devem pensar em relembrar os funcionários que a rede Wi-Fi pública não é de todo segura. “Um individuo não deveria aceder ao banco através de uma rede pública, nem aceder a documentos confidenciais da empresa”, afirma Andy Kays, CTO na Redscan, especialista em deteção e resposta a ameaças(2). “Incentive os trabalhadores a utilizarem apenas pontos de acesso Wi-Fi seguros ou a estabelecerem ligação à rede da empresa através de uma ligação VPN segura. Também é uma boa ideia ligarem-se a Internet através de 4G (ou "dongle"), que oferece aos empregados uma ligação ótima e segura ao fornecedor de serviços."
2. Proteja tudo com uma palavra-passe
O GDPR irá provavelmente ter a capacidade de impor penalizações de até 4% do volume de negócios global de uma empresa na eventualidade de ocorrerem significativas violações de dados. A única exceção é se conseguir comprovar que os dados foram devidamente encriptados.
“Não existe segurança infalível, mesmo a Nasa sofreu ataques de hackers”, afirma Andrei Hanganu, a residir na Roménia, e autor do GDPR Documentation Toolkit da UE(3). “Contudo, palavras-passe fortes e soluções de encriptação adequadas irão manter os dados dos seus funcionários protegidos de utilizadores não autorizados.”
A maioria das empresas dispõe de software localmente para encriptar unidades e quaisquer ficheiros guardados nas mesmas, mas o mesmo não se aplica automaticamente aos dispositivos remotos. Hanganu recomenda a instalação do software de encriptação em computadores portáteis, telemóveis e computadores de secretária pessoais. Em seguida, tudo o que o utilizador necessita é de um PIN ou uma palavra-passe para aceder e desencriptar os dados para um formato legível. Todos os trabalhadores deviam ter o hábito de proteger tudo com uma palavra-passe.
3. Mantenha-se limpo
Os vírus e os ataques de malware podem recolher e rastrear dados, o que significa que também se enquadram na norma do GDPR. “Com malware contra o qual é tão difícil se protegerem, a maioria das empresas acredita que: não é se vão ser atacadas, mas quando é que vão ser atacadas”, declara Nigel Tozer, Diretor da EMEA Solutions Marketing na Commvault(4). Recomenda que é necessário garantir que os dispositivos dos empregados estão protegidos pelos sistemas operativos e software antivírus mais atualizados.
“As pessoas são sempre o elo mais fraco na postura de segurança de uma empresa, podendo ter consequências devastadoras, caso um simples funcionário clique num link malicioso ou não faça a atualização do sistema”, acrescenta Andy Kays. “Por isso, é muito importante sensibilizar para os riscos de cibersegurança através de formação regular dos empregados, em especial os trabalhadores remotos que podem estar a aceder a dados empresariais e a serviços de inúmeros dispositivos, localizações e redes.”
As empresas também podiam pensar em implementar sessões regulares com o departamento de TI, nas quais os funcionários podiam trazer os respetivos dispositivos móveis para verificações e atualizações de segurança periódicas.
A sua empresa tem alguma estratégia para manter os dados protegidos quando estes saem do escritório?
4. Não se esqueça da segurança visual
“Num mundo tecnologicamente avançado é fácil esquecer-nos de que ainda existem maneiras "low-tech" de as pessoas roubarem os dados da sua empresa”, afirma Orlagh Kelly, Advogado e CEO da Briefed GDPR Training and Consultancy Specialists(5).
Numa experiência orientada pela 3M, um hacker disfarçado conseguiu obter informações sensíveis olhando simplesmente para o ecrã de outra pessoa, isto em 88% dos testes(6).
“Incentive os funcionários a estarem atentos a quem possa observar os ecrãs, enquanto eles trabalham fora do escritório”, afirma Kelly. Poderá ser uma boa ideia fornecer filtros de privacidade que encaixam nos ecrãs e bloqueiam as vistas laterais dos curiosos.
5. Conheça as limitações da nuvem
De acordo com um estudo do Instituto Ponemon, 44% dos dados empresariais armazenados em ambientes da nuvem não são geridos nem controlados pelo departamento de TI. Como resultado, o estudo também revela que a utilização de serviços na nuvem pode aumentar a tripla probabilidade de ocorrer uma violação de dados em 20 milhões de dólares(7).
“Escolher o fornecedor da nuvem certo é muito importante”, afirma Nigel Tozer. “Precisa de saber exatamente como irão resolver uma violação de dados, uma vez que ambas as partes têm responsabilidades. Se todos os dados permanecerem na UE, o seu fornecedor da nuvem deve assegurar que os mesmos aí permanecem de modo a estarem em conformidade com os seus requisitos legais. Deve verificar igualmente se todos os dados que saem da UE estão devidamente protegidos em relação ao regulamento GDPR.”
Tozer salienta que, no que diz respeito ao regulamento GDPR, enquanto o fornecedor da nuvem é o processador de dados, a sua empresa é o agente controlador. “[Isto significa] que é da sua responsabilidade verificar as credenciais do seu fornecedor e certificar-se de que oferece garantias suficientes para implementar garantias técnicas e organizacionais adequadas que satisfaçam os novos regulamentos da UE.”
6. Respeite a privacidade dos seus funcionários
Se costuma utilizar ferramentas ou tecnologia para monitorizar a produtividade dos seus funcionários remotos, precisa de pensar de que modo vai alinhar as boas interações com a necessidade de proteger a privacidade dos mesmos, declara George Harris, Consultor do GDPR para a DMPC Ltd(8). “[Monitorizar os funcionários] é difícil de justificar num cenário empresarial padrão”, diz.
No âmbito do regulamento GDPR, é complicado monitorizar os dispositivos de um funcionários (através da tecnologia de registo de teclado ou registo do rato) sem violar o respetivo direito à privacidade. De acordo com o artigo 29.º Grupo de Trabalho do GDPR, "As tecnologias que monitorizam as comunicações podem […] ter um efeito dissuasor sobre os direitos fundamentais dos funcionários em organizar, estabelecer reuniões dos funcionários e comunicar confidencialmente (incluindo o direito de procurar informação)(9).”
7. Disponha de um plano de ação em caso de violação de dados
“Uma violação de dados pode incluir qualquer coisa desde um ataque de malware que afeta o computador portátil de alguém, a um funcionário que deixa o telemóvel do trabalho no comboio, a enviar inadvertidamente registos de correspondência para um grupo utilizando "cc" em vez de "bcc"”, afirma James Walker, Diretor Geral da Jaw Consulting UK, especialista em cibersegurança, proteção e privacidade de dados(10).
Embora o seu primeiro instinto seja iniciar os procedimentos de controlo de danos, em conformidade com o GDPR, a urgência em fazê-lo é superior. “Uma organização tem 72 horas para notificar ambos os indivíduos afetados e a autoridade supervisora em causa sobre a violação de dados, incluindo uma análise da provável consequência da violação e as medidas tomadas ou propostas para mitigar os efeitos negativos das mesmas”, afirma Walker.
Lembra-se daqueles 4% de penalização de que se falou? É o que pode estar em causa se não cumprir. “A isenção deste procedimento de notificação detalhado aplica-se caso consiga comprovar a improbabilidade de a violação resultar num risco dos direitos e liberdades de pessoas naturais”, diz Walker. “Demonstrar que encriptou devidamente os dados irá decididamente jogar a seu favor e poderá eliminar até mesmo a necessidade de reportar esse incidente como uma violação de dados.”
Fontes:
(1) https://datacomply.co.uk/
(2) https://www.redscan.com
(3) https://advisera.com/eugdpracademy/eu-gdpr-documentation-toolkit/
(4) https://www.commvault.com /
(5) https://www.briefed.pro/
(6) https://www.3m.co.uk/3M/en_GB/privacy-protection-UK/visual-privacy-issues/visual-hacking-experiment/
(7) https://www.ibm.com/security/data-breach
(8) http://dmpc.ltd.uk/
(9) https://www.huntonprivacyblog.com/wp-content/uploads/sites/18/2017/07/Opinion22017ondataprocessingatwork-wp249.pdf
(4) https://www.commvault.com /
