O que empresas devem fazer para garantir a segurança de informações e dados sensíveis e seguir a LGPD ao adotar o trabalho remoto

O home office traz vantagens aos colaboradores, como o aumento da produtividade e da qualidade de vida, além da diminuição de custos para as empresas. Em contrapartida, demanda também atenção a assuntos sensíveis como a segurança da informação.

Afinal, quando os colaboradores trabalham em casa, a empresa não tem o controle sobre o ambiente em que suas informações são acessadas. Assim, surge o temor de perda ou roubo de dados sigilosos, o que poderia comprometer a operação do negócio e gerar sanções legais.

Dessa forma, as companhias devem tomar medidas que garantam a segurança da informação e a proteção dos dados enquanto o trabalho remoto for adotado. A seguir, detalhamos quais alternativas podem ser praticadas e também o que os colaboradores podem fazer para evitar riscos de ataques cibernéticos.

Os riscos para segurança da informação no trabalho remoto

Ao adotar o home office como uma modalidade de trabalho, as empresas e seus colaboradores devem ficar atentos a uma série de fatores que podem apresentar riscos para a segurança da informação daquela companhia e de seus clientes.

Neste momento, é preciso ponderar sobre o uso de equipamentos da empresa ou pessoais para que os funcionários possam exercer suas atividades. Também deve ser analisadas com maior profundidade quais medidas podem ser tomadas para amenizar o risco de ataques cibernéticos.

Uma das preocupações a serem consideradas no home office é a exposição de informações a outras pessoas que convivem com o trabalhador no mesmo ambiente. Nesse contexto, pode ocorrer um indesejado compartilhamento de dados sigilosos.

Além disso, há a possibilidade que a infraestrutura doméstica seja precária, seja por uso de equipamentos pessoais ou pela vulnerabilidade da rede de internet domiciliar.

Uma pesquisa realizada em 2018 pela Imation Corp com trabalhadores remotos no Reino Unido indicou que um terço deles já havia perdido dispositivos em local público, 25% admitiam violar políticas de segurança no home office e 44% disseram que os dados nunca foram criptografados ao serem retirados do escritório.

Esses números reiteram a importância de as empresas adotarem políticas rígidas de segurança da informação e ações que garantam a proteção dos dados. As ações nesse sentido passam a ser ainda mais importantes com a entrada em vigor da Lei Geral de Proteção de Dados (LGPD).

O que diz a LGPD sobre o home office

Em agosto de 2020, entrará em vigor no Brasil a Lei Geral de Proteção de Dados (Lei Nº 13.709), conhecida pela sigla LGPD. Ela estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo mais proteção e penalidades para o não cumprimento do que é estabelecido pela legislação.

De acordo com a LGPD, “dados pessoais” são quaisquer informações relacionadas à pessoa natural identificada ou identificável, enquanto “tratamento de dados” é toda operação realizada com dados pessoais, como as que se referem à coleta, classificação, utilização, acesso, reprodução, processamento, armazenamento, eliminação, controle da informação, entre outros.

Dessa forma, as empresas devem ter atenção especial à coleta e armazenamento de dados sensíveis de seus clientes. A perda de informações sigilosas pode levar a sanções judiciais. 

A necessidade de proteger dados de clientes é válida para qualquer ambiente em que funcionários da companhia possam ter acesso a essas informações, inclusive fora do ambiente de trabalho.

Para evitar que ocorram perdas ou roubos de informações enquanto os colaboradores trabalham no regime de home office, especialistas em proteção de dados recomendam que as empresas tomem medidas como:

  • Bloqueio automático da tela do computador após um período de tempo sem uso;
  • Configurar, por meio do departamento de TI, o monitoramento do dispositivo, como mapeamento geográfico e a verificação de invasão de dispositivos;
  • Bloquear as informações para que elas não sejam salvas na unidade local do computador;
  • Criptografar as informações para que, mesmo em casos de perda ou roubo do dispositivo, os dados não poderão ser acessados.

Proteção à documentação física no home office

Não é apenas em relação ao vazamento de informações sigilosas pela internet que as empresas devem se preocupar. Quando os funcionários estiverem trabalhando em casa ou fora do ambiente da companhia, deve haver atenção especial à documentação física que possa ser levada para esses locais.

O extravio ou a perda desses arquivos também pode expor as empresas a punições legais. De acordo com a LGPD, a perda de registros em papel é uma violação que obriga a empresa a relatar e notificar quem possa ter sido afetado.

Políticas de segurança das informações

Para evitar possíveis sanções legais pela perda ou pelo vazamento de dados de clientes, as companhias devem estabelecer políticas de segurança das informações. Neste documento, são estabelecidas as diretrizes comportamentais para os colaboradores em relação às regras de uso dos recursos de tecnologia da informação.

“Para garantir a segurança dos dados sensíveis, as empresas devem investir na proteção e na segurança dessas informações no seu âmbito corporativo. A estruturação de um processo efetivo para o tratamento dos dados é crucial para garantir a segurança que deve ser traduzida em políticas de compliance ou orientações gerais a todos que têm acesso e manipulam as informações”, alerta a advogada Fernanda Pereira. 

“Com a entrada em vigor da LGPD, as empresas devem criar operações e processos que garantam a segurança das informações ou, se já existentes, revisar ou atualizar suas atividades garantindo as conformidades legais”, acrescenta.

Em relação a documentações físicas, é recomendável que as empresas imponham normas que determinam quem tem autorização para levar documentos físicos para casa, quais documentos podem ser levados e como o transporte desses papeis deve ser feito.

Já a respeito do acesso a informações sigilosas por meio de dispositivos digitais, as companhias devem orientar seus funcionários a tomar medidas preventivas como:

  • uso de senhas complexas;
  • adoção de sistemas de autenticação de dois passos sempre que possível;
  • evitar o acesso a sites desconhecidos;
  • sempre optar por conexões HTTPs;
  • não conectar unidades externas aos computadores corporativos;
  • uso de antivírus.

É recomendável ainda que sejam estabelecidos contratos de confidencialidade entre as empresas e seus funcionários a respeito de informações sigilosas. Esses acordos devem considerar requisitos legais aplicáveis à organização e eventuais acordos deste gênero pactuados com clientes, fornecedores, prestadores de serviços e parceiros de negócios. 

Ouça a participação da advogada Fernanda Pereira no Digicast e receba dias jurídicas para a adoção do trabalho remoto:

Soluções para a segurança da informação no home office

A entrada em vigor da LGPD determinará que as empresas sejam mais cautelosas com informações sensíveis e dados sigilosos enquanto colaboradores trabalharem em casa e não necessariamente nos ambientes virtuais mais seguros.

Algumas das principais companhias de tecnologia já passaram a conviver com essas preocupações durante o isolamento social provocado pela pandemia de Covid-19, o que obrigou a adoção do home office imediatamente. 

Em entrevista à McKinsey, Tatiane Panato, presidente da Algar Tech, indicou que a companhia utiliza dois recursos para manter a segurança da informação de seus consumidores enquanto muitos de seus atendentes trabalham no regime home office. 

“Optamos por usar tecnologias já testadas por nós no passado. Temos usado VPN e VDI. Na migração para home office, às vezes usamos máquina do nosso funcionário e, às vezes, temos de disponibilizar a máquina. Para ambas as situações, usamos as duas tecnologias, com as quais conseguimos controlar e monitorar todo esse ambiente. Temos acesso a todas as aplicações usadas pelos funcionários mesmo eles estando em casa. As comunicações são criptografadas. Portanto, garantimos segurança a esse acesso”, explicou Tatiane Panato.

Confira, a seguir, mais detalhes sobre os recursos usados pela Algar Tech e sugestões de outras soluções a serem adotadas:

VPN

VPN (Virtual Private Network ou Rede Privada Virtual) são conexões que mantêm o tráfego de dados de forma segura e permitem o acesso a uma rede interna de uma empresa, mesmo trabalhando em casa.

Somente computadores e dispositivos que têm as credenciais necessárias recebem acesso a essas redes.

A adoção de VPN é uma das medidas mais recomendadas por especialistas em segurança da informação às empresas que adotam o trabalho remoto.

VDI

VDI (Virtual Desktop Infrastructure) é um tipo de Virtualização de Desktops, usado para entregar uma máquina virtual “inteira” para um usuário final.

O conceito passa por remover o sistema operacional da máquina que o colaborador opera, para que ele possa utilizar o sistema a partir de outros aparelhos remotamente.

Como os dados dos desktops ficam armazenados nos servidores do Datacenter, é mais fácil restringir o acesso aos dados e aplicar políticas contra acesso não autorizado. Podem ser bloqueados dispositivos externos como Pendrives, e, mesmo se o dispositivo for roubado, não terá nenhum dado nos discos locais sem estar criptografado.

Além disso, toda a conexão é criptografada, utilizando protocolos padrões de mercado, o que minimiza o risco de vazamento de informações.

Armazenamento em nuvem

A manutenção de sistemas e recursos em nuvem permite que os colaboradores acessem as ferramentas necessárias para trabalhar a partir de qualquer lugar, assim como pode representar mais segurança aos dados.

A arquitetura e o design de soluções da computação em nuvem oferecem recursos para a proteção da informação e configurações que ficam sob responsabilidade do fornecedor.

Para garantir a entrega dos melhores serviços, os principais provedores de nuvem trabalham para diminuir vulnerabilidades e criar ferramentas que protejam o sistema contra invasões.

Firewall

O firewall monitora as requisições continuamente para identificar conexões inseguras e outras atividades que possam ser um sinal de ataque ou comprometimento da segurança de um usuário. 

O gestor pode configurar bloqueios automáticos, aumentando a confiabilidade da rede corporativa.

Biometria

Com o uso de biometria, o acesso às informações somente é liberado para a pessoa autorizada, levando em consideração as suas características físicas (impressão digital, voz ou padrões da íris do olho ou do rosto inteiro).

Essa alternativa é importante para o acesso a sistemas e aplicativos corporativos de forma remota. Como a empresa não tem controle sobre as configurações de segurança dos dispositivos particulares dos colaboradores, deve reforçar os mecanismos de validação da autenticidade do usuário e as barreiras contra ataques cibernéticos.

Assinatura digital

A assinatura digital é uma forma de identificação do usuário que acessa aos recursos de TI. Ela dá validade legal aos documentos digitais, assegurando a autenticidade do emissor da informação.

Backup inteligente

Diariamente, as empresas geram uma infinidade de informações. Para evitar a perda desse dados, assim como os dos clientes, é recomendável usar ferramentas de backup, ou cópias de segurança

O backup pode ser armazenado em dispositivos físicos — servidores de backup, CD, pendrive, HD externo — ou em nuvem.

A partir do backup, é possível recuperar, em curtíssimo espaço de tempo, informações perdidas acidentalmente ou em consequência de sinistros (enchentes, incêndio etc.), ataques ou roubos.

Além do uso de ferramentas que auxiliam na proteção de dados, as empresas que adotam o regime de trabalho devem fomentar uma cultura organizacional em que todos estejam atentos às recomendações para a segurança das informações.

Aproveite para saber mais detalhes de como criar uma cultura organizacional numa empresa remota.

Comentários

Este blog tem o orgulho de ter o apoio destas marcas:
Salvar