Baixe em PDFBaixe em PDFX
Este artigo foi coescrito por Tyrone Showers. Tyrone Showers é Tecnologista e Coproprietário da Taliferro Group, uma empresa de consultoria em TI com base em Seattle, Washington. Com mais de 35 anos de experiência profissional, é especialista em Design de APIs, e-Commerce, Eficiência Operacional e desenvolvimento web. É formado em Ciências da Computação pelo DeVry Institute of Technology.
Há 11 referências neste artigo. Você pode encontrá-las ao final da página.
Este artigo foi visualizado 3 582 vezes.
Lidar com informações confidenciais é uma das partes mais importantes de qualquer negócio. Mas quais são as práticas corretas? Este artigo traz tudo que você precisa saber, incluindo opções diferentes para proteger, armazenar e descartar esses dados. Leia abaixo para descobrir também como ensinar seus funcionários a dar prioridade à segurança e entender o papel de cada um na organização da empresa.
Passos
Proteja todas as informações que sua empresa tenha, mas ninguém mais possa ter. Na condição de líder empresarial, é muito importante que você faça uma avaliação meticulosa para determinar o que é e o que não é confidencial. Isto varia de acordo com a empresa, mas no geral inclui todo e qualquer dado que poderia prejudicar funcionários, clientes ou o sucesso do negócio se fosse divulgado.[1]- Por exemplo: talvez você precise proteger informações pessoais de clientes, como nomes, número de CPF e dados de cartão de crédito.[2]
- Por outro lado, pode ser que sua prioridade seja limitar o acesso a certos processos e fórmulas que deem à sua empresa vantagem competitiva sobre os concorrentes — os chamados segredos comerciais. Isto vale para fórmulas ou processos de produção, o modelo financeiro da empresa, listas de fornecedores, informações de aquisição ou métodos de venda.[3]
- Ao avaliar quais informações são confidenciais, leve em consideração também por quanto tempo você tem que reter esses dados. Por exemplo: informações de clientes devem sempre ser guardadas em segredo, então o ideal seria mantê-las nos seus sistemas somente pelo período que elas forem úteis.[4]
Proteja as informações de roubos ou vazamentos de dados. Não deixe a segurança dos dados a cargo somente do departamento de TI! Ela precisa estar presente e ser prioridade em todos os setores e aspectos da empresa. Lembre-se de que a perda de dados pode acontecer dentro ou fora do negócio e gera consequências sérias: fraudes, roubo de identidade (falsidade ideológica), perda de receita, desconfiança dos clientes e até processos legais.[5]- Por exemplo: a empresa pode receber ameaças de hackers, concorrentes inescrupulosos ou até funcionários que tiverem acesso a informações confidenciais e agirem de má-fé.
Evite classificar todos os tipos de informações como confidenciais. Embora a segurança deva sempre ser a prioridade, também é importante criar uma cultura interna na qual os funcionários da empresa tenham acesso às informações necessárias para cumprir suas funções. Quanto mais transparente você for com a equipe, mais ela vai compreender que não pode ter acesso a certos dados.[6]- Se você classificar informações demais como confidenciais, os funcionários provavelmente vão buscar brechas em protocolos de segurança para acessar os dados que querem ver.
Publicidade
Estude os requisitos legais para lidar com informações confidenciais. Toda empresa opera seguindo uma série de regulamentos e estatutos legais que indicam como ela tem que lidar com informações confidenciais. Como esses documentos afetam o quadro inteiro de funcionários, do alto escalão à base, todos têm que estar em conformidade com eles.[7]- Até funcionários que ocupam cargos de base na hierarquia têm que se familiarizar com as regras da empresa e o que fazer com informações confidenciais.
- Em caso de dúvida, o ideal é sempre conversar com o departamento jurídico da empresa para saber o que você precisa fazer com informações confidenciais e dados protegidos.[8]
- Em ultimo caso, converse também com advogados especializados em direito comercial.
Comunique as expectativas da empresa claramente aos funcionários. Coloque a segurança em um lugar de destaque na cultura interna da empresa. Para isso, você pode distribuir manuais ou guias que expliquem os procedimentos em relação a informações confidenciais e o papel de cada funcionário na proteção desses dados.[9] E também é interessante oferecer cursos de treinamento periódicos para familiarizar todos com os processos corretos.[10]- Por exemplo: crie a tradição na empresa de solicitar que todos os funcionários passem por um curso de treinamento em segurança periódico; depois, envie e-mails se algum desses processos mudar ou passar por atualizações.
- Você pode ainda distribuir lembretes, placas, recados e outros tipos de sinalização pela empresa para reforçar a importância da segurança de dados entre os funcionários.
- Peça para os funcionários guardarem tudo o que estiver em suas mesas, deslogarem de seus computadores e trancarem seus arquivos ou salas depois de cada dia de trabalho.
- Incentive os funcionários a denunciar possíveis violações de segurança. Se possível, crie um programa de incentivos que recompense as pessoas que trouxerem esses problemas à tona.
Ensine os funcionários a identificar e evitar práticas de phishing. Às vezes, hackers enviam e-mails ou fazem ligações que parecem vir de dentro da empresa na tentativa de obter acesso a dados de segurança. Para evitar acidentes do tipo, deixe claro aos funcionários que eles nunca devem compartilhar informações confidenciais por esses meios. Além disso, ensine-os a identificar tentativas de phishing no dia a dia.[11]- Por exemplo: todo funcionário que receber um e-mail suspeito precisa prestar atenção ao domínio de onde ele veio.
- Muitos hackers que praticam phishing por telefone alegam que são do departamento de TI. Sendo assim, deixe claro também que essa equipe nunca usa esse meio de comunicação para pedir informações como nomes de usuário e senhas.
- Também é bom instituir protocolos para que a equipe de atendimento ao cliente verifique informações deles antes de falar de detalhes de conta por telefone.
Crie sistemas internos para lidar com informações confidenciais. Comece fazendo uma avaliação de cima para baixo (ou top-down) para identificar as informações confidenciais às quais a empresa tem acesso, bem como onde ela pode estar vulnerável à perda de dados. Em seguida, institua uma política escrita de formas de proteger, armazenar e descartar essas informações nos momentos corretos.[12]- Identifique claramente todas as informações confidenciais dentro da empresa, sejam elas digitais ou físicas.[13]
- Inclua instruções para cada funcionário individual lidar com informações confidenciais, como não deixar nenhuma documentação do tipo em sua mesa. Esta é a chamada "política de mesa limpa".[14]
Controle quem tem acesso a informações confidenciais. Crie uma política de divulgação específica e exclusiva, na qual os funcionários tenham acesso somente às informações de que eles precisem para cumprir suas funções na empresa.[15] Isso inclui não apenas limitar o acesso a dados de computador, mas também tomar medidas de segurança física: armazenar documentos impressos, crachás de identificação, chaves e códigos em salas ou arquivos trancados.[16]- Não deixe nenhum funcionário tirar informações confidenciais de dentro da empresa, como levar notebooks para casa ou enviar e-mails que contenham esses dados para fora.
Proteja as informações nos computadores dos funcionários. A perda de dados digitais é uma das maiores ameaças que as empresas enfrentam quando o assunto são informações confidenciais. Por isso, use firewalls, protocolos de criptografia e antivírus atualizados. Também é bom pedir para todos os funcionários criarem senhas de acesso seguras e que contenham letras, números e símbolos. Veja mais exemplos de medidas:[17]- Configurar todo computador da empresa para deslogar após certo período de inatividade.
- Enviar informações confidenciais somente em e-mails criptografados ou através de entregadores especializados, sempre para destinatários que tenham autorização para acessar esses dados.[18]
- Usar somente métodos de impressão seguros.
- Informar o departamento de TI sobre quem pode e quem não pode ter acesso a informações confidenciais.
- Aplicar as mesmas medidas de segurança aos funcionários em regime de home office.[19]
Limite o uso de notebooks para controlar o volume de informações que sai da empresa. No geral, é melhor fornecer somente desktops aos funcionários — principalmente se eles tiverem arquivos com informações confidenciais. Caso alguém precise levar trabalho para casa em um notebook, limite ou proteja com criptografia todos os dados que estiverem no computador.[20]- Além disso, evite conceder acesso a informações confidenciais por meio de smartphones e Tablets.
- Instale um programa de exclusão remota de dados em notebooks e outros dispositivos móveis. Assim, a empresa pode destruir qualquer informação que saia das mãos do funcionário.
Limite o acesso a reuniões que tratem de informações confidenciais. Se você precisar organizar uma reunião para discutir segredos comerciais ou outras informações privadas, marque-a em uma sala segura para evitar vazamentos. Neste caso, autorize somente a presença de pessoas que tenham que usar esses dados no trabalho do dia a dia.[21]- Por exemplo: vocês podem fazer a reunião em uma sala com paredes que tenham isolamento acústico.
Evite salvar informações confidenciais desnecessárias. Não há motivo para você arriscar a segurança de informações confidenciais se elas não forem essenciais para a empresa. Por isso, não aceite e nem armazene dados privados. Por exemplo: no caso de clientes, é melhor criar números de conta exclusivos para cada um do que recolher e salvar CPFs.[22]- Caso você precise juntar informações confidenciais, como números de cartão de crédito, apague tudo do sistema assim que concluir a transação.
- Mais uma vez, é interessante consultar o departamento jurídico da empresa ou até conversar com advogados especializados em direito comercial para tirar suas dúvidas.[23]
Elabore planos de contingência para vazamentos e violações. Esse plano precisa trazer instruções detalhadas do que a empresa vai fazer em caso de violações de segurança ou perda de dados. Ele também tem que explicar quais são as ações corretas em possíveis situações de emergência nas quais o sistema fique exposto a ataques.[24]- Por exemplo: se a energia acabar na empresa inteira, pode acontecer de os dados digitais do sistema ficarem vulneráveis a ataques de hackers. Nesse caso, tome medidas preventivas para eliminar o risco.[25]
Faça auditorias frequentes para determinar se a empresa está segura. Crie o costume de observar quem está acessando quais informações confidenciais — incluindo dentro do próprio departamento de TI. Você precisa estar a par de como esses dados são armazenados no sistema, pois só assim vai conseguir identificar possíveis tentativas de invasão.- Monitore o trânsito no sistema, sobretudo se os funcionários transmitem ou recebem um volume muito alto de dados através dele.[26]
- Além disso, preste atenção a várias tentativas de acesso de novos usuários ou computadores desconhecidos. Isto pode indicar que alguém está tentando invadir o sistema.
Publicidade
Peça para todos os funcionários assinarem um acordo de confidencialidade. Institua um acordo de confidencialidade para cada funcionário que a empresa contratar — ou seja, antes mesmo de conceder acesso a segredos comerciais ou dados de clientes. Isso não garante com 100% de certeza que não vai haver perda de dados, mas pelo menos gera alguma proteção legal no caso de vazamentos ou violações.[27]- Deixe claro que o acordo de confidencialidade continua em vigor mesmo depois que o funcionário deixar a empresa.[28]
Converse sobre segurança de dados com cada funcionário recém-contratado. Entregue todos os manuais ou guias sobre protocolos de segurança da empresa a cada funcionário recém-contratado. No entanto, não conte com a leitura da pessoa: é melhor você explicar tudo em detalhes durante o processo de integração.[29]
Faça uma entrevista de desligamento com cada funcionário que deixar a empresa. Durante essa conversa, reforce a validade do acordo de confidencialidade e as obrigações da pessoa em relação a informações confidenciais às quais ela tinha acesso.[32] Aproveite também para pedir para ela devolver dispositivos, crachás, chaves e outros itens à empresa.[33]- Por fim, peça para o departamento de TI revogar as autorizações de acesso e anular as senhas do ex-funcionário.[34]
Publicidade
Inclua cláusulas de informações confidenciais em contratos com terceiros. Se você trabalha com profissionais externos à empresa, como fornecedores e distribuidores, deixe claro a todos quais são as responsabilidades de cada um na proteção a informações confidenciais. Além disso, explique também quando você é obrigado por lei a informá-los de que determinados dados são privados.[35]- Use o termo "informações confidenciais" e outros sinônimos nas cláusulas contratuais para não deixar margem para dúvidas.
- Dependendo do caso, talvez você precise pedir para os prestadores de serviço externos assinarem acordos de confidencialidade. Consulte o departamento jurídico.[36]
Compartilhe informações somente quando necessário. Assim como você fez com os funcionários, entregue a terceiros somente informações de que eles precisem para prestar serviços à empresa. Este é o chamado "princípio do menor privilégio".[37]- E tome todas as medidas possíveis para compartilhar as informações por meios seguros, como em redes criptografas ou reuniões particulares.[38]
- Revise as credenciais e os acessos a terceiros com frequência para saber quem exatamente está usando as informações confidenciais.
Peça para os visitantes assinarem acordos de confidencialidade (se necessário). Caso algum visitante da empresa vá ter acesso a informações privadas, você pode pedir para ele assinar um acordo de confidencialidade assim que chegar. Guarde o documento em um arquivo pelo tempo que ele continuar em vigor, já que sempre há o risco de a pessoa violar os termos em algum ponto do futuro.[39]- Por exemplo: se o representante de um fornecedor conhecer as instalações da empresa e acabar tendo acesso a processos de produção confidenciais, é bom pedir para ele assinar o acordo antes de ir embora.
Limite o acesso de visitantes a informações confidenciais. Embora o acordo de confidencialidade dê algum respaldo em relação a informações privadas, o ideal é você nem permitir que os visitantes tenham acesso a boa parte desses dados. Proíba a circulação em certas áreas da empresa e peça para os funcionários ficarem atentos a cada pessoa de fora.[40]- Por exemplo: você pode pedir para um funcionário acompanhar cada visitante do início até o fim.
Publicidade
Entenda como a empresa coleta ou recebe informações confidenciais. Para proteger informações confidenciais, você precisa entender como a empresa as coleta ou recebe. Descubra de onde elas vêm, o que incluem e quem tem acesso aos dados. Veja dois exemplos:[41]- Talvez a empresa colete informações a partir de candidatos a vagas, clientes, operadoras de cartão de crédito ou bancos.
- Pode ser também que as informações cheguem à empresa através do seu site, e-mail, correio, caixa ou departamento de contabilidade.
Dê o mesmo cuidado às informações digitais e impressas. A segurança de dados envolve uma abordagem dupla: você precisa proteger não apenas os sistemas de computador, mas também todos os documentos impressos.[42]- Guarde todos os documentos impressos em arquivos trancados e dê acesso a eles somente a funcionários autorizados e que precisem das informações.[43]
- Além de proteger os dados digitais locais, a empresa precisa usar técnicas de criptografia e autenticação de múltiplos fatores com os arquivos que ficam na nuvem.[44]
Tome todas as medidas necessárias ao armazenar informações digitais. Sempre que possível, evite armazenar dados confidenciais em computadores que tenham acesso à internet. Caso você não tenha escolha, pelo menos proteja tudo com criptografia de ponta. E veja mais estratégias:[45]- Use servidores seguros, incluindo serviços de armazenamento em nuvem.
- Proteja senhas de clientes com criptografia de ponta.
- Altere suas senhas periodicamente.[46]
- Atualize softwares de segurança sempre que possível.[47]
- Fique atento às vulnerabilidades de softwares.
- Controle o acesso a dados via USB.
- Faça backups das informações em lugares seguros.
Use fragmentadoras de papel para descartar documentos impressos. Não adianta você e os funcionários da empresa jogarem documentos ou arquivos de clientes impressos no lixo! Invista em fragmentadoras de papel de qualidade — e, mesmo assim, descarte os pedaços dos documentos em sacos de lixo feitos para materiais confidenciais.[48]- Lembre-se de esvaziar os arquivos e armários da empresa antes de vender ou descartar qualquer móvel do tipo.
Apague os discos rígidos antes de descartar dispositivos. Use um utilitário de destruição de dados seguro para remover todas as informações do computador, smartphone ou tablet. Não basta só formatar o HD: isto não elimina todos os dados, ainda que você salve novos arquivos em cima.[49]- Você pode ainda usar um programa de exclusão de dados externo à empresa para apagar os dispositivos de vez.[50]
Publicidade
Referências
- ↑ https://www.asx.com.au/documents/public-consultations/160215-handling-confidential-information-guidance.pdf
- ↑ https://www.ftc.gov/tips-advice/business-center/guidance/protecting-personal-information-guide-business
- ↑ https://www.open-contracting.org/2016/09/19/diving-deeper-commercial-confidentiality/
- ↑ https://www.ftc.gov/tips-advice/business-center/guidance/protecting-personal-information-guide-business
- ↑ https://www.ftc.gov/tips-advice/business-center/guidance/protecting-personal-information-guide-business
- ↑ https://hbr.org/2012/01/should-the-boss-protect-or-inf.html
- ↑ https://www.ftc.gov/tips-advice/business-center/guidance/protecting-personal-information-guide-business
- ↑ https://www.ftc.gov/tips-advice/business-center/guidance/how-comply-privacy-consumer-financial-information-rule-gramm
- ↑ https://www.theglobeandmail.com/report-on-business/small-business/sb-managing/how-to-protect-your-confidential-information/article16072896/
- ↑ https://www.ftc.gov/tips-advice/business-center/guidance/protecting-personal-information-guide-business
- ↑ https://www.ftc.gov/tips-advice/business-center/guidance/protecting-personal-information-guide-business
- ↑ https://www.tripwire.com/state-of-security/featured/5-best-ways-to-handle-sensitive-data/
- ↑ https://www.theglobeandmail.com/report-on-business/small-business/sb-managing/how-to-protect-your-confidential-information/article16072896/
- ↑ https://www.asx.com.au/documents/public-consultations/160215-handling-confidential-information-guidance.pdf
- ↑ https://www.asx.com.au/documents/public-consultations/160215-handling-confidential-information-guidance.pdf
- ↑ http://www.wiu.edu/vpas/administrative_procedures_handbook/sensitiveData.php
- ↑ https://www1.udel.edu/security/data/confidentiality.html
- ↑ http://www.wiu.edu/vpas/administrative_procedures_handbook/sensitiveData.php
- ↑ https://www.tripwire.com/state-of-security/featured/5-best-ways-to-handle-sensitive-data/
- ↑ https://www.ftc.gov/tips-advice/business-center/guidance/protecting-personal-information-guide-business
- ↑ http://www.wiu.edu/vpas/administrative_procedures_handbook/sensitiveData.php
- ↑ https://www.ftc.gov/tips-advice/business-center/guidance/protecting-personal-information-guide-business
- ↑ https://www.tripwire.com/state-of-security/featured/5-best-ways-to-handle-sensitive-data/
- ↑ https://www.ftc.gov/tips-advice/business-center/guidance/protecting-personal-information-guide-business
- ↑ https://www.tripwire.com/state-of-security/featured/5-best-ways-to-handle-sensitive-data/
- ↑ https://www.ftc.gov/tips-advice/business-center/guidance/protecting-personal-information-guide-business
- ↑ https://www.asx.com.au/documents/public-consultations/160215-handling-confidential-information-guidance.pdf
- ↑ https://www.theglobeandmail.com/report-on-business/small-business/sb-managing/how-to-protect-your-confidential-information/article16072896/
- ↑ https://www.ftc.gov/tips-advice/business-center/guidance/protecting-personal-information-guide-business
- ↑ https://www.ftc.gov/tips-advice/business-center/guidance/protecting-personal-information-guide-business
- ↑ https://www.ftc.gov/tips-advice/business-center/guidance/protecting-personal-information-guide-business
- ↑ https://www.theglobeandmail.com/report-on-business/small-business/sb-managing/how-to-protect-your-confidential-information/article16072896/
- ↑ https://www.ftc.gov/tips-advice/business-center/guidance/protecting-personal-information-guide-business
- ↑ https://www.tripwire.com/state-of-security/featured/5-best-ways-to-handle-sensitive-data/
- ↑ https://www.theglobeandmail.com/report-on-business/small-business/sb-managing/how-to-protect-your-confidential-information/article16072896/
- ↑ https://www.asx.com.au/documents/public-consultations/160215-handling-confidential-information-guidance.pdf
- ↑ https://www.securitymagazine.com/articles/87025-steps-to-mitigating-third-party-vendor-cybersecurity-threats
- ↑ https://www.tripwire.com/state-of-security/featured/5-best-ways-to-handle-sensitive-data/
- ↑ https://www.theglobeandmail.com/report-on-business/small-business/sb-managing/how-to-protect-your-confidential-information/article16072896/
- ↑ https://www.theglobeandmail.com/report-on-business/small-business/sb-managing/how-to-protect-your-confidential-information/article16072896/
- ↑ https://www.ftc.gov/tips-advice/business-center/guidance/protecting-personal-information-guide-business
- ↑ https://www.ftc.gov/tips-advice/business-center/guidance/protecting-personal-information-guide-business
- ↑ https://www.asx.com.au/documents/public-consultations/160215-handling-confidential-information-guidance.pdf
- ↑ https://www.tripwire.com/state-of-security/featured/5-best-ways-to-handle-sensitive-data/
- ↑ https://www.ftc.gov/tips-advice/business-center/guidance/protecting-personal-information-guide-business
- ↑ https://www.ftc.gov/tips-advice/business-center/guidance/protecting-personal-information-guide-business
- ↑ https://www.ftc.gov/tips-advice/business-center/guidance/protecting-personal-information-guide-business
- ↑ https://www.ftc.gov/tips-advice/business-center/guidance/protecting-personal-information-guide-business
- ↑ http://www.wiu.edu/vpas/administrative_procedures_handbook/sensitiveData.php
- ↑ https://www.pcmag.com/how-to/how-to-wipe-your-hard-drive
Sobre este guia How.com.vn
Tecnologista
Este artigo foi coescrito por Tyrone Showers. Tyrone Showers é Tecnologista e Coproprietário da Taliferro Group, uma empresa de consultoria em TI com base em Seattle, Washington. Com mais de 35 anos de experiência profissional, é especialista em Design de APIs, e-Commerce, Eficiência Operacional e desenvolvimento web. É formado em Ciências da Computação pelo DeVry Institute of Technology. Este artigo foi visualizado 3 582 vezes.
Categorias: Questões Legais
Esta página foi acessada 3 582 vezes.
Este artigo foi útil?
⚠️ Disclaimer:
Content from Wiki How Português language website. Text is available under the Creative Commons Attribution-Share Alike License; additional terms may apply.
Wiki How does not encourage the violation of any laws, and cannot be responsible for any violations of such laws, should you link to this domain, or use, reproduce, or republish the information contained herein.
- - A few of these subjects are frequently censored by educational, governmental, corporate, parental and other filtering schemes.
- - Some articles may contain names, images, artworks or descriptions of events that some cultures restrict access to
- - Please note: Wiki How does not give you opinion about the law, or advice about medical. If you need specific advice (for example, medical, legal, financial or risk management), please seek a professional who is licensed or knowledgeable in that area.
- - Readers should not judge the importance of topics based on their coverage on Wiki How, nor think a topic is important just because it is the subject of a Wiki article.
Publicidade
