Como criar políticas para proteger dados confidenciais
Existem algumas etapas que precisam ser seguidas pelas organizações e que envolvem a definição do problema, o desenvolvimento das regras e, principalmente, o cumprimento das normas
RUSSEL BECK *
28 de outubro de 2013 – 07h30
Os dados corporativos são atualmente os ativos mais valiosos de uma companhia e, não surpreendentemente, tornaram-se os maiores alvos de ataques e ameaças, na maioria das vezes de origem interna.
Sim, os maiores inimigos dos segredos empresariais são os funcionários das organizações, e como mostrou o caso Snowden, os terceirizados com amplo acesso a sistemas sensíveis.
Ninguém pode de fato impedir que um vazamento de informação aconteça. A verdade é que nenhuma política, ou tecnologia de segurança de dados internos, tem poderes, digamos,de evitar um vazamento. Mas podem tornar a ocorrência menos provável. Iso passa por investir no uso de produtos e serviços para a detecção de ataques e reação, mas também por políticas de prevenção. Entre elas o estabelecimento e a implementação de políticas de proteção das informações críticas confidenciais. Como?
1 – Defina o problema
A empresa precisa definir minuciosamente o escopo do problema para, então, mitigar seus efeitos. Uma “auditoria de dados sigilosos” – a qual inclui passos semelhantes aos percorridos em qualquer auditoria de segurança – é uma ferramenta importante para mapear quais são as informações secretas que a organização possui.
Como os dados podem ser de formatos e tamanhos diferentes, é indicado que a auditoria siga as seguintes etapas:
1. Determinar quais informações precisam ser protegidas
2. Rever os processos já implementados para proteger tais dados
3. Analisar a solidez dessas informações, identificando lacunas de proteção
2. Rever os processos já implementados para proteger tais dados
3. Analisar a solidez dessas informações, identificando lacunas de proteção
A necessidade de proteção de cada informação deve ser avaliada de acordo com o valor do dado, seus usos práticos e o custo para mantê-la segura.
2 – Desenvolva as regras de proteção
O programa de proteção inclui um conjunto de políticas, processos, contratos e infraestrutura de TI para suportar tudo isso. É importante lembrar de que cada companhia tem particularidades que influenciarão a aplicação da estratégia de segurança.
Entre as particularidades estão: segmento de atuação, valor das informações confidenciais, cultura corporativa, disponibilidade de recursos financeiros, processo de seleção de funcionários, clima organizacional, entre outros.
De forma geral, um programa de proteção envolve:
1. Mecanismos de controle de acesso e gestão de identidades;
2. Regras para a utilização de dispositivos como drives USB, cartões de memória, CDs e smartphones, e acesso a sites não relacionados ao trabalho e redes sociais;
3. Restrições e protocolos que garantam o que só os usuários selecionados terão acesso aos dados sigilosos e que qualquer movimentação dessas informações será registrada;
4. Políticas expressas para regulamentar o acesso e a preservação dos dados corporativos;
5. Protocolos para bloquear o acesso de funcionários tão logo sejam desligados da companhia;
6. Revisões periódicas para a busca de possíveis brechas de segurança.
2. Regras para a utilização de dispositivos como drives USB, cartões de memória, CDs e smartphones, e acesso a sites não relacionados ao trabalho e redes sociais;
3. Restrições e protocolos que garantam o que só os usuários selecionados terão acesso aos dados sigilosos e que qualquer movimentação dessas informações será registrada;
4. Políticas expressas para regulamentar o acesso e a preservação dos dados corporativos;
5. Protocolos para bloquear o acesso de funcionários tão logo sejam desligados da companhia;
6. Revisões periódicas para a busca de possíveis brechas de segurança.
Enquanto essas políticas são voltadas aos funcionários, o programa completo de segurança corporativa inclui exigências a prestadores de serviços, fornecedores, candidatos a fusão ou joint-ventures.
Embora muitas questões de proteção e privacidade envolvam o departamento de TI, é importante que o CIO conte com o apoio das áreas jurídica, de recursos humanos, financeira e também do conselho deliberativo. Só assim há a possibilidade de desenvolver um projeto coeso e que abranja todos os níveis da companhia.
3 – Siga as regras
As etapas descritas são de extrema importância para o sucesso do programa de segurança. No entanto, se houver qualquer falha na implementação das políticas, todo o esforço anterior torna-se nulo. E se isso acontecer, não adianta culpar o orçamento disponibilizado para o projeto, as pessoas envolvidas ou os recursos tecnológicos utilizados.
No cenário atual, os profissionais de TI e os advogados são, em conjunto, a entidade que tem como principal missão proteger os dados confidenciais da organização. Por isso, é importante que o CIO trabalhe junto com o responsável pela área jurídica desde o início do projeto.
(*) Russel Beck é fundador da Beck Reed Riden LLP