O tema segurança da informação pode assustar e às vezes parecer técnico demais. É isso, inclusive, o que afasta as pessoas e as empresas do entendimento de um dos cuidados mais necessários atualmente, o com a informação. 

Mas antes de pensar que este texto é importante apenas para a sua equipe de Tecnologia da Informação (TI), já logo podemos dizer que essa conversa é sim com você! E aqui vão dois dos principais motivos: o primeiro é porque em breve entrará em vigor a Lei Geral de Proteção de Dados (LGPD), sob a qual as empresas precisarão estar adequadas. E o segundo, pela simples razão de que você não apenas trabalha utilizando dados, mas que você também os gera. Ou seja, é do seu interesse saber o que outras empresas podem ou não fazer com os seus dados.

Por isso, neste texto, te convidamos a entender tudo sobre a segurança de dados de uma maneira mais simples. O que é isso? Como afeta os diferentes tipos de empresas? O que é necessário saber sobre a LGPD? Qual a importância de implementar tais medidas? Separamos ainda algumas dicas de segurança da informação para ajudar na implementação no seu negócio. Vamos lá?

O que é segurança da informação?

A segurança da informação é um conjunto de ações que existe para proteger dados, sejam eles em grande ou em pequeno volume. São essas medidas que evitam, por exemplo, os temidos vazamentos de informação, chamados na verdade de incidentes de proteção de dados, e os ataques cibernéticos. Além disso, garantem ainda aspectos como confidencialidade, integridade, disponibilidade, autenticidade e confiabilidade do dado pessoal.

Mas vamos com calma. Comecemos então explicando o que é considerado um dado pessoal para que você visualize melhor esses aspectos importantes.

Em geral, se entende por dado pessoal qualquer informação que possa ser ligada a uma pessoa ou usada para identificá-la. Ou seja, nome, sobrenome, CPF, RG, CNH, endereço, telefone e e-mail são alguns desses dados. Mas saiba que uma informação relacionada indiretamente a uma pessoa, como o endereço IP do computador dela, também é um dado pessoal.

Existe ainda o dado sensível, que diz respeitos às escolhas psicológicas e biológicas de uma pessoa. Entre esses estão dados de convicção religiosa, cor de pele, opinião política, inclusive, os genéticos e referentes à saúde (como exames e prontuários médicos).

Assim, para garantir a proteção desses dados por completo, as medidas de segurança da informação se baseiam nos seguintes conceitos:

  • Confidencialidade: princípio que afirma que os dados devem ser acessados apenas por pessoas autorizadas. Um funcionário do setor de Recursos Humanos, por exemplo, não deve ter acesso aos documentos de Marketing, a fim de evitar a exposição de informações que, inclusive muitas vezes, são retiradas de contexto;
  • Integridade: ideia de que uma informação não pode sofrer nenhum dano, seja uma modificação interna por um funcionário, seja um ataque cibernético;
  • Disponibilidade: princípio de que um dado pode ser acessado quando e onde a pessoa autorizada quiser ou precisar. Isso tem bastante relação com o que as tecnologias móveis e de armazenamento de informação em nuvem oferecem como possibilidade hoje em dia;
  • Autenticidade: trata-se da necessidade em se ter autorizações para fazer qualquer alteração, da mais simples até a mais complexa. Isso evita, por exemplo, que dados sejam corrompidos e armazenados com erros;
  • Confiabilidade: isso diz respeito à manutenção da relevância e da certeza de que um dado continua correto. Em geral, são usados softwares para esse objetivo, o que evita o retrabalho da múltipla conferência deles; 

E o que a LGPD tem a ver com isso?

Nós estamos na Era dos Dados e se enganam aqueles que pensam que só quem depende de informação são empresas de tecnologia. É preciso entender que estamos gerando dados o tempo todo, inclusive lendo este texto ou clicando em outro site. Mas o interessante é que pesquisas já nos mostram uma mudança de visão das empresas em geral em relação ao uso de dados como fonte de potencial crescimento.

É nesse contexto que entrará em vigor no Brasil a Lei Geral de Proteção de Dados. Essa é uma grande conquista para a segurança da informação porque, ao mesmo tempo em que se entende e se incentiva o desenvolvimento das empresas a partir dos dados, também protege e dá mais transparência ao uso dos dados pessoais.

Ou seja, não será proibido o uso de dados pessoais e sim normatizado. A lei garantirá uma transparência maior do que pode ou não ser feito com eles, inclusive por quem e quando. Você pode entender mais sobre os principais pontos da nova lei neste texto aqui.

A importância de medidas de segurança de dados para a sua empresa

Como vimos, a segurança de dados tem sido vista muito além da simples proteção de sistemas contra cyber ataques. Outros dois grandes focos de importância desse cuidado estão na confidencialidade e na integridade da informação. Vejamos um exemplo para que você faça associações de um cenário mais próximo ao seu.

Uma empresa de shampoo fez uma pesquisa de mercado para desenvolver uma nova fórmula baseada no resultado dela. Agora imagine o tamanho do prejuízo se os dados dessa pesquisa, por algum motivo, fossem alterados por alguém ou que o arquivo desse material fosse corrompido?

Simples medidas de segurança da informação seriam suficientes para evitar, ou pelo menos dificultar, esse dano. Como exemplo poderíamos pensar no bloqueio de telas com senha, numa gestão de acessos às atividades em determinado software e a limitação de permissões de leitura dos documentos. Essas medidas, que antes seriam sugestões para um ambiente de trabalho, serão agora normatizadas.

Além disso, estar enquadrado na LGPD contará muito para suas relações com seus clientes. Isso porque a imagem institucional de uma empresa que se preocupa com o uso e com a transparência dos dados de seus clientes será muito mais bem vista. O mesmo acontecerá no mercado, com fornecedores, como explica o advogado e um dos criadores da nova lei, Dr. Leandro Miranda, neste vídeo. Ele comenta que o próprio mercado deixará de trabalhar com empresas que não se preocupam com a proteção da base de dados. Afinal, ninguém quer atrair uma multa para o fechamento do mês, não é mesmo?

Agora que você já tem um panorama mais geral sobre o assunto, confira algumas dicas de segurança da informação, baseadas na norma ISO 27001, que te ajudarão a adequar sua empresa à LGPD.

Como é possível aplicar medidas de segurança no seu negócio

O tempo está correndo e todas as empresas que têm determinado fluxo de informação serão obrigadas a seguir as normas determinadas pela Lei Geral de Proteção de Dados. E atenção, mesmo que o banco de dados de sua empresa seja legal e tenha uma finalidade legítima, ainda assim será preciso atender às normas porque tratam da rotina de uso desses dados.

É aí que entra a ISO 27001. Essa é uma norma de gestão de segurança da informação que nos dará apoio na implementação da nova lei. O objetivo dela é regulamentar e garantir que as empresas e seus funcionários façam as mudanças necessárias e, claro, as mantenham.

De acordo com a especialista Estefania Ferreira, da Bushidô Business Academy, podemos separar o processo de implementação em algumas etapas. Saiba agora e anote bem essas dicas:

1) IDENTIFICAÇÃO: conhecendo as normas

O primeiro passo para implementar as normas de uma lei em uma rotina de trabalho é saber que esse tipo de mudança é mais do que uma alteração na rotina. É o que chamamos de uma mudança de mindset, ou então, uma mudança cultural da empresa. Ou seja, entenda que seus funcionários têm hábitos que existem há anos e por mais que exista uma resistência, é possível passar por esse processo.

Mas a dica de ouro desta etapa é conhecer as normas da LDPD. Leia sobre, estude as definições, faça cursos, pergunte. Não adianta inserir uma nova mentalidade na sua empresa se a liderança não sabe do que se trata ou não acredita na ideia.

Sua próxima missão é reunir e comunicar todos os setores da empresa a necessidade da mudança, os porquês e como ela acontecerá. Assim, evitará desencontros de informação e a ansiedade possivelmente gerada pelas futuras mudanças.

2) DIAGNÓSTICO: entendendo a situação da sua empresa

Agora que você já entendeu quais são as normas, é preciso olhar para dentro da sua empresa. Olhando para os requisitos, entenda em primeiro lugar o que o seu negócio já atende, como um diagnóstico mesmo. Veja se a maneira que esses itens são atendidos é adequada, por exemplo: é um hábito de todos? Está sendo executado da maneira correta? Os funcionários sabem quais são os motivos de tais hábitos?

Depois, é hora de olhar para as normas de segurança da informação que ainda faltam agregar à rotina de trabalho. Não é hora de impor regras, mas sim de identificar o que é preciso ser feito e como poderia ser feito. Ou seja, aqui é preciso mapear a situação da empresa, desde onde ela está até onde pode ir.

Ao final desta etapa, definimos quais serão as medidas de segurança implantadas e o porquê de todas elas. Como você vai ver, muitos itens da sua empresa já estarão adequados, o que tornará a mudança mais leve. Considere, então, para os outros itens, a cultura da sua empresa. Não adiantará, por exemplo, inserir uma regra/obrigação de sempre usar descanso de tela no computador, se a maior parte da rotina é registrada em papel. Então, durante esse processo, considere sempre a essência do seu negócio e de quem trabalha nele.

3) IMPLEMENTAÇÃO: colocando as medidas de segurança na prática

Chegamos à etapa de implementação, e o conselho aqui é: comunicação. A maneira como você expressará a definição das mudanças pode impactar diretamente na execução delas. Por isso, inclua a todos, mesmo que não seja um departamento estritamente ligado com essas normas. E, claro, abuse dos treinamentos, é a uma boa maneira de começar um novo hábito.

4) GERENCIAMENTO: acompanhando as mudanças de hábito

Como você sabe, mudanças de comportamento podem demorar um tempo até se tornarem um hábito, então tenha paciência com sua equipe. Policiem-se entre as equipes para observar e ajudar quem ainda não conseguiu se adequar ao novo hábito.

É realmente necessário esse acompanhamento pois são eles que, muitas vezes, abrem as brechas para um incidente de proteção de dados. Então é importante que os funcionários tenham consciência da relevância da segurança da informação também de maneira pessoal, não apenas como uma tarefa a mais na empresa.

E agora? Ficou um pouco mais claro o assunto? Sabemos que apesar de necessário, a segurança da informação ainda é um tema que confunde, principalmente porque envolve tópicos jurídicos. No entanto, lembre-se sempre de que essas medidas são mais do que burocracia, são, na verdade, a regulamentação do desenvolvimento da sua empresa. Afinal, seguindo as normas, é possível aproveitar ao máximo o uso da sua base de dados!

Aproveite ao máximo sua base de dados!

Nenhuma empresa sobreviverá na Era dos Dados sem uma manutenção e uma atualização da base de dados. Afinal, é bem difícil prospectar, vender ou cobrar algum cliente sem informações básicas dele. Saiba agora como fazer a higienização e o enriquecimento da sua base de dados!

0 Shares:
Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Você também pode gostar