Qual o papel dos funcionários na segurança de dados da empresa?

Quando nos deparamos com os casos de vazamento de dados, a primeira coisa que nos vem à mente é a penalidade que as empresas poderão sofrer. Entretanto, antes da penalização, importa analisar-se as circunstâncias.

A legislação de proteção de dados tem como escopo o usuário (consumidor); e, a empresa, igualmente, tem como escopo de produção ou serviços, o mesmo usuário (consumidor).

As normas de segurança da informação orientam à redução de riscos e à ampliação da segurança do ambiente cibernético, portanto, a norma atende a um interesse bilateral. As leis de proteção de dados não podem ser antagonistas a essa realidade.

Sabemos que a incessante evolução da técnica é fator de soluções e problema, e, naturalmente, não devemos extinguir as soluções em razão dos problemas.

Nem mesmo as empresas consolidadas, muito menos as startups, devem ser penalizadas pelo risco incontornável e natural do ambiente ciber. As normas visam a ajudar na preservação de bens valorados pelo ser humano, como no desenvolvimento deste na sociedade, no que se incluem, por exemplo, o incentivo ao empreendimento, à inovação e às artes.

As empresas devem melhor conhecer as normas técnicas de segurança de informação. No plano internacional estamos falando das normas ISO/IEC, no plano nacional vigoram as normas ABNT, muitas vezes inspiradas nas normas internacionais por serem as mesmas diretrizes de boas práticas. A coletânea de normas ABNT ou ABNT ISO/IEC contém as diretrizes à segurança da informação.

Conhecer as normas é o primeiro passo. O segundo passo é a cultura corporativa no ambiente de trabalho. De acordo com o relatório The Human Factor in IT Security: How Employees are Making Businesses Vulnerable from Within, a falta de cuidado dos funcionários facilitou os ataques em 46% dos incidentes de cibersegurança no último ano.

Talvez, essa pesquisa tenha demonstrado que a fragilidade das empresas está nos recursos humanos — o que pode não significar ausência de capacitação destes. São dificuldades recorrentes encontradas na relação capital-trabalho. De um lado há uma legislação que busca restringir riscos e aumentar a segurança e, de outro, há um empregador que tem limitações para obrigar o seu funcionário a atender às regras de segurança.

Os desafios da tecnologia e da guarda de dados transita pela responsabilidade da pessoa jurídica sobre os sistemas e segurança das informações dentro de suas estruturas de hardware e software, mas também estão alocadas nas formas de condução e desenvolvimento das atividades por seus colaboradores.

Tal situação traduz na necessidade de as empresas manterem em suas políticas internas códigos de conduta e programas de compliance, bem como regras claras e específicas sobre a forma de coleta, administração, condução, tratamento e armazenamento dos dados. São regras que auxiliam as empresas a legitimarem sua responsabilidade perante terceiros, e, ainda, a servirem de instrumentos de controle e do poder diretivo sobre seus empregados.

Além dos códigos de conduta e regras internas, as disposições relativas à atividade desempenhada pelo profissional que lidará com as informações poderão constar, inclusive, do contrato de trabalho, como sendo uma das atividades específicas do seu objeto de prestação laboral. Tal disposição reforça o senso de responsabilidade (tanto da pessoa jurídica como física envolvida) e fornece elementos claros para demonstrar a conduta do empregado em eventual situação de imperícia, negligência ou imprudência.

A responsabilidade sobre as questões possui a sua interface diretamente ligada com os ambientes tecnológicos. Entretanto, não se pode afastar que há, ainda, a possibilidade de eventuais danos ocorrerem por parte de atos de pessoas físicas, o que denota uma excepcional atenção aos cumprimentos de regras internas e treinamentos constantes sobre as práticas e desenvolvimento dos trabalhos no ambiente profissional da empresa.

Fonte: Computerworld

07 de fevereiro de 2019