Independentemente do tamanho da sua empresa, o número de informações envolvidas na gestão de pessoas costuma ser enorme. Por um lado, os avanços tecnológicos ofereceram soluções de proteção, mas por outro surgem novas ameaças que exigem atenção especial para a segurança da informação.
Pensando nisto, qual a relação do RH com a segurança da informação? A área de RH é responsável por toda informação relativa aos colaboradores da sua empresa e ela tem se tornado cada vez mais automatizada e deve se atentar ao correto fluxo e sigilo dessas informações. Sendo assim, o RH deverá atuar em diferentes níveis para atuar de forma segura.
Aqui estão algumas boas práticas que o RH deve adotar em seus próprios processos:
- O processo de seleção dos próprios colaboradores do RH deve ser bastante criterioso, uma vez que estas pessoas terão acesso às informações de todos os colaboradores da empresa.
- Tenha especial atenção no uso de ferramentas de troca de mensagens, como o WhatsApp e o Telegram, e o e-mail particular para envio e recepção de documentos relativos ao trabalho. Estabeleça normas que se referem ao uso de Internet, e-mail, redes sociais e dispositivos móveis, pois geralmente eles representam as maiores vulnerabilidades na empresa.
- Respeitar as regras para tratamento das informações que são sigilosas, sejam elas da organização ou dos colaboradores. O RH precisa ser treinado para saber como tratar estas informações.
- Treinar a equipe de RH especificamente em segurança da informação, para que apliquem os procedimentos diariamente em sua rotina de trabalho.
- Atuar de acordo com as normas estabelecidas pela empresa para proteção de dados e informações.
- Ficar atento ao processo de coleta de informações pessoais e só armazenar os dados para os quais exista uma finalidade específica e cuja coleta possa ser justificada. É recomendável evitar armazenar informações desnecessárias, o que atende ao requisito de minimização de dados presente na LGPD.
- Todos os equipamentos utilizados no RH devem utilizar somente software permitido pela organização.
Além dos processos citados anteriormente, o RH deve assegurar que a prática de proteger informações eletrônicas seja uma responsabilidade da empresa inteira. Provavelmente há dados sensíveis espalhados em diversas aplicações, e é possível protegê-los de diversas maneiras. Aqui estão algumas dicas técnicas, sobre as quais o RH deveria conversar com sua área de TI.
Criptografia
A criptografia, para aqueles que não estão familiarizados, é uma forma de reescrever qualquer informação de forma que ela não seja reconhecível à primeira vista. Assim, enquanto está criptografado, o arquivo não pode ser lido normalmente e caso uma pessoa intercepte os dados no meio do caminho, ela também não consegue ter acesso a essas informações. Esse é um dos métodos mais importantes de proteção de dados, pois sem a criptografia, é muito fácil violar as informações de uma empresa.
Para dados que residem em infraestrutura local, por exemplo, você pode utilizar uma camada de proteção adicional para a criptografia de arquivos e ainda garantir que esses arquivos não sejam acessados sem autorização, mesmo que transferidos para outro local, como pen drives e e-mails.
Já para garantir a proteção de informações em dispositivos móveis, a sua empresa pode optar por usar o recurso de gerenciamento de aplicativos para mover a camada de criptografia para o aplicativo móvel e aplicar controles adicionais sobre aonde os dados podem ir (por exemplo, impedir que os dados corporativos se movam a um aplicativo pessoal e não gerenciado, como o WhatsApp, Dropbox, Twitter etc.).
Senha forte
O uso de senhas forte para proteger qualquer sistema de acesso indevido é uma medida de segurança essencial. Muitos já sabem como pode ser fácil deduzir a senha de outra pessoa e ter acesso a todos os dados. Uma forma de diminuir esses riscos é criar um “nível mínimo de segurança”, exigindo que todos os usuários criem senhas que não sejam facilmente descobertas. Para isso, utilize códigos aleatórios com ao menos um número, uma letra e um símbolo, e não utilize nomes próprios.
Termos de confidencialidade
Apesar de serem confidenciais, muitos dados sensíveis precisam ser acessados todos os dias para executar algumas tarefas, como preencher solicitações de pedidos e conferir o estado de algum serviço. Isso significa que muitas pessoas têm que lidar com essas informações regularmente, o que aumenta o número de oportunidades para violações de sigilo.
Para minimizar esse risco, uma boa solução é estabelecer um termo de confidencialidade, que é um contrato que limita o acesso e uso desses dados a determinados contextos. Além disso, ele também torna cada indivíduo responsável pelas consequências do vazamento de informações, sendo suficiente para fazer com que todos sejam mais cuidadosos.
Redes Privadas Virtuais (VPN)
Armazenar dados sigilosos em sites de livre acesso ou nuvens públicas não é uma boa ideia, pois tais redes são acessadas por incontáveis usuários não autenticados, facilitando o acesso ilegal aos dados da empresa e de seus clientes. Nesse sentido, o melhor caminho é optar por Redes Privadas Virtuais, ou VPN (Virtual Private Networks).
De forma simples, a VPN é uma rede que só pode ser liberada para pessoas autenticadas, ou seja, que tenham um usuário e senha cadastrados, assim você pode definir quem tem permissão para acessar às suas informações.
Restringir acesso a dados
Para alcançar o nível de segurança desejado é preciso trabalhar também na política de controle de acessos e isso não diz respeito apenas a quem pode ou não entrar em sua rede.
A forma como protegemos nossos dados e informações mudou, uma vez que, com aplicações em nuvem e dispositivos móveis, temos cada vez menos controle do nosso perímetro de segurança. Mas ainda há algo em comum entre quase todos os locais onde os dados são armazenados: a identidade para acessar essas informações. O que nos faz colocar a gestão de identidade no centro da nossa estratégia de proteção de dados.
Com recursos avançados de gestão de identidade e controle de acesso, sua empresa pode permitir aos usuários finais utilizar um login único em aplicativos de nuvem e exigir múltiplos fatores de autenticação, garantindo segurança adicional ao seu ambiente corporativo.
Além disto, mantenha o histórico de logins e ações realizadas dentro da sua rede, acompanhando o que cada usuário fez enquanto acessa os dados da empresa.