[:pb]Mais e mais atividades estão migando para ambientes remotos, trazendo consigo maiores desafios para as organizações garantirem a segurança dos seus dados. Os colaboradores agora estão se conectando a recursos de redes internas por meio de vários dispositivos, sendo que muitos são dispositivos pessoais. Trabalhar em locais externos aos perímetros de proteção das redes corporativas também apresenta maiores chances de violações acidentais ou mal-intencionadas de dados. Proteger informações de identificação pessoal nesses ambientes torna-se cada vez mais importante.
Dados com informações pessoais sempre foram um alvo atraente. O relatório 2020 Cost of a Data Breach Report, desenvolvido pelo Ponemon Institute, apontou que 80% das violações de segurança envolviam dados pessoais, mais do que qualquer outro tipo de dados comprometidos. As informações de identificação pessoal permanecem entre os principais alvos, junto com credenciais de autenticação roubadas ou comprometidas.
Dispositivos perdidos ou roubados continuam a ser uma preocupação para as organizações. Segundo o relatório, dispositivos perdidos ou roubados fazem parte dos sete principais fatores que amplificam o custo de uma violação de dados.
Os resultados dessa e de outras pesquisas semelhantes apontam para o fato de que a segurança dos endpoints (pontos na extremidade) é tão importante quanto proteger os sistemas que eles acessam.
Trata-se de um processo contínuo
A proteção de dados pessoais deve ser um processo contínuo. Seguir as práticas recomendadas de segurança cibernética para atender ou superar os padrões regulatórios exigidos pode ajudar as organizações a minimizar o risco, mantendo a privacidade dos titulares dos dados. É importante certificar-se que a organização está fazendo tudo o que pode para proteger esses dados. Veja abaixo algumas providências que fazem parte das boas práticas para todos o setores:
Colete e retenha apenas os dados necessários
Minimize os riscos, restringindo a coleta e o armazenamento de dados apenas ao que é realmente necessário para suas operações e que possa ser justificado. Obtenha as permissões apropriadas dos titulares dos dados antes de coletá-los e capte as informações no momento necessário. Limite o acesso aos dados por meio de controles de sistemas e políticas de uso.
Criptografe os dados durante a transmissão e o armazenamento
Criptografe os dados em todos os estados, durante a transmissão e quando chegarem ao seu destino. Os padrões de criptografia devem atender aos requisitos dos regulamentos e leis de privacidade que devem ser observadas pela sua organização.
Limite o acesso e a movimentação dos dados
O vazamento de dados por meio de colaboradores e terceiros está aumentando de forma constante e o acesso aos dados deve ser limitado ao estritamente necessário. Reduza a movimentação dentro dos sistemas. Restrinja, monitore e avalie regularmente os acessos realizados por parceiros e terceirizados.
Observe as leis e os regulamentos de proteção de dados pessoais
As leis de privacidade de dados e os regulamentos setoriais definem a maneira como os dados podem ser processados, armazenados e por quanto tempo isso pode ser feito. A conformidade é alcançada quando seguimos todos os requisitos regulamentares aplicáveis ao nosso setor de atuação.
As organizações devem garantir que suas práticas, políticas e procedimentos estejam alinhados aos padrões regulatórios, bem como aos padrões de privacidade e segurança que escolheram. A Lei Geral de Proteção de Dados Pessoais (LGPD), o Regulamento Geral de Proteção de Dados (GDPR), além da PCI DSS, HIPAA, BASEL II, SOX e CCPA são exemplos recentes da lista crescente de leis e regulamentos de privacidade de dados pessoais que regem a coleta, o tratamento e o armazenamento de dados.
Estabeleça um programa de governança da privacidade de dados
Desenvolva e defina regras de boas práticas e de governança, que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições dos titulares dos dados, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. As políticas devem garantir que as práticas da organização atendam aos requisitos regulamentares. A conformidade com as regulamentações externas afetará como uma organização deve divulgar uma violação de dados. As políticas internas devem exigir resposta adequada e protocolos de remediação.
Foque na prevenção contra a perda de dados
Considere implementar ferramentas de prevenção de perda de dados de última geração, para limitar a possibilidade de perda de dados devido à saída de funcionários ou ameaças internas potenciais. Ações proativas e abrangentes podem ajudar a escolher soluções para situações difíceis, fornecendo alguns insights sobre eventos anteriores. Relacione atividades dos meses anteriores ao contexto dos eventos recentes. Isso fornecerá uma visão clara dos problemas potenciais e garantirá que não houve nenhuma violação dos dados.
Defina um cronograma para a eliminação dos dados
Alguns dados pessoais tornam-se obsoletos com o tempo. Certifique-se de que os dados que estão armazenados continuem precisos. Programe um prazo para eliminar dados desnecessários em intervalos regulares. Revisite periodicamente as políticas de eliminação de dados da sua organização e ajuste-as para melhor atender aos objetivos corporativos.
Mantenha políticas de controle de acesso
Rastreie o check-in / check-out dos dispositivos, bem como os dados que permanecem nos dispositivos. Implemente criptografia nos dispositivos e restrinja o uso dos dispositivos (em viagens, para uso pessoal, etc). Certifique-se de que os protocolos de resposta a violações estejam atualizados e atendam às necessidades da organização. Inclua esses terminais como parte de seu gerenciamento de endpoints.
Eduque os stakeholders sobre o acesso e manuseio adequados de dados pessoais
A educação adequada sobre o manuseio de dados pessoais deve ser parte de uma estratégia geral de segurança, para ajudar na defesa contra vazamentos acidentais de dados e desencorajar divulgações intencionais.
Um grande número de vazamentos acidentais de dados pode ser evitado com treinamento regular de segurança. Isso inclui orientar sobre como identificar informações pessoais, fornecendo instruções explícitas sobre o que é considerado informação pessoal dentro da organização, no contexto das leis e regulamentos. Não presuma que os colaboradores em todos os níveis possuem o conhecimento necessário para discernir seu papel na proteção de dados. As atitudes em relação aos dados podem variar amplamente de pessoa para pessoa dentro de uma organização.
Promova uma cultura em torno da conscientização sobre segurança
Identificar dados pessoais pode ser difícil se a equipe não for devidamente treinada sobre o que são e como isso deve ser tratado dentro da organização. Uma cultura de conscientização sobre a segurança ajuda os colaboradores a entender melhor suas funções e responsabilidades com os dados e os sistemas de informações. Quando estão cientes das responsabilidades envolvidas, os usuários podem avaliar melhor e evitar as situações de risco potencial.
Para limitar o acesso a alguns sistemas, sem muitos arranhões na cultura organizacional, é preciso que os usuários compreendam o contexto. Sem essa compreensão, pode parecer injusto ou excessivamente controlador impedir o acesso de alguém. A proibição de acesso de nível superior a alguns sistemas pode não ser bem recebida por alguns usuários sem o contexto adequado.
Considere iniciar um programa de conscientização sobre ameaças internas. As ameaças internas estão entre os principais riscos à segurança. A criação de um programa que permita aos funcionários relatar anonimamente comportamentos maliciosos e também monitorar os sistemas em busca de atividades ilícitas pode ajudar a prevenir perdas de dados.
Considerações finais
Os dados pessoais continuam a ser um alvo de ataque atraente e de alto valor. Proteger esses dados preciosos requer monitoramento contínuo e uma compreensão sólida sobre como eles fluem pela organização e quem tem acesso a eles. Eduque sua equipe, fornecedores e terceirizados para lidar com os dados de maneira adequada. Limite o acesso a dados pessoais para o uso estritamente necessário e apenas para aqueles que têm o treinamento apropriado. Desenvolva medidas adequadas para controlar a coleta e o tratamento dos dados. A eliminação e o armazenamento devem ser planejados para atender aos padrões dos regulamentos de privacidade que afetam sua linha de negócios. Revisite tudo o que você está fazendo em intervalos regulares, para garantir que os dados permaneçam protegidos.
Para otimizar o processo de adequação das organizações de qualquer porte e em qualquer estágio da jornada, nós desenvolvemos uma Consultoria Especializada, que ajuda sua empresa a ficar totalmente em conformidade com as principais leis e regulamentos sobre privacidade de dados, de forma sistemática, eficiente e com baixo investimento!
Conte com nossa equipe de especialistas nesse caminho. Agende uma conversa aqui.[:]