7 melhores práticas para garantir a segurança de dados da sua empresa
Não existe nenhuma dúvida de que dados de usuários se tornam, cada vez mais, um patrimônio para as empresas. Especialmente diante do valor estratégico que eles representam.
No entanto, em contraponto ao bônus surge o ônus.
Por um lado, as empresas recebem o valor de acessar dados de seus usuários. Por outro lado, recebem uma nova responsabilidade: a necessidade de garantir a segurança de dados.
Nesse contexto, surgem diversos mecanismos, verificações e leis – como a LGPD – para melhorar a forma como se compartilha os dados online e para garantir mais segurança aos clientes.
De fato, diante de tantas novidades, esse é um tema complexo. Mas também é um tema fundamental para todas as empresas que posicionam seus negócios na internet.
Já viu que não dá para ficar de fora desse assunto né?
Esse post vai direto ao ponto principal. Quero que você fique por dentro de todas as práticas que podem garantir a segurança de dados dentro da sua empresa.
O que é segurança de dados ou da informação?
A segurança de dados ou da informação é o conjunto de práticas preventivas ou reativas, cujo objetivo principal é proteger as informações que os usuários compartilham na internet.
Ou seja: a finalidade é preservar os dados de usuários, principalmente contra roubos, alterações não autorizadas e acessos maliciosos.
É interessante conhecer as características da segurança de dados a partir de seus princípios básicos. Vamos lá.
1. Confiabilidade
É o caráter de confiança da informação. Deve-se assegurar que o usuário acesse e trabalhe com informações fidedignas.
2. Confidencialidade
Esse princípio trata da confidencialidade da informação. Deve-se garantir que a informação seja acessada apenas por pessoas autorizadas e credenciadas.
Quer dizer: devem existir mecanismos de segurança de tecnologia da informação suficientes para impedir que pessoas estranhas à empresa acesse informações importantes de clientes.
3. Autenticidade
Todos os aspectos da segurança de informação precisam seguir o máximo de critérios e cuidados para alcançar os objetivos estratégicos e manter a segurança.
O princípio da autenticidade estabelece que deve-se monitorar os acessos às informações: quem acessou, quais alterações, quais exclusões. Tudo isso para garantir a confidencialidade e originalidade da informação.
4. Integridade
É o princípio que garante que as informações serão completas, exatas e preservadas. Isso vai ao encontro de proteções contra alterações indevidas, fraudes e, até em últimos casos, destruição das informações.
Em termos mais simples, é o princípio que preserva as informações de qualquer tipo de violação, tanto de forma acidental quanto proposital.
5. Conformidade
O princípio da conformidade garante que os dados sejam processados de forma correta, conforme todas as leis, regulamentos e normas.
6. Disponibilidade
É o princípio que prevê que a informação vai estar acessível e disponível para pessoas autorizadas, sempre que for necessário.
Os mecanismos de acesso remoto possibilitam a plena execução do princípio da disponibilidade. Já que a partir deles é possível acessar informações de qualquer lugar em qualquer horário.
7. Irretratabilidade
A irretratabilidade impossibilita a negação da autoria de uma transação, em termos de acesso, modificação e exclusão de informações.
Por que a segurança de dados é importante para as empresas?
Você já sabe que a segurança de dados é fundamental para proteger as informações de usuários e clientes, não é?
O que talvez você não saiba é a importância que ela tem para as próprias empresas.
Em primeiro lugar, é fundamental entender que todos os dados – que vão desde informações sobre produtos e serviços, nomes e informações de funcionários e gestores até dados sobre a contabilidade da empresa – estão disponíveis nos sistemas da empresa.
Quer dizer: a segurança de informação é importante para empresas de todos os ramos e portes. Já que a falta de segurança de dados expõe empresas a diversos riscos: desde ataques cibernéticos até vazamentos internos e externos dessas informações.
Pode-se, por exemplo, expor as movimentações financeiras de um período da empresa. Ou, então, vazar nomes e contatos de clientes para uma empresa concorrente.
Nesse contexto, os danos à empresa em razão da violação de dados podem ter inúmeras origens, desde financeira e estratégica até moral.
Um estudo da IBM mostrou que, em 2021, o custo médio da violação de dados no Brasil foi o maior em 17 anos: aumentou de USD 3,86 milhões para USD 4,24 milhões.
Outro estudo do IBM concluiu que 96% das pessoas brasileiras acham que as empresas não tomam medidas para proteção de seus dados. Quer dizer: esse estudo é importante para entender a relevância que clientes dão para a segurança de dados e qual é o sentimento deles em relação a isso.
Em outra perspectiva, o relatório Ponemon “State of Endpoint Security Risk Report” verificou que 54% das empresas entrevistadas sofreram algum tipo de ataque de hackers que comprometeu a segurança de informação.
Melhores práticas de segurança de dados
Agora que você já sabe sobre os conceitos de segurança de dados e a importância do tema para sua empresa, vamos ao que interessa.
Como você já sabe, para garantir a segurança de dados na internet, você precisa tomar algumas providências importantes.
Aqui estão nossas sugestões de estratégias que vão interferir no tratamento de dados da sua empresa:
1. Mapeamento do negócio
Antes de traçar uma estratégia para segurança de dados, deve-se entender quais são as necessidades da empresa. Então, em primeiro lugar, é fundamental fazer um diagnóstico da infraestrutura e dos sistemas.
A tecnologia de equipamentos de tecnologia da informação (hardwares) e dos sistemas e aplicativos (softwares) evoluem constantemente. A defasagem tecnológica torna toda infraestrutura vulnerável. As consequências são:
- Perda de competitividade
- Ineficiência operacional
- Insatisfação de colaboradores e clientes
- Morosidade e ineficácia do processo decisório
Os equipamentos correm risco de defeitos de fabricação, instalação ou utilização incorreta, queima e quebra de componentes e má conservação.
Os softwares, por sua vez, ficam sujeitos a falhas técnicas e de configuração de segurança, mau uso ou negligência na guarda de login e senhas de acesso.
Então, é importante ter um pouco de clareza sobre os riscos associados aos dados da sua empresa. Pense neles como potenciais acontecimentos capazes de colocar a segurança de seus dados em risco.
Na prática, os riscos em potencial são:
- Panes tecnológicas
- Más práticas de uso de dados
- Ataques cibernéticos
- Vazamentos internos intencionais ou não
Deve-se imaginar o que de pior pode acontecer para formular um plano de contingência. Inclusive, para te ajudar nisso, pesquise sobre usar matrizes de risco, que cruzam variáveis de impacto e probabilidade de certos acontecimentos.
2. Backup de dados
A cópia de segurança ou backup de dados é fundamental para garantir a disponibilidade de informação, em caso de roubo ou danos nos locais de armazenamento.
A partir do backup pode-se recuperar, de forma rápida, informações excluídas de forma intencional ou perdidas em roubos, enchentes e incêndios.
O backup pode ser armazenado em dispositivos físicos, como servidores de backup, CD, pendrive e HD externo, ou em nuvem. O mais importante é que existam, pelo menos, duas cópias das bases de dados em locais físicos distintos.
3. Invista na autenticação em dois fatores
Uma estratégia comum para aumentar a segurança dos dados é incluir uma segunda camada para verificar se o login é de uma pessoa com autorização para acessar os dados.
Ou seja: a segunda autenticação identifica a pessoa usuária e valida o acesso aos dados. Isso pode acontecer, por exemplo, através de uma assinatura digital ou de biometria.
4. Tenha atenção às normas de segurança de dados e à LGPD
Não tem como fugir de criar iniciativas de compliance na empresa. Essa ideia de conformidade consiste em, de forma geral, alinhar um conjunto de políticas e práticas para adequar a empresa às principais normas e leis de proteção e uso de dados.
Nesse ponto, deve-se ter atenção especial à Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/18), que estabelece os regulamentos sobre registros e uso de dados. O objetivo principal da LGPD é proteger os direitos fundamentais de liberdade e privacidade de pessoas físicas e jurídicas.
É por isso que, por exemplo, a LGPD estabeleceu um tratamento distinto aos dados pessoais sensíveis, que dizem respeito à origem racional, convicção religiosa, opinião política, filiação de sindicato, dados referentes à saúde ou vida sexual e genéticos.
A LGPD, em uma forma esquemática, descreve dez princípios relativos ao tratamento dos dados, na internet:
- Da finalidade: a obtenção dos dados deve ter um fim específico.
- Da adequação: tais fins devem se relacionar ao propósito da empresa.
- Da necessidade: deve-se coletar apenas o mínimo possível dos dados.
- Do livre acesso: o usuário deverá ter a possibilidade de acessar os dados que cada empresa tem sobre ele.
- Da qualidade: deve-se atualizar os dados com recorrência.
- Da transparência: a empresa deve tratar o usuário com clareza.
- Da segurança: deve-se tomar as medidas necessárias para a proteção dos dados.
- Da prevenção: deve-se utilizar meios para prevenir qualquer eventual vazamento de dados.
- Da não discriminação: a empresa não pode discriminar os usuários pelos seus dados.
- Da responsabilização: a empresa deve se responsabilizar pelo tratamento dos dados.
Esses princípios regem as políticas que as empresas precisam adotar para utilizar os dados.
Como você já deve saber, empresas em desconformidade com a LGPD podem sofrer graves punições, como multas, advertências e até suspensão das atividades.
5. Política de cookies
A Política de Cookies é um documento que compreende todas as informações necessárias ao usuário sobre os cookies da plataforma.
Assim, na Política de Cookies deve constar:
- quais são os cookies do site;
- qual é a função de cada um;
- como é possível desabilitá-los; e
- pedir o consentimento do usuário para que sejam usados.
A Política de Cookies é essencial para que o armazenamento de algumas informações – essenciais para a empresa proprietária do site e para os usuários – esteja conforme prevê a LGPD.
6. Política de privacidade
A Política de Privacidade é um documento que serve para informar aos usuários do site como suas informações pessoais serão coletadas, armazenadas e compartilhadas com outras empresas.
Ou seja, ela é o contrato que estabelece a relação entre a pessoa usuária e o provedor. A parte mais importante é que é uma ferramenta que dá possibilidade de o usuário aceitar ou não o uso de seus dados, o que pode evitar problemas jurídicos futuros.
Além do mais, a Política de Privacidade deve se adequar à LGPD, visto que a responsabilidade pelos dados pessoais de usuários é um dever da empresa.
Tenha atenção ao fato de que a Política de Privacidade deve atender às necessidades e às demandas específicas da empresa, sob pena de cair em disfuncionalidade. Então, evite pegar modelos prontos na internet.
7. Termos de Uso
Os Termos de Uso indicam as regras que as pessoas usuárias devem respeitar ao usar o site. De forma geral, é um documento que compreende a obrigação das pessoas de verificarem as informações disponíveis no site e um aviso de isenção de responsabilidade.
Bom, já deu para perceber que, quando se tratam de estratégias para segurança de dados, são muitas possibilidades.
Não tem como fugir. Sua empresa precisa se adequar à LGPD, além de instituir Política de Privacidade e Termos de Uso.
Nesse caso, é fundamental contar com conhecimentos técnicos e aprofundados. Para garantir a sua segurança jurídica, conversar com uma assessoria jurídica personalizada é uma alternativa.
A assessoria irá entender quais são as suas necessidades específicas e fornecerá recomendações úteis ao seu negócio.
Escrito por Beatriz Coelho, redatora e mestra em Direito.