Segurança da Informação

Ξ Deixe um comentário

Informações confidenciais de colaboradores

publicado por Elaine Pinto

Figura - Informações confidenciais de colaboradoresCada vez mais estamos convencidos de que proteger informações críticas da organização é fundamental para a continuidade do negócio e manutenção de sua competitividade, considerando que muitas delas são relacionadas à segredo de negócio e desenvolvimento de novos produtos. Acredito que as organizações já estejam bem alertas neste sentido.

Por outro lado, tenho dúvidas se as informações confidenciais de colaboradores recebem o tratamento compatível com este nível de classificação e, também, se as organizações de fato consideram a legislação aplicável ao tema.

Um exemplo que ilustra esta preocupação é o vazamento de informações da empresa Sony ocorrido em 2014. Nele, cerca de 47 mil números de identificação de segurança social e expedientes de empregados, incluindo salários e históricos médicos, foram acessados indevidamente e disponibilizados na internet.

Uma das ações tomadas pela Sony foi pedir que a imprensa não utilizasse os dados roubados pelos hackers. De acordo com o advogado da empresa, “A Sony não dá seu consentimento para que possuam, leiam, copiem, publiquem, baixem ou façam qualquer coisa com esses documentos”.

Não conheço o ambiente tecnológico da Sony e também não posso dizer que faltou este ou aquele controle, mas posso afirmar que, sob a perspectiva da Segurança da Informação, algo falhou.

A norma ISO/IEC 27001:2013 apresenta controles que tratam sobre a relação da empresa com o colaborador e que também podem ajudar na proteção de informações confidenciais, entre eles estão:

  • Políticas de Segurança da Informação
  • Segurança em Recursos Humanos
  • Classificação da Informação
  • Controle de Acesso
  • Criptografia
  • Proteção contra Malware
  • Gestão de Incidentes de Segurança da Informação

Esses são alguns exemplos de controles que podem ser implementados. No entanto, o cenário é outro para organizações que buscam uma certificação, pois os controles são ou tornam-se obrigatórios em função do negócio, da análise de riscos, dos requisitos de clientes, entre outros.

Em resumo, proteger informações confidenciais de colaboradores vai além do escopo da organização e de uma certificação. Também é uma questão de segurança para os colaboradores que confiaram as suas informações pessoais e de seus familiares à organização.

Fonte:
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001: Tecnologia da informação – Técnicas de segurança – Sistemas de gestão da segurança da informação – Requisitos. Rio de Janeiro, 2013.
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Compare preços de Uber, 99 e Taxi

Minimum Way

Autor

Elaine Pinto Consultora de Qualidade e Processos, ARCON Serviços Gerenciados de Segurança Elaine Pinto é Consultora de Qualidade e Processos e Auditora Líder no processo de Certificação ISO/IEC 27001 da Arcon. Formada em Administração e Arquivologia, Elaine se especializou em Gestão Estratégica e Qualidade e Auditoria de Sistemas de Gestão da Qualidade e Segurança da Informação. Com mais de 10 anos de experiência em Gestão, é coautora do livro Guia Oficial para Formação de Gestores em Segurança da Informação e atuou em empresas como Módulo Security Solutions e Petrobras.

Elaine Pinto

Comentários

You must be logged in to post a comment.

Busca

Patrocínio

Publicidade




Siga-nos!

Newsletter: Inscreva-se

Para se inscrever em nossa newsletter preencha o formulário.