Informações confidenciais de colaboradores

por Elaine Pinto 23 de fevereiro de 2017

escrito por Elaine Pinto 0 comentários 2 minutos leia

Figura - Informações confidenciais de colaboradores Cada vez mais estamos convencidos de que proteger informações críticas da organização é fundamental para a continuidade do negócio e manutenção de sua competitividade, considerando que muitas delas são relacionadas à segredo de negócio e desenvolvimento de novos produtos. Acredito que as organizações já estejam bem alertas neste sentido.

Por outro lado, tenho dúvidas se as informações confidenciais de colaboradores recebem o tratamento compatível com este nível de classificação e, também, se as organizações de fato consideram a legislação aplicável ao tema.

Um exemplo que ilustra esta preocupação é o vazamento de informações da empresa Sony ocorrido em 2014. Nele, cerca de 47 mil números de identificação de segurança social e expedientes de empregados, incluindo salários e históricos médicos, foram acessados indevidamente e disponibilizados na internet.

Uma das ações tomadas pela Sony foi pedir que a imprensa não utilizasse os dados roubados pelos hackers. De acordo com o advogado da empresa, “A Sony não dá seu consentimento para que possuam, leiam, copiem, publiquem, baixem ou façam qualquer coisa com esses documentos”.

Eventos tech no Brasil Agenda monitorada pelo Virtual Arena AI

Ver agenda completa →

TDC Florianópolis 2026 📅 22 jul. 📍 Florianópolis, Brazil ✓ Confirmado Inteligência Artificial
DevOpsDays Rio de Janeiro 2026 📅 15 ago. 📍 Rio de Janeiro, Brazil ✓ Confirmado Plataformas
DevOpsDays Curitiba 2026 📅 22 ago. 📍 Curitiba, Brazil ✓ Confirmado Plataformas

Não conheço o ambiente tecnológico da Sony e também não posso dizer que faltou este ou aquele controle, mas posso afirmar que, sob a perspectiva da Segurança da Informação, algo falhou.

A norma ISO/IEC 27001:2013 apresenta controles que tratam sobre a relação da empresa com o colaborador e que também podem ajudar na proteção de informações confidenciais, entre eles estão:

Políticas de Segurança da Informação
Segurança em Recursos Humanos
Classificação da Informação
Controle de Acesso
Criptografia
Proteção contra Malware
Gestão de Incidentes de Segurança da Informação

Esses são alguns exemplos de controles que podem ser implementados. No entanto, o cenário é outro para organizações que buscam uma certificação, pois os controles são ou tornam-se obrigatórios em função do negócio, da análise de riscos, dos requisitos de clientes, entre outros.

Em resumo, proteger informações confidenciais de colaboradores vai além do escopo da organização e de uma certificação. Também é uma questão de segurança para os colaboradores que confiaram as suas informações pessoais e de seus familiares à organização.

Fonte:
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001: Tecnologia da informação – Técnicas de segurança – Sistemas de gestão da segurança da informação – Requisitos. Rio de Janeiro, 2013.

Elaine Pinto

Elaine Pinto Consultora de Qualidade e Processos, ARCON Serviços Gerenciados de Segurança Elaine Pinto é Consultora de Qualidade e Processos e Auditora Líder no processo de Certificação ISO/IEC 27001 da Arcon. Formada em Administração e Arquivologia, Elaine se especializou em Gestão Estratégica e Qualidade e Auditoria de Sistemas de Gestão da Qualidade e Segurança da Informação. Com mais de 10 anos de experiência em Gestão, é coautora do livro Guia Oficial para Formação de Gestores em Segurança da Informação e atuou em empresas como Módulo Security Solutions e Petrobras.