Cada vez mais estamos convencidos de que proteger informações críticas da organização é fundamental para a continuidade do negócio e manutenção de sua competitividade, considerando que muitas delas são relacionadas à segredo de negócio e desenvolvimento de novos produtos. Acredito que as organizações já estejam bem alertas neste sentido.
Por outro lado, tenho dúvidas se as informações confidenciais de colaboradores recebem o tratamento compatível com este nível de classificação e, também, se as organizações de fato consideram a legislação aplicável ao tema.
Um exemplo que ilustra esta preocupação é o vazamento de informações da empresa Sony ocorrido em 2014. Nele, cerca de 47 mil números de identificação de segurança social e expedientes de empregados, incluindo salários e históricos médicos, foram acessados indevidamente e disponibilizados na internet.
Uma das ações tomadas pela Sony foi pedir que a imprensa não utilizasse os dados roubados pelos hackers. De acordo com o advogado da empresa, “A Sony não dá seu consentimento para que possuam, leiam, copiem, publiquem, baixem ou façam qualquer coisa com esses documentos”.
Não conheço o ambiente tecnológico da Sony e também não posso dizer que faltou este ou aquele controle, mas posso afirmar que, sob a perspectiva da Segurança da Informação, algo falhou.
A norma ISO/IEC 27001:2013 apresenta controles que tratam sobre a relação da empresa com o colaborador e que também podem ajudar na proteção de informações confidenciais, entre eles estão:
Esses são alguns exemplos de controles que podem ser implementados. No entanto, o cenário é outro para organizações que buscam uma certificação, pois os controles são ou tornam-se obrigatórios em função do negócio, da análise de riscos, dos requisitos de clientes, entre outros.
Em resumo, proteger informações confidenciais de colaboradores vai além do escopo da organização e de uma certificação. Também é uma questão de segurança para os colaboradores que confiaram as suas informações pessoais e de seus familiares à organização.
Elaine Pinto Consultora de Qualidade e Processos, ARCON Serviços Gerenciados de Segurança Elaine Pinto é Consultora de Qualidade e Processos e Auditora Líder no processo de Certificação ISO/IEC 27001 da Arcon. Formada em Administração e Arquivologia, Elaine se especializou em Gestão Estratégica e Qualidade e Auditoria de Sistemas de Gestão da Qualidade e Segurança da Informação. Com mais de 10 anos de experiência em Gestão, é coautora do livro Guia Oficial para Formação de Gestores em Segurança da Informação e atuou em empresas como Módulo Security Solutions e Petrobras.
You must be logged in to post a comment.
