A proteção de dados é o processo de proteger informações importantes contra corrupção, comprometimento ou perda.
A importância da proteção de dados aumenta à medida que a quantidade de dados criados e armazenados continua a crescer a taxas sem precedentes. Também há pouca tolerância para o tempo de inatividade que pode impossibilitar o acesso a informações importantes.
Consequentemente, uma grande parte da estratégia de proteção de dados é garantir que os dados possam ser restaurados rapidamente após qualquer corrupção ou perda. Proteger os dados contra o comprometimento e garantir a privacidade dos dados são outros componentes importantes da proteção de dados.
Os dados pessoais devem ser mantidos seguros - tecnologicamente, fisicamente e organizacionalmente - e devem ser protegidos por medidas aceitáveis e apropriadas contra modificação não autorizada, adulteração, destruição ilegal, perda acidental, divulgação imprópria ou transferência indevida. Essa segurança deve estar sujeita a uma governança, controles e auditabilidade de TI.
Neste artigo, trazemos uma série de recomendações de segurança para a proteção de dados pessoais nos processos, tecnologias e documentação da sua empresa. Continue a leitura do artigo e conheça as recomendações.
Falhas e Vulnerabilidades de Segurança
Proteger redes ou dados armazenados em data centers é em grande parte responsabilidade da TI da organização. A TI desempenha alguma função na segurança dos dispositivos do usuário final, mas grande parte da responsabilidade prática recai sobre o usuário final. Proteger os registros em papel quase sempre é responsabilidade do usuário final, por exemplo.
Os pontos de vulnerabilidade de segurança de dados mais comuns são:
Redes: Como portas de entrada para invasões, entrada de vírus ou malware ou interceptação de dados em trânsito (email, dados baixados e entre outros).
Data Centers: Sistemas de armazenamento de dados podem ser comprometidos por acesso físico não autorizado, ou por meio de vírus ou malware através de uma rede desprotegida.
Dispositivos de Usuário Final: Armazenamento de dados local em desktops, laptops, telefones ou outros dispositivos de armazenamento de dados que podem ser comprometidos por perda, roubo ou acesso não autorizado.
Ambiente de Escritório: Dados mantidos em registros de papel armazenados em um escritório ou outro depósito, ou sendo transportados fisicamente; ou quaisquer outros computadores ou dispositivos de armazenamento inseguros.
A segurança dos dados pode ser comprometida de três maneiras:
Os dados pessoais devem ser coletados e processados apenas uma vez que as medidas de segurança apropriadas estejam em vigor e, então, apenas por pessoas autorizadas.
Recomendações para Segurança de Dados
Retirar do escritório um dispositivo que contém dados pessoais ou coletar dados em campo apresenta um risco considerável. Sempre certifique-se de que tais dispositivos sejam protegidos por medidas especiais de segurança antes de serem transportados.
Esteja ciente de que excluir um registro de um banco de dados ou excluir um arquivo não remove necessariamente essas informações do computador (ferramentas de recuperação podem ser usadas para restaurar os dados). Os registros eletrônicos devem ser destruídos com a supervisão e envolvimento da TI da organização.
Esteja particularmente vigilante com dispositivos móveis em locais públicos. Ladrões são conhecidos por tirar os dispositivos móveis das mãos dos usuários; se o dispositivo estiver ligado, os dados podem ser comprometidos.
Recomendações para Provedores de Serviços Financeiros
Ao fazer parceria com um provedor de serviços financeiros para um processo baseado em cartão, certifique-se de que o provedor seja compatível com PCI DSS.
PCI DSS é o padrão de segurança de dados do setor de cartões de pagamento, um padrão de segurança de informações específico para organizações que lidam com informações do titular do cartão para os principais cartões de débito, crédito, pré-pago, caixas eletrônicos e entre outros.
Definido pelo Conselho de Normas de Segurança da Indústria de Meios de Pagamento (PCI Council), o padrão foi criado para aumentar os controles em torno dos dados do titular do cartão para reduzir fraudes de cartão de crédito resultante da exposição de dados. A conformidade é validada anualmente por um avaliador de segurança qualificado para organizações que lidam com grandes volumes de transações.
Recomendações de Segurança Física
Certifique-se de que os registros em papel e o armazenamento eletrônico contendo dados pessoais sejam armazenados em cofres, prateleiras, gavetas ou salas e que sejam mantidos em bom estado de conservação.
Restringir o acesso às instalações de armazenamento e salas de servidores apenas ao pessoal autorizado.
Assegure-se de que as cópias impressas sejam destruídas de maneira adequada assim que não forem mais necessárias.
Certifique-se de que cópias de backup do sistema sejam feitas rotineiramente e armazenadas em um local separado e seguro.
Os registros em papel devem ser tratados diretamente (não por meio de mensageiros, correio e entre outros).
Armazene mídia portátil em locais seguros e protegidos.
Sinalizar documentos como estritamente confidenciais.
Recomendações de Segurança para Tecnologia
Certifique-se de que todos os sistemas, redes ou ambientes de hospedagem estejam configurados de acordo com a política e diretrizes oficiais de segurança da organização.
Utilize proteção antivírus e antimalware de acordo com a política de segurança.
Use vários níveis de proteção por senha - por exemplo, uma senha para fazer logon em um computador e outra senha diferente para acessar um aplicativo que processa informações confidenciais.
Incluir dispositivos móveis em um sistema de gerenciamento de dispositivos móveis e permitir o rastreamento móvel e que o dispositivo seja apagado remotamente se for perdido ou roubado.
Use o acesso baseado em função que fornece diferentes camadas de acesso a dados para diferentes funcionários de acordo com suas funções de trabalho.
Use apenas conexões seguras de internet.
Use o mascaramento de dados: substituindo a identidade dos titulares dos dados ou outros fatores identificáveis por rótulos ou números e letras não conectados.
Descarte computadores obsoletos ou que não estejam funcionando e outros equipamentos de armazenamento de acordo com a política da organização.
Evite fazer cópias para processamento local de bancos de dados que contenham dados pessoais.
Recomendações de Segurança Organizacional
Certifique-se de que recursos suficientes sejam alocados para permitir que todas as medidas de segurança sejam implementadas.
Autorizar o acesso aos dados pessoais apenas para funções / cargos pré definidos com base na necessidade de saber com clara atribuição de responsabilidades.
Certifique-se de que as responsabilidades pela segurança dos dados sejam claramente atribuídas.
Certifique-se de que todos os colaboradores estejam familiarizados com essas diretrizes, especialmente os pontos focais de proteção de dados.
Considerações Finais
Já faz algum tempo que estamos nos especializando cada vez mais em Proteção de Dados para conformidade com a LGPD e GDPR, para tanto entendemos cada vez mais a importância em capacitar os profissionais brasileiros para esse novo mercado.
A RS Security Data Security é agora empresa autorizada como autoridade em treinamentos de capacitação e certificação nas guias de certificação EXIN PDPE (Privacy and Data Protection Essentials) e PDPF (Privacy & Data Protection Foundation).
Embarque conosco nessa transformação no mercado brasileiro e seja um profissional realmente capacitado e requisitado. Entre em contato com um dos nossos consultores agora.