Cuide dos seus dados e os seus dados cuidarão de si

Entenda os dados por dentro e por fora

Garantir a conformidade com os regulamentos de proteção de dados não é uma tarefa fácil. É necessário fazer perguntas como: que informações estamos a recolher, porquê, onde e como? Estaremos a ser transparentes com as pessoas a quem solicitamos os seus dados e compreenderão os colaboradores a sua responsabilidade em relação a eles? As empresas não devem cair na armadilha de usar dados antigos para novos propósitos, por exemplo. Além disso, quando se trata de dados pessoais, muitas empresas tratam-nos como se fossem da sua propriedade, quando na verdade só têm sua custódia.

O perigo dos dispositivos móveis

São eles que albergam volumes impressionantes de dados, mas a verdade é que poucos ataques afetam diretamente os data centers. Já por outro lado, inúmeros computadores portáteis e dispositivos móveis são roubados todos os dias do ano. Nas mãos erradas, podem ser usados ​​para aceder a dados muito sensíveis ou críticos para a empresa. O mapeamento de dados, ou seja, a identificação de dados pessoais, conteúdo e perfil de risco, ajuda as equipas de TI a compreender o "antes e depois" de uma infração, o que, por sua vez, ajuda a prever onde uma fuga ou violação poderá ocorrer e o impacto potencial que esta poderá ter.

Haverá sempre incidentes, independentemente do que se faça, pelo que as equipas de TI devem planear e preparar-se para o pior, aprendendo com cada caso para estar melhor preparadas para o próximo.

Não se podem aplicar “patches” às pessoas

Todos nós que trabalhamos nas empresas somos responsáveis ​​pelos dados, em todas as hierarquias, do presidente para baixo. O facto-chave a ter em mente é que "não podemos aplicar patches de segurança às pessoas". Não importa o quanto queiramos, não há uma solução rápida se os funcionários não souberem exatamente qual é o seu papel na boa governação da informação. Todas as empresas dependem dos seus funcionários, mas estes serão sempre o elo mais fraco, pelo que a formação continua a ser a abordagem mais importante a considerar quando se trabalha para alcançar o máximo de conformidade regulamentar.

Erros Conhecidos

Uma vez compreendida a informação que temos nas mãos e as nossas responsabilidades para com esta, e uma vez garantido que todos os colaboradores recebem o nível de formação necessário, o próximo passo é identificar os principais riscos que os dados recolhidos pela empresa podem representar:

• Falta de visibilidade: poder ver onde estão os dados e quem tem acesso a estes é crucial para garantir a segurança. Sem uma visibilidade adequada, nunca podemos ter certeza de que estamos a proteger completamente os dados.
• E-mail e outros dados de mensagens: este é um dos maiores riscos para a perda de dados, tanto pelo facto de os dados serem partilhados através de e-mails que podem ser intercetados, como elas ameaças como o phishing, capazes de podem enganar os colaboradores das empresas, levando-os a divulgar informações pessoais ou a seguir links maliciosos.
• Unidades de backup pessoais e unidades USB: se a sua empresa o permite, assegure-se pelo menos de que estes dispositivos estão totalmente encriptados, para que, se forem perdidos ou roubados, terceiros não possam aceder aos dados que lá estão dentro. Também vale a pena avaliar a real necessidade de os colaboradores utilizarem esses dispositivos e se outra solução pode ser oferecida para evitar completamente o seu uso.
• Uso da Cloud: se forem para colocar dados pessoais na nuvem, é vital conhecer as regras de proteção de dados desta plataforma, bem como informações menos óbvias, tais como onde está baseada a empresa fornecedora do serviço, uma vez que isso pode afetar as normas que devem ser cumpridas.

Reconhecer estes riscos e aprender a evitá-los é a melhor forma de garantir que a nossa empresa está a fazendo a coisa certa.