LGPD: como o home office impacta na proteção de dados pessoais?
O ano de 2020 foi um tanto desafiador para todo mundo e não poderia ser diferente para os profissionais da área de segurança da informação. A crise do novo coronavírus (SARS-CoV2) forçou as empresas a dispensar seus colaboradores para o trabalho remoto — o que não apenas demandou investimentos em novas infraestruturas de TI (incluindo a contratação de soluções de VPN), mas também corroborou para uma reestruturação completa em políticas de segurança por conta dessa nova realidade.
Para tornar esse cenário ainda mais complexo, tivemos a tão aguardada entrada em vigor da Lei Geral de Proteção de Dados (LGPD). Embora o regulamento seja indiscutivelmente bem-vindo para a população brasileira, podemos dizer que ele chegou em um momento no qual os decisores já estavam saturados demais para ter que lidar com mais mudanças estruturais relacionadas à segurança cibernética de seus empreendimentos. Se adequar-se à LGPD já seria um desafio, imagine só como o home office complicou ainda mais.
E é exatamente essa a pergunta que muitos estão se fazendo neste momento: como garantir compliance com a lei tendo seus funcionários espalhados pela cidade, estado, país ou até mesmo pelo mundo? Como garantir que todos estejam seguindo as melhores práticas para evitar vazamentos de informações sigilosas?
Um “acidente doméstico”
É preciso se lembrar que, por mais que uma empresa faça uso ético e correto dos dados pessoais de seus consumidores, ela depende que seus colaboradores sejam responsáveis no exercício de sua profissão. Imaginemos, por exemplo, uma agência de telemarketing, que neste momento esteja operando de forma 100% remota. Cada operador possui acesso ao sistema corporativo, que, por sua vez, conta com milhões de registros de brasileiros. Como garantir que esse profissional não colocará esses registros em risco?
No home office, muitos utilizam seus dispositivos pessoais (notebook, tablet e/ou smartphone) para acessar, visualizar e processar dados que pertencem à empresa. Muitas vezes, tais gadgets podem não ter o mesmo nível de proteção de um equipamento homologado pela TI — ele pode estar com o sistema operacional desatualizado, ter aplicativos maliciosos instalados nele ou até mesmo usar redes domésticas que estão inseguras (afinal, são poucas as pessoas que sequer trocam a senha de fábrica de seus roteadores).
Às vezes, uma exposição indevida de dados pode até ser não-intencional — um funcionário pode imprimir informações sigilosas e outro morador de sua residência (seja um familiar ou um visitante) acaba visualizando-as.
Nada substitui o elo humano
E é por conta desses fatores que investir em programas de conscientização torna-se algo mais crítico do que nunca. Os colaboradores precisam conhecer as ameaças às quais eles estão expostos no ambiente doméstico, respeitar as políticas de acesso da empresa e utilizar os devidos softwares de proteção, sem descuidar dos bons hábitos de proteção que eles adotariam caso estivessem no escritório.
Claro, o mercado passou a oferecer diversas soluções que preenchem as lacunas dos riscos do home office (incluindo ambientes virtualizados de zero trust, que agem como um intermediário entre o dispositivo e as aplicações corporativas para verificar constantemente a identidade do usuário com base em diversos fatores e análises comportamentais), mas o ser humano sempre será o elo mais importante. Quer garantir compliance com a LGPD? Invista na educação de seus colaboradores!