A mídia frequentemente relata sobre as fraudes elaboradas pelas quais as empresas são vítimas. Às vezes, alguém recebe, por engano, acesso indevido a uma rede. Muitas vezes os atacantes têm um trabalho fácil. Sites de mídia social como Facebook e LinkedIn fornecem informações para identificar funcionários com acesso a redes e sistemas. Em seguida, um e-mail de phishing cuidadosamente criado ou até mesmo uma ligação telefônica podem induzir o funcionário a ajudar um impostor a obter acesso. O que é frequentemente encoberto, é a importância do treinamento dos colaboradores das empresas quanto aos assuntos da proteção de dados pessoais (GDPR e mais especificamente o Brasil, a LGPD).
Sem o treinamento adequado, as pessoas se tornam o elo mais fraco
Mais do que se possa imaginar, a segurança é violada com muito mais frequência como resultado de erro humano do que devido a ataques maliciosos. Porque os erros acontecem, onde quer que as pessoas estejam trabalhando. Por exemplo, um funcionário precisa sair cedo para pegar seus filhos na escola no horário e decide levar seu laptop com os dados (pessoais) de um cliente para concluir o trabalho mais tarde. Boa ética de trabalho, mas má segurança. Laptops podem ser facilmente perdidos ou roubados -incluindo os dados neles contidos. De forma semelhante, os dados pessoais podem ser compartilhados de forma insegura, como por e-mail ou em cartões de memória, e perdidos. Outro erro comum é enviar e-mails para um grupo de pessoas usando o campo “para” em vez do campo “bcc”. Muitas pessoas sequer percebem que isso é um problema. É, de fato, distribuição não autorizada de dados pessoais. Tanto porque um endereço de e-mail é um dado pessoal quanto porque o assunto do e-mail pode revelar informações pessoais confidenciais. Em 2018, um e-mail que foi enviado para vítimas de abuso sexual infantil resultou em uma multa de £ 200.000 pela autoridade britânica de proteção de dados ICO [1] exatamente por esse motivo.
Os profissionais de segurança de dados sabem que esse “fator humano” costuma ser o elo mais fraco na segurança de dados. Quando os funcionários não estão totalmente cientes dos riscos, eles podem facilmente cometer erros dispendiosos ou ser vítimas de ataques maliciosos.
Prestação de contas
Um dos princípios do GDPR é que o responsável pelo controle é considerado responsável pela “segurança apropriada dos dados pessoais, incluindo proteção contra processamento não autorizado ou ilegal e contra perda, destruição ou dano acidental, usando medidas técnicas ou organizacionais apropriadas”. O que “apropriado” significa em uma situação específica não é explicitamente definido no GDPR. No entanto, o regulamento estabelece que as medidas devem levar em consideração a natureza, o âmbito, o contexto e os fins do tratamento e o risco para os direitos e liberdades das pessoas físicas [2].
A jurisprudência mostra que essa responsabilidade (e prestação de contas) inclui casos em que as infrações foram causadas pelas ações de um empregado e mesmo se a violação foi intencional [3]. Sempre que os dados pessoais estiverem sendo processados, o controlador deve garantir que os dados estejam seguros. A equipe que examina cuidadosamente os dados pessoais e uma política de acesso rigorosa é necessária, mas não o suficiente. No caso da Morrisons (onde a violação foi intencional), a Corte Britânica de Apelação, em seu julgamento, considerou que o seguro contra atos maliciosos da equipe é a maneira de lidar com eles.
Processos de trabalho
As políticas com as quais os funcionários se envolvem ativamente durante o curso de seu trabalho diário são necessárias para garantir que elas sigam a abordagem de proteção de dados da empresa. Um exemplo pode ser uma gravação do sistema de registro que acessou quais dados pessoais em qual data e hora e para qual operação de processamento.Como dito anteriormente, a maioria dos riscos envolvidos no processamento diário não são atos maliciosos. O maior problema é que os funcionários tomam atalhos e não cumprem as regras porque não percebem ou compreendem o risco que correm. A resposta é ter processos de trabalho bem definidos e auditorias internas para avaliar e atualizar regularmente essas políticas. E -por último mas não menos importante -um bom plano de resposta a violações de dados. Porque, independentemente das medidas de mitigação tomadas, o risco está sempre presente. Você precisa estar preparado porque a maneira como uma empresa responde a uma violação de dados pode determinar se sobrevive ao incidente.
Treinamento da equipe do GDPR para conscientizaçãoO resultado final é, obviamente, a responsabilidade de incorporar a proteção de dados “by design e by default”. Isso se estende a sua equipe e sua necessidade de estar ciente dos riscos envolvidos no processamento de dados pessoais e como mitigá-los. A maioria dos funcionários só precisa estar ciente dos riscos em sua situação específica e dos postos-chave do GDPR. A ideia não é sobrecarregá-los com documentos longos, mas sim um treinamento sobre a GDPR (EXIN Privacy Data Protection Foundation), que você pode completar com a certificação EXIN Privacy & Data Protection Essentials (esta, com base na LGPD). A certificação não apenas motiva, mastambém ajuda os funcionários a comprovar sua compreensão básica da lei e da prática da proteção de dados.
Os usuários de alto risco precisam de aprendizado combinado sob medida, com base na situação da empresa e seus respectivos papéis dentro dela. Penseem games, estudos de caso baseado em papéis e outras experiências de aprendizado mais práticas. Dependendo do tipo de processamento envolvido, você pode considerar as certificações EXIN Privacy & Data Protection Foundation ou EXIN Privacy & Data Protection Practitioner.
Nos dois casos, você não deve parar por aí. O GDPR evolui e a conformidade requer aprendizado e reforço contínuos. Como em outros campos, o aprendizado contínuo ajuda as pessoas a aplicar o que aprenderam na prática, contribuindo para a cultura de segurança de dados na empresa.
Este artigo foi escrito pelo autor convidado Leo Besemer.
[1] https://ico.org.uk/action-weve-taken/enforcement/independent-inquiry-into-child-sexual-abuse/
[2] Article 24(1) and Recital (74)
[3] https://www.judiciary.uk/wp-content/uploads/2017/12/morrisons_approved_judgment.pdf