Quando se trata de segurança de dados, o que é razoável dependerá do tamanho e da natureza do seu negócio e do tipo de dados com os quais você lida. Mas certos princípios se aplicam a todos: não colete informações confidenciais desnecessárias. Proteja as informações que você mantém. E treine sua equipe para executar suas políticas.
A iniciativa Start with Security da FTC foi construída sobre esses fundamentos. Como mencionamos na postagem introdutória da semana passada, chamaremos esta série Fique com a segurança porque cada postagem do blog oferecerá um mergulho mais profundo em um dos dez princípios discutidos em Comece com segurança. Embora os princípios permaneçam inalterados, usaremos essas postagens – uma toda sexta-feira durante os próximos meses – para explorar as lições das ações de aplicação da lei anunciadas desde Comece com Segurança, para refletir sobre o que as empresas podem aprender com as investigações que a equipe da FTC acabou encerrando. e para abordar experiências que as empresas compartilharam conosco sobre como implementam o Start with Security em seus locais de trabalho.
Não colete informações pessoais desnecessárias.
É uma proposta simples: se você não solicitar dados confidenciais em primeiro lugar, não precisará tomar medidas para protegê-los. É claro que haverá dados que você deverá manter, mas o velho hábito de coletar informações confidenciais “só porque” não se sustenta na era cibernética.
Há outra vantagem de coletar apenas o que você precisa. Um subconjunto enxuto de dados confidenciais é mais fácil de proteger do que grandes quantidades de informações confidenciais armazenadas em redes e em arquivos em toda a empresa. As empresas que limitam sensatamente o que recolhem já reduziram os seus riscos de segurança e simplificaram os seus procedimentos de conformidade.
Exemplo: Um centro de jardinagem local apresenta um programa de compradores frequentes. O aplicativo solicita aos clientes uma quantidade substancial de informações pessoais, incluindo números de Seguro Social, e o centro de jardinagem mantém os aplicativos em seus arquivos. Como a loja não tem motivos comerciais para coletar os números do Seguro Social dos clientes, ela está assumindo um risco desnecessário ao solicitar essas informações em primeiro lugar e agravando esse risco ao manter as solicitações dos clientes em arquivo.
Exemplo: Uma padaria envia aos clientes um cupom para um muffin de aniversário grátis. Em vez de manter um registro das datas de nascimento de todos os clientes – informações que poderiam ser combinadas com outros dados e usadas para fins não autorizados – a padaria orienta seus caixas a adicionarem apenas o nome do cliente, endereço de e-mail e mês de nascimento ao banco de dados. Embora existam razões legítimas pelas quais outras empresas possam precisar manter a data de nascimento de um cliente, o dia, mês e ano exatos não são necessários para a promoção de aniversário da padaria.
Exemplo: Uma loja de pneus sofre uma violação envolvendo informações sobre seus 7.000 clientes. Os dados incluem nomes de clientes, números de fidelidade da loja e a data da última rotação de pneus. O pessoal da FTC decide não prosseguir com uma acção de aplicação da lei porque, entre outros factores, a empresa tomou a decisão acertada de não recolher informações sensíveis desnecessariamente e tomou medidas razoáveis para proteger a sua rede à luz das informações limitadas que mantinha.
Guarde as informações apenas enquanto tiver uma necessidade comercial legítima.
Os fãs de cinema vão se lembrar da última cena de “Os Caçadores da Arca Perdida” – um armazém do tamanho de um campo de futebol empilhado até o teto abobadado com itens de uso diário empilhados ao lado de tesouros inestimáveis. É assim que os ladrões de dados veem o método aleatório de algumas empresas para manter suas redes e arquivos. As empresas preocupadas com a segurança adotam como prática revisar periodicamente os dados em sua posse, avaliar o que devem manter e descartar com segurança o que não é mais necessário.
Exemplo: Uma grande empresa participa de feiras de recrutamento em cidades de todo o país para atrair talentos profissionais. Depois que cada candidato conclui uma entrevista inicial, o pessoal de recursos humanos que trabalha no estande da empresa insere informações sobre a pessoa em um laptop não criptografado da empresa. Os dados inseridos pela equipe de RH incluem o currículo do candidato, informações sobre a situação da habilitação de segurança e a demanda salarial do candidato. O mesmo laptop não criptografado é usado em todas as feiras de recrutamento e os dados dos candidatos anteriores nunca são removidos. A empresa provavelmente perdeu oportunidades críticas de descartar informações confidenciais de candidatos de que não era mais necessária, incluindo dados de pessoas que decidiu não contratar.
Não use informações pessoais quando não forem necessárias.
É claro que haverá momentos em que sua empresa precisará usar dados confidenciais, mas não os utilize em contextos que criem riscos desnecessários.
Exemplo: Uma empresa vende suprimentos para animais de estimação por meio de centenas de representantes de vendas em todo o país. A empresa quer contratar um desenvolvedor para projetar um aplicativo que os representantes de vendas possam usar para acessar contas de clientes. Esses arquivos de contas contêm nomes, endereços e informações financeiras. Para explicar o escopo do projeto, a empresa envia aos desenvolvedores de aplicativos interessados arquivos de contas de clientes reais. A escolha mais segura teria sido criar arquivos simulados que não incluíssem informações confidenciais do cliente.
Treine sua equipe de acordo com seus padrões – e certifique-se de que eles os cumpram.
O que representa o maior risco para a segurança das informações confidenciais em posse da sua empresa? E qual é a sua defesa número 1 contra acesso não autorizado? A resposta para ambas as perguntas é sua equipe. Treine novos funcionários – incluindo trabalhadores sazonais e temporários – sobre os padrões que você espera que eles cumpram. Elabore procedimentos de monitoramento sensatos para garantir que eles estejam cumprindo suas regras. Como a natureza do seu negócio pode mudar e as ameaças evoluirão, realize atualizações “todos envolvidos” para explicar novas políticas e reforçar as regras de trânsito da sua empresa.
Depois de educar sua equipe sobre os padrões, delegue-os para apresentar sugestões sobre como melhorar seus procedimentos. Incentive um processo colaborativo que aproveite a experiência de todos. Um executivo de alto escalão pode ter ótimas ideias gerais, mas se você estiver procurando conselhos práticos sobre como proteger a documentação confidencial que as pessoas enviam para sua empresa, consulte também o homem da correspondência.
Exemplo: Antes de novos funcionários terem acesso à rede, uma empresa exige que eles participem de treinamento interno. Para estimular a atenção deles, a apresentação apresenta breves questionários interativos. Além disso, a empresa inclui dicas relacionadas à segurança em suas atualizações semanais por e-mail para todos os funcionários e periodicamente exige que eles façam cursos de atualização. Ao formar o seu pessoal sobre como lidar com dados sensíveis e ao reforçar as suas políticas com lembretes regulares e educação complementar sobre segurança, a empresa tomou medidas para incentivar uma cultura de segurança.
Exemplo: Uma empresa fornece serviços de folha de pagamento para pequenas empresas. Uma vez por mês, um membro da equipe de TI tem a tarefa de desativar o acesso à rede e as senhas dos funcionários que saíram da empresa nos últimos 30 dias. A prática mais segura seria treinar a equipe de TI para bloquear o acesso de ex-funcionários imediatamente após sua saída.
Quando viável, ofereça aos consumidores opções mais seguras.
Pense em suas práticas de coleta de dados tanto na operação diária do seu negócio e nos produtos, serviços, aplicativos, etc., que você oferece aos consumidores. Projete seus produtos para coletar informações confidenciais apenas se for necessário para a funcionalidade e explique claramente suas práticas aos consumidores desde o início. Considere como você pode usar configurações padrão, assistentes de configuração ou barras de ferramentas para tornar mais fácil para os usuários fazerem escolhas mais seguras. Por exemplo, se o seu produto oferece uma variedade de opções de privacidade – desde configurações seguras para usuários menos experientes até opções avançadas para profissionais “diamante negro” – defina os padrões prontos para uso em níveis mais protetores.
Exemplo: Uma empresa fabrica um roteador que permite aos consumidores acessar documentos em seus computadores domésticos enquanto estão fora de casa. Por padrão, o roteador dá a qualquer pessoa na Internet acesso não autenticado a todos os arquivos nos dispositivos de armazenamento conectados aos roteadores dos consumidores, que podem incluir dados financeiros, registros de saúde e outras informações altamente confidenciais. O manual do produto e o assistente de configuração não explicam esses padrões e não deixam claro aos usuários o que está acontecendo. A empresa poderia ter reduzido a possibilidade de acesso não autorizado definindo as configurações padrão de uma forma mais segura.
Próximo da série: Controle o acesso aos dados de maneira sensata.
