Em nossa série de blogs Stick with Security, fizemos o possível para nos aprofundarmos na segurança de dados, concentrando-nos nas lições aprendidas em casos recentes, nos insights de investigações encerradas e nas perguntas e comentários que recebemos de empresas. Uma observação que ouvimos de empresas que desejam implementar as lições do Comece com Segurança é “basta nos dar uma lista do que fazer”. Infelizmente, a segurança dos dados não pode ser resumida a uma lista de verificação pronta. O que é razoável depende das circunstâncias – por exemplo, a natureza do seu negócio e a confidencialidade das informações que você deve coletar e manter – portanto, não existe uma abordagem única para todos. Além disso, as táticas dos ladrões de dados estão em constante evolução. As precauções do ano passado podem não proteger a sua empresa das ameaças de amanhã.
Dito isto, os princípios fundamentais para uma segurança de dados eficaz permanecem constantes: 1) Recolher informações sensíveis apenas se tiver uma necessidade comercial legítima; 2) Mantenha-o seguro enquanto estiver em sua posse; e 3) Descarte-o com segurança quando a necessidade comercial terminar.
“Como implementamos esses princípios em nossos negócios?” Essa é outra pergunta que ouvimos. A FTC dispõe de recursos – muitos deles – para facilitar essa tarefa. Nossa página Segurança de Dados, que apresenta links para workshops, relatórios de equipe, cartas de encerramento e muito mais, reúne orientações relevantes em um local que merece ser marcado. Aqui estão apenas alguns dos recursos que você encontrará lá:
Casos FTC. Até à data, a FTC apresentou mais de 60 ações alegando que empresas se envolveram em práticas enganosas ou injustas relacionadas com a segurança de dados. A maioria dessas questões foi resolvida com ordens judiciais. É claro que as reclamações e ordens aplicam-se apenas a essas empresas, mas as empresas sábias compreendem que cada acção da FTC oferece uma visão geral. Por exemplo, a FTC abriu uma série de processos contra empresas cujos funcionários não conseguiram proteger os dados sensíveis que possuíam quando estavam fora do escritório. As empresas míopes podem simplesmente respirar aliviadas por isso não ter acontecido com elas. As empresas preocupadas com a segurança analisam as reclamações e consideram como incorporar essas questões de conformidade nos seus próprios procedimentos, incluindo formação interna.
Para executivos ocupados, um pedido da FTC pode parecer lento. Mas aqui vai uma dica para aproveitar melhor o seu tempo: os parágrafos iniciais da maioria das reclamações costumam recapitular as partes envolvidas. O material relevante – uma explicação do que a empresa fez (ou não fez) que levou à aplicação da lei – geralmente aparece em uma seção intitulada Curso de conduta do entrevistado, Atividades comerciais do réuou algo assim. Perto do final, você encontrará uma ou mais alegações específicas sobre a conduta que a FTC acredita ter violado a lei. Além disso, a ordem de um caso especifica o que a empresa deve fazer para reduzir o risco de violações semelhantes no futuro. Assim como a reclamação, o despacho se aplica apenas à empresa em questão. Mas muitas empresas utilizam-no como um guia aproximado de medidas prudentes a considerar.
Brochuras para negócios. A FTC possui um conjunto de publicações escritas para minimizar o jargão jurídico e maximizar os conselhos práticos para as empresas. Três títulos deveriam estar na lista de leitura obrigatória de qualquer empresa preocupada com segurança de dados. Compartilhe os links com sua equipe ou solicite cópias gratuitas do Site de pedidos em massa da FTC.
- Por onde começar. Protegendo informações pessoais: um guia para negócios é uma introdução à criação de um plano de segurança de dados para sua empresa. Baseado em cinco fundamentos – fazer um balanço, reduzir, bloquear, lançar e planejar com antecedência – a proteção de informações pessoais oferece uma abordagem prática aplicável a qualquer negócio.
- Para mais detalhes. Comece com Segurança analisa as ações de aplicação da lei da FTC e resume os casos em 10 lições de conformidade. (Nossa série de blogs Stick with Security concentra-se nessas mesmas 10 lições, mas também leva em consideração casos recentes, investigações encerradas e perguntas e comentários que ouvimos de empresas.)
- Caso aconteça uma violação. A resposta à violação de dados aborda as etapas a serem seguidas caso ocorra uma violação. Executivos experientes dirão que o melhor momento para lê-lo é antes de precisar dele.
Vídeos. Quando você está realmente sem tempo, a FTC oferece vídeos curtos que resumem a segurança dos dados ao básico. Temos um vídeo para acompanhar cada um dos 10 princípios do Comece com Segurança e outro sobre como usar os recursos do Comece com Segurança em sua empresa. Entre as dezenas de outros títulos estão vídeos sobre defesa contra ransomware, uso de autenticação de e-mail para combater phishing, resposta se sua empresa for personificada em um golpe de phishing e alinhamento do trabalho de segurança de dados da FTC com a Estrutura de Segurança Cibernética do NIST. Considere incorporá-los em treinamentos internos ou mostrá-los em sua próxima reunião de equipe. É um investimento de 3 minutos que poderá render dividendos na forma de uma força de trabalho mais preocupada com a segurança.
Brochuras para públicos empresariais específicos. Nossa página Segurança de Dados também apresenta títulos e links diretos para determinados setores de mercado. Desenvolvendo um aplicativo móvel relacionado à saúde? A FTC possui uma publicação de melhores práticas e uma ferramenta interativa. Para empresas envolvidas na Internet das Coisas, existe o Careful Connections, um guia sobre como incorporar segurança em produtos conectados. Também temos perguntas frequentes sobre como reduzir o risco de roubo de identidade médica, uma publicação centrada em segurança para empresas que compram e vendem dívidas de consumidores, recursos para empresas cobertas pela Regra de Salvaguardas da Lei Gramm-Leach-Bliley – e muito mais. Provavelmente existe uma publicação relevante para sua linha de trabalho.
Recursos para pequenas empresas. Para empreendedores individuais ou empresas com apenas alguns funcionários, o site para pequenas empresas da FTC apresenta recursos escritos pensando em você. Noções básicas de segurança de computadores para pequenas empresas explica tudo com orientações precisas sobre como proteger seus arquivos e dispositivos, proteger sua rede sem fio e responder caso você tenha sido alvo de malware ou ataque de hack.
Postagens de blog. Quase todos os anúncios de casos da FTC são acompanhados por duas postagens no blog. O Consumer Blog traduz os desenvolvimentos relacionados à segurança em conselhos acionáveis para membros do público. O Business Blog concentra-se no que as iniciativas políticas e de aplicação da lei da FTC significam para a sua empresa. Até o momento, mais de 200 postagens – cerca de 20% do total – focaram na segurança de dados, muitas delas oferecendo dicas específicas para empresas. Inscreva-se em nossa página Fique Conectado e o Blog de Negócios chegará automaticamente em sua caixa de e-mail.
Esta é a última postagem de nossa série Stick with Security, mas não será a última que você ouvirá da equipe da FTC sobre orientações práticas para sua empresa. Deixe-nos saber sobre outros tópicos relacionados à segurança que você gostaria que abordássemos.
