Informações confidenciais de colaboradores

Cada vez mais estamos convencidos de que proteger informações críticas da organização é fundamental para a continuidade do negócio e manutenção de sua competitividade, considerando que muitas delas são relacionadas à segredo de negócio e desenvolvimento de novos produtos. Acredito que as organizações já estejam bem alertas neste sentido.

Por outro lado, tenho dúvidas se as informações confidenciais de colaboradores recebem o tratamento compatível com este nível de classificação e, também, se as organizações de fato consideram a legislação aplicável ao tema.

Um exemplo que ilustra esta preocupação é o vazamento de informações da empresa Sony ocorrido em 2014. Nele, cerca de 47 mil números de identificação de segurança social e expedientes de empregados, incluindo salários e históricos médicos, foram acessados indevidamente e disponibilizados na internet.

Uma das ações tomadas pela Sony foi pedir que a imprensa não utilizasse os dados roubados pelos hackers. De acordo com o advogado da empresa, "A Sony não dá seu consentimento para que possuam, leiam, copiem, publiquem, baixem ou façam qualquer coisa com esses documentos".

Não conheço o ambiente tecnológico da Sony e também não posso dizer que faltou este ou aquele controle, mas posso afirmar que, sob a perspectiva da Segurança da Informação, algo falhou.

A norma ISO/IEC 27001:2013 apresenta controles que tratam sobre a relação da empresa com o colaborador e que também podem ajudar na proteção de informações confidenciais, entre eles estão:

  • Políticas de Segurança da Informação
  • Segurança em Recursos Humanos
  • Classificação da Informação
  • Controle de Acesso
  • Criptografia
  • Proteção contra Malware
  • Gestão de Incidentes de Segurança da Informação

Esses são alguns exemplos de controles que podem ser implementados. No entanto, o cenário é outro para organizações que buscam uma certificação, pois os controles são ou tornam-se obrigatórios em função do negócio, da análise de riscos, dos requisitos de clientes, entre outros.

Em resumo, proteger informações confidenciais de colaboradores vai além do escopo da organização e de uma certificação. Também é uma questão de segurança para os colaboradores que confiaram as suas informações pessoais e de seus familiares à organização.

Fonte:
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001: Tecnologia da informação – Técnicas de segurança – Sistemas de gestão da segurança da informação – Requisitos. Rio de Janeiro, 2013.

 

New Call-to-action

 

ar