Julia Franca*
Em um mundo ideal, a gestão da empresa envolve o uso de softwares e ferramentas tecnológicas para otimizar os processos, estando essas sempre atualizadas com relação às melhores práticas de Segurança da Informação. Contudo, não se trata da realidade de boa parte das empresas brasileiras. De acordo com uma pesquisa conduzida pela Capterra em Setembro de 2019, aproximadamente 7% das Pequenas e Médias Empresas (PMEs) brasileiras ainda utilizam métodos manuais – os bons e velhos papel e caneta – na gestão da contabilidade, vendas e pagamentos.
Por outro lado, independentemente do método de gestão utilizado pela instituição, a Lei Geral de Proteção de Dados (LGPD) passou a ser aplicável a toda e qualquer pessoa jurídica que realize o tratamento de dados pessoais. Nesse contexto, o advento da LGPD trouxe grandes desafios ligados à implementação de soluções que garantam a segurança dos dados e não dependam de grandes investimentos em soluções tecnológicas pelas empresas.
Desse modo, serão abordados, a seguir, os principais desafios e pontos de atenção que devem ser levados em conta para garantir a segurança da informação quando ela precisa ser tratada ou armazenada de maneira física pela empresa, sem o uso de softwares e tecnologias mais elaboradas.
3 desafios de segurança da informação neste cenário
Limitação do acesso
O registro de dados em papel torna as informações mais vulneráveis quando não são tomados cuidados no manuseio e armazenamento dos documentos. Muitas vezes, esses papéis permanecem por cima das mesas de trabalho mesmo enquanto não são utilizados ou ficam expostos em impressoras localizadas em ambientes com grande circulação de pessoas.
Com relação ao armazenamento, é possível apontar como dificuldades mais comuns no dia a dia das empresas a existência de chaves compartilhadas em arquivos, a ausência de separadores para organizar documentos armazenados por pessoas distintas, e a guarda de documentos em armários, gavetas e salas que permanecem destrancadas. Todas essas situações facilitam o acesso indevido aos dados por pessoas não autorizadas.
Nessas hipóteses, para reduzir os riscos de vazamento de dados, acesso ou compartilhamento indevido, a empresa deve adotar políticas e controles que restrinjam a exposição de dados. Segundo a ISO 27001 de Segurança da Informação, é importante “assegurar que os documentos estejam disponíveis àqueles que deles precisam e sejam transferidos, armazenados e finalmente descartados conforme os procedimentos aplicáveis à sua classificação”.
Dentre as melhores práticas do mercado, estão:
- Estabelecer a política de mesa limpa;
- Implementar zonas de segurança em locais onde a informação sensível possa estar;
- Utilizar cofres para armazenar informações após o expediente; bem como
- Limitar o compartilhamento de chaves e dividir dos locais de armazenamento em compartimentos com requisitos de segurança diferentes para cada um deles – como cadeados e senhas – de modo que o acesso à informação se dê conforme a necessidade de se conhecer, apenas por pessoas autorizadas pelo dono do ativo.
Rastreabilidade
A existência de documentação em arquivos físicos ou papel dificulta a rastreabilidade destes, pois não é possível ter acesso a buscas por meio de IP ou ferramentas de pesquisa. Desse modo, a fim de permitir a rastreabilidade e detectar possíveis responsáveis em caso de incidentes, a ISO 27001 de Segurança da Informação estabelece como boa prática a criação de um procedimento e controles para “assegurar que a distribuição de documentos seja controlada” .
Ademais, todos os documentos contendo informações restritas devem ser “legíveis e prontamente identificáveis”, sendo recomendado que estes tenham um número de cópias ou versão, bem como número de páginas.
A ISO de Segurança da Informação também traz orientações detalhadas que determinam a implementação de registros protegidos e controlados
“…para fornecer evidências de conformidade aos requisitos e da operação eficaz do SGSI. (…) Os registros devem permanecer legíveis, prontamente identificáveis e recuperáveis. Os controles necessários para a identificação, armazenamento, proteção, recuperação, tempo de retenção e disposição de registros devem ser documentados e implementados”.
Cultura de proteção de dados
Finalmente, a necessidade de fortalecer a cultura de proteção de dados não se limita a empresas e instituições que utilizem ferramentas tecnológicas e soluções informatizadas para o tratamento, armazenamento e compartilhamento de dados pessoais.
A comunicação institucional é fundamental para se estabelecer uma cultura forte de segurança da informação. Como diz o ditado, a cultura come a estratégia no café da manhã. É a cultura a peça-chave na qual a empresa deve investir para garantir que as políticas de privacidade sejam respeitadas e cumpridas na prática, garantindo o real funcionamento do Programa de Privacidade.
Sendo assim, propagar uma cultura de segurança da informação entre colaboradores, clientes e terceiros que se relacionam com a instituição é etapa essencial para a efetiva concretização do Programa de Privacidade. Esse fortalecimento se dá por meio de treinamentos teóricos e práticos, workshops, simulações, campanhas de conscientização, entre outros.
Conclusão
Para além das imposições pecuniárias previstas no Artigo 52 da LGPD, toda e qualquer informação faz parte dos ativos de qualquer empresa, e deve ser protegida por meio de medidas de segurança da informação, esteja ela disponível em formato físico ou eletrônico.
Diante de todas as soluções apresentadas nos tópicos anteriores, conclui-se que é necessário e é viável implementar políticas e controles para assegurar que a tríade confiabilidade, integridade e disponibilidade da informação seja preservada, independentemente da infraestrutura existente no negócio. Afinal, essas medidas podem ser tomadas sem que isso represente grandes investimentos em tecnologia e recursos para a empresa, bastando que seja realizada uma gestão eficaz da segurança da informação na instituição.
Veja outro artigo da autora:
A importância das cláusulas anticorrupção nas relações contratuais
Julia de Castro Franca: Especialista em Privacidade de Dados na Urba, empresa do grupo MRV Co. Advogada, Mestre em Direitos Humanos e Democratização (Global Campus of Human Rights), MBA em Governança Riscos e Compliance (CEDIN Business), Certificação de Profissional de Compliance Público (CPC-P) pela CEDIN Business.
