*Por Larissa Carvalho
Com o avanço tecnológico, a área de Recursos Humanos, independentemente do tamanho e segmento da organização, lida diariamente com um extenso volume de informações sigilosas seja em meio físico ou digital que estão suscetíveis a uma ampla gama de ameaças como, por exemplo: riscos de ataques e vazamentos de informações.
Contudo, não é responsabilidade exclusiva. A área de Recursos Humanos deve trabalhar em parceria com o setor de Tecnologia da Informação (TI) para estabelecer e implementar planos e procedimentos de Segurança da Informação bem desenvolvidos e alinhados às necessidades da organização, cuja finalidade é reduzir os riscos.
Por que a área de Segurança da Informação é importante para o RH?
A área de Recursos Humanos centraliza informações sensíveis como dados de funcionários e de clientes, dados de cargos e salários, benefícios, indicadores estratégicos entre outros, o vazamento dessas informações poderá trazer impactos financeiros e de reputação para a organização.
Assim como os funcionários de outras áreas de atuação, os profissionais de Recursos Humanos devem ter os papéis e responsabilidades bem definidos para que as informações não sejam perdidas e que seja implementado os controles de Segurança da Informação adequados para atender as demandas que envolvam informações sensíveis que não são acessíveis para qualquer funcionário. Alguns controles mais restritos como a adoção do “Princípio do privilégio mínimo” devem ser estabelecidos para gerir o fluxo de acesso às informações de alguns profissionais da área de Recursos Humanos e mitigar o risco de vazamentos de informações no contexto interno e externo da organização.
Dicas de Segurança da Informação para a área de Recursos Humanos
Os controles de Segurança da Informação são muito abordados, contudo, muitas empresas esquecem de tratar um dos pontos mais fracos na garantia da Segurança da Informação. A contratação e manutenção de pessoas, ou o conhecido recurso humano das empresas.
Para assegurar que os funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com seus papéis, e reduzir o risco de roubo, fraude ou mau uso de recursos”, de acordo com a ISO 27002, é necessário:
Antes da Contratação:
Papéis e Responsabilidades: A organização deve garantir que os candidatos à vaga entendam as suas responsabilidades e estejam de acordo com os papéis para reduzir o risco de comprometimento das informações. As responsabilidades pela Segurança da Informação devem ser atribuídas no momento da pré-contratação nas descrições de cargos e nos termos e condições de trabalho.
Seleção: As verificações de perfis de candidatos devem ser mais criteriosas especialmente quando há riscos elevados envolvendo o cargo. Os controles utilizados para análise destes perfis devem ocorrer respeitando as leis vigentes, regulamentações e éticas.
Termos e condições de contratação: Nos termos e condições de trabalho o candidato deve conhecer as suas responsabilidades e da organização para a Segurança da Informação. É imprescindível que as responsabilidades presentes nestes termos e condições de trabalho prevaleçam após o término de contrato e a ciência do colaborador indica que quaisquer quebras de uma das cláusulas do contrato ele estará sujeito a penalidades.
Durante a Contratação:
Treinamento e Conscientização: em Segurança da Informação: A organização deve fornecer para os colaboradores no mínimo anualmente um treinamento e conscientização em Segurança da Informação para informar as melhores práticas, responsabilidades, obrigações, política de Segurança da Informação e quando houver mudanças significativas nas políticas e procedimentos organizacionais pertinentes as suas funções.
É imprescindível avaliar a efetividade deste treinamento através de testes para assegurar que o colaborador compreendeu o conteúdo proposto.
O ideal é que seja estabelecido e implementado um treinamento obrigatório, no início e durante a contratação, visando desempenhar corretamente as atividades profissionais.
Processo Disciplinar: A organização deve estabelecer um processo disciplinar formal implantado e comunicado, para tomar ações contra os colaboradores que tenham cometido uma violação de Segurança da Informação, contudo esse processo disciplinar deve ser justo considerando a gravidade do incidente no impacto para o negócio. Após a verificação da reincidência da infração, uma punição adequada deve ser aplicada, o que pode variar desde uma suspensão temporária dos direitos de acesso até a retirada imediata do infrator das dependências da organização.
As penalidades devem ser destacadas na política de Segurança da Informação e devem ser um assunto abordado no treinamento e conscientização.
Encerramento de contratação:
Encerramento de atividades: As responsabilidades quanto ao encerramento de contratação devem ser definidas e atribuídas de forma que sejam mantidas após o encerramento pelos colaboradores.
Devolução de Ativos: Após o encerramento do contrato o colaborador deve devolver à organização todos os equipamentos corporativos utilizados durante o desempenho das atividades profissionais como, por exemplo: notebook e celular.
A organização deve garantir que os procedimentos de sanitização sejam realizados quando o equipamento for de colaboradores terceirizados para não ocorrer o comprometimento de informações.
Retirada de direitos de acesso: A comunicação entre as áreas de Recursos Humanos e Segurança da Informação deve ser eficaz para quando um contrato for encerrado, resultando na revogação imediata dos direitos de acesso e privilégios para proteger as informações.
Conclusão
Realizar a contratação de um novo funcionário para a sua empresa requer que você faça uma análise prévia cuidadosa, principalmente se essa pessoa tiver acesso a dados críticos do seu negócio. O objetivo deste artigo é justamente trazer a importância desses controles para impedir fraudes, roubos ou a má utilização de recursos e informações da organização. E quando o funcionário estiver trabalhando na empresa, ele deverá estar ciente das ameaças relativas à Segurança da Informação, bem como de suas responsabilidades, obrigações e levar o aculturamento sobre Segurança da Informação para além do ambiente profissional.
O processo de melhoria contínua deve ser observado e atendido com o comprometimento da área de Segurança da Informação e Recursos Humanos para ações eventuais que auxiliem no aperfeiçoamento dos processos e procedimentos relativos.
— Larissa Carvalho é GRC and Information Security Consultant na SAFEWAY
Sobre a Safeway:
A SAFEWAY é uma empresa de Segurança da Informação, reconhecida pelos seus clientes por oferecer soluções de alto valor agregado, através de projetos em Segurança da Informação que atendam integralmente às necessidades do negócio. Nesses anos de experiência, acumulamos, com muito orgulho, diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte, as 100 maiores empresas do Brasil.
Hoje através de mais de 23 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas.
Vamos tornar o mundo um lugar mais seguro para viver e fazer negócios!
