Cada vez mais estamos convencidos de que proteger informações críticas da organização é fundamental para a continuidade do negócio e manutenção de sua competitividade, considerando que muitas delas são relacionadas à segredo de negócio e desenvolvimento de novos produtos. Acredito que as organizações já estejam bem alertas neste sentido.
Por outro lado, tenho dúvidas se as informações confidenciais de colaboradores recebem o tratamento compatível com este nível de classificação e, também, se as organizações de fato consideram a legislação aplicável ao tema.
Um exemplo que ilustra esta preocupação é o vazamento de informações da empresa Sony ocorrido em 2014. Nele, cerca de 47 mil números de identificação de segurança social e expedientes de empregados, incluindo salários e históricos médicos, foram acessados indevidamente e disponibilizados na internet.
Uma das ações tomadas pela Sony foi pedir que a imprensa não utilizasse os dados roubados pelos hackers. De acordo com o advogado da empresa, "A Sony não dá seu consentimento para que possuam, leiam, copiem, publiquem, baixem ou façam qualquer coisa com esses documentos".
Não conheço o ambiente tecnológico da Sony e também não posso dizer que faltou este ou aquele controle, mas posso afirmar que, sob a perspectiva da Segurança da Informação, algo falhou.
A norma ISO/IEC 27001:2013 apresenta controles que tratam sobre a relação da empresa com o colaborador e que também podem ajudar na proteção de informações confidenciais, entre eles estão:
- Políticas de Segurança da Informação
- Segurança em Recursos Humanos
- Classificação da Informação
- Controle de Acesso
- Criptografia
- Proteção contra Malware
- Gestão de Incidentes de Segurança da Informação
Esses são alguns exemplos de controles que podem ser implementados. No entanto, o cenário é outro para organizações que buscam uma certificação, pois os controles são ou tornam-se obrigatórios em função do negócio, da análise de riscos, dos requisitos de clientes, entre outros.
Em resumo, proteger informações confidenciais de colaboradores vai além do escopo da organização e de uma certificação. Também é uma questão de segurança para os colaboradores que confiaram as suas informações pessoais e de seus familiares à organização.
Fonte:
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001: Tecnologia da informação – Técnicas de segurança – Sistemas de gestão da segurança da informação – Requisitos. Rio de Janeiro, 2013.
