Home > Gestão

Privacidade dos dados: o que seus funcionários não sabem, mas deveriam saber

Há lacunas significativas em relação aos requisitos de gerenciamento de dados requeridos por regulamentos como o GDPR

Thor Olavsrud, CIO/EUA

19/03/2018 às 15h55

seguranca_334450463.jpg
Foto:

O que os funcionários da sua organização entendem sobre segurança, privacidade de dados e conformidade? De acordo com um relatório recente do MediaPro, talvez bem menos do que deveriam. Com a privacidade dos dados rapidamente se tornando uma questão chave para muitas empresas, e o Regulamento Geral de Proteção de Dados da União Europeia (GDPR) virando a esquina, o que seus funcionários não sabem sobre o gerenciamento de dados em sua empresa pode comprometer os negócios.

No geral, funcionários de companhias multinacionais são proficientes em identificar documentos confidenciais e confidenciais, e compreendem se esses dados devem ser destruídos ou armazenados de forma segura. Mas eles lutam com os regulamentos de privacidade (particularmente o GDPR e o de proteção de privacidade UE-EUA) ao manipular dados confidenciais em suas vidas pessoais e profissionais.

Em outubro do ano passado, a MediaPro, especializada em conscientização de segurança e treinamento de conformidade, entrevistou 1.007 residentes dos EUA sobre as melhores práticas e regulamentos de privacidade de dados. A MediaPro perguntou aos participantes o que eles fariam em cinco cenários da vida real que poderiam ocorrer em quase qualquer escritório corporativo em todo o país. E compilou os resultados no relatório 2018 Eye on Privacy Report , lançado no início deste ano.

"Os níveis surpreendentemente baixos de privacidade e consciência de segurança encontrados mostram que as empresas precisam levar esses tópicos mais a sério até 2018", diz Steve Conrad, diretor-gerente da MediaPro. "As empresas poderiam estar fazendo um trabalho melhor nesse aspecto, educando seus funcionários sobre como lidar com dados confidenciais. É hora de parar de brincar com fogo quando se trata de privacidade de dados - antes que seja tarde demais".

Confira alguns conselhos sobre as etapas a serem tomadas para garantir que seus usuários finais saibam como abordar adequadamente os problemas de dados no local de trabalho.

1 - Regulamentos de privacidade nacionais e globais

Uma área de preocupação para muitos CIOs deve ser o conhecimento dos funcionários sobre os regulamentos de privacidade nacionais e globais.

Os entrevistados mostraram maior consciência sobre os regulamentos de segurança das informações de saúde e defesa do consumidor. Mas quando se trata de regulamentos como o GDPR, que a UE começará a aplicar em 25 de maio, o cenário muda, com 59% dos entrevistados alegando desconhecê-lo em profundidade. Vinte e quatro por cento tinham ouvido falar do regulamento, mas reconheceram que há mais para saber, 13 por cento disseram que conheciam o básico e quatro por cento se consideravam especialistas.

Isso deve ser de especial preocupação para os CIOs e outros C-levels, porque as multas por  descumprimento podem totalizar 4% do volume de negócios global anual da organização, ou US $ 27 milhões, o que for maior.

"O GDPR em si mesmo, porque ainda não está em vigor e porque há muitos detalhes que ainda são vagos, é mesmo de difícil compreensãoe", diz Colleen Huber, gerente de produtos da MediaPro. "Isso requer uma abordagem multifuncional. Você realmente precisa entender em grande escala o que você precisa para cumprir seus dispositivos".

Entre os funcionários pesquisados, muito menos conheciam sobre o regulamento EU-US Privacy Shield, que é um quadro legal para o compartilhamento transatlântico de dados entre organizações e empresas nos EUA e na UE. Pouco mais de 60% dos entrevistados disseram que o Privacy Shield era completamente novo para eles, e apenas 23% disseram que conheciam o básico. Os entrevistados que trabalham para alguma forma de governo são os menos cientes do Privacy Shield: 76% disseram que o framework era completamente novo para eles.

Huber enfatiza que é essencial que as organizações busquem contextualizar os regulamentos nacionais e internacionais para os funcionários.

"Suas políticas, procedimentos, conscientização e programas de treinamento precisam ser relevantes e diretos para os usuários finais", diz ela. "Você precisa colocar esses regulamentos em termos que todos possam entender. É sobre garantir que você esteja fazendo o que é certo com informações pessoais, respeitando os mais altos padrões globais de privacidade. Em muitos casos, os funcionários realmente não sabem o que deveriam saber".

2 - Documentos confidenciai

A MediaPro solicitou aos entrevistados que escolhessem uma de três ações - publicar em mídias sociais, destruir em uma trituradora segura ou guardar em uma gaveta bloqueada - que deveriam tomar frente a documentos e informações comumente encontrados em um ambiente de escritório.

No geral, os entrevistados tinham uma compreensão geral de quais ações eram mais apropriadas para cada os documentos expostos. Por exemplo, a maioria dos inquiridos escolheu destruir uma dica de senha antiga e um formulário de imposto de um ex-empregado de três décadas atrás em um triturador seguro, ou mantê-los em uma gaveta bloqueada.

"Em geral, é muito bom ver que as pessoas bloqueiam algo em uma gaveta ou destroem algo com segurança", diz Huber. "As únicas duas informações que eles escolheram publicar nas mídias sociais eram coisas que podiam ser publicadas".

"Certifique-se de que seus funcionários conheçam o contexto completo das informações", diz Huber. "Certifique-se de que eles compreendem os tipos de documentos que são sensíveis, mas também as informações contidas nesse documento e as consequências que uma infração dessa informação pode ter para o usuário final".

3 - Concessão de acesso a aplicativos de terceiros

Quando se trata de conceder permissões de acesso a aplicativos de terceiros, os resultados mudaram fortemente com a idade. Os entrevistados de 55 anos ou mais disseram que "nunca" cedem a uma solicitação de permissão de aplicativo em 59% do tempo. Os entrevistados do grupo de 35 a 54 anos fazem o mesmo  52% do tempo. E os entrevistados de 18 até 34 apenas 42% do tempo.

Em todas as faixas etárias, os entrevistados protegiam bem suas mensagens de texto: 68 por cento dos entrevistados disseram que "nunca" concedem permissão de terceiros para ler suas mensagens de texto. Os entrevistados também protegem bem seus contatos, histórico do navegador e o conteúdo de cartões SD.

Mas são bem mais condescendentes ​​com outras permissões:

  • - 68% disseram que "às vezes" concedem permissão de aplicativos de terceiros para informar uma localização precisa via GPS e/ou dados de rede; 9% disseram que "sempre" dão permissão
  • - 50% disseram que "às vezes" concedem permissão para acessar a localização do dispositivo mesmo quando o aplicativo não está sendo executado;7% disseram que "sempre" dão permissão.
  • - 48% disseram que "às vezes" concedem permissão para gravar áudio; 7% disseram que "sempre" dão permissão
  • - 48% disseram que "às vezes" concedem permissão para adicionar ou modificar eventos do calendário; 7% disseram que "sempre" fazem isso
  • - 54% disseram que "às vezes" concedem permissão para tirar fotos e gravar vídeo; 15% disseram que "sempre" o fazem

Huber observa que entender as consequências das permissões é especialmente importante porque os dispositivos móveis invariavelmente contêm uma mistura de informações pessoais e informações comerciais.

"Quando eles estão dando acesso a informações como, digamos, seus contatos, é importante que seu treinamento de melhores práticas cubra todas as ramificações do que aconteceria se algo se esse dispositivo venha a cair em mãos erradas", diz Huber.

Huber também sugere classificar os funcionários por idade e dar-lhes treinamento adaptado às suas necessidades.

segurança

4 - Sensibilidade de tipos específicos de informação

Quando solicitado a avaliar oito tipos de informações de acordo com a sua sensibilidade em uma escala de 0 a 5 (sendo 5 a mais sensíveis), os entrevistados concordaram que os números de identificação (ID, Seguridade Social, CPF, etc)  eram os mais sensíveis: 89% classificaram como 5 e 6% como 4. As informações do cartão de crédito também foram consideradas sensíveis: 76% classificaram como 5 e 19% como. 4. Da mesma forma, 71% dos entrevistados classificaram as informações fiscais como 5 e 19% como 4. Mas, um ponto de extrema atenção devem ser as informações em redes sociais, muito usadas para engenharia social. A maioria dos entrevistados considera a informação das redes sociais o tipo de informação menos sensível: 58% classificaram as mídias sociais como 0 ou 1.

5 - Relatórios de possíveis incidentes de privacidade
A MediaPro apresentou aos entrevistados oito cenários prováveis ​​em um ambiente de trabalho médio e perguntou se eles eram incidentes de privacidade relatáveis ​​que poderiam resultar na violação das políticas federais, estaduais, locais ou da empresa em relação ao tratamento de informações confidenciais ou confidenciais. A pesquisa perguntou aos entrevistados se eles iriam relatar, não informar ou não tinham certeza sobre o que fazer.

A pesquisa descobriu que os entrevistados geralmente eram capazes de determinar corretamente quais os cenários exigiam relatos imediatos e quais não. Por exemplo, 83% dos respondentes determinaram corretamente que encontrar informações sensíveis em exibição perto de uma impressora era um incidente que deveria ser reportado.

Surpreendentemente, enquanto 91%  dos entrevistados observaram corretamente que deveriam informar se um cibercriminoso havia roubado os nomes, endereços e datas de nascimento de vários clientes, 8% não tinham certeza e 2% escolheram "não reportar".

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail