Fugas de dados são incidentes que podem prejudicar a sua empresa a nível financeiro e deitar por terra a imagem de credibilidade e reputação que tinha instituído no mercado de atuação. Daí a necessidade de garantir a segurança da informação cumprindo com a legislação em vigor e implementando normas internacionais como a ISO 27001.

Efetivamente, quer os dados externos, relacionados com informações sobre clientes e colaboradores, quer os dados internos, relacionados com informações sobre a sua empresa (planeamento estratégico, desenvolvimento de um novo produto, código fonte de um software…) precisam de estar protegidos e seguros, independentemente do tamanho e setor de atuação do negócio. É por isso que hoje lhe vamos falar da importância do RGPD (Regulamento Geral de Proteção de Dados) e de esquemas de certificação como a ISO 27001, para gerir ativamente a segurança de dados na sua empresa, de acordo com as melhores práticas nacionais e internacionais.

Mas o que são fugas de dados?

Fugas de dados ou perdas de dados são incidentes de segurança em que dados pessoais e/ou informações privadas e sigilosas (internas e externas) são expostas publicamente ou passadas a terceiros sem autorização da sua empresa.

As fugas de dados são extremamente prejudiciais para qualquer tipo de negócio, pois uma informação que é acedida e visualizada por alguém não autorizado, pode ser copiada, vendida, comprada e usada para fins diversos que acarretam riscos para a sua empresa, clientes, colaboradores e outros parceiros de negócio… sem falar de multas e (pior!) eventuais golpes financeiros e extorsões que podem afetar negativamente a imagem da sua marca e causar grandes prejuízos financeiros.

 O que fazer quando ocorre uma fuga de dados?

Embora seja importante retomar a atividade o mais rápido possível, tem de agir de forma metódica e correta, percebendo a extensão dos danos antes de tomar qualquer decisão. Assim, e em primeiro lugar, deve identificar o tipo de dados que foram perdidos ou acedidos por terceiros, para implementar de imediato todas as medidas que possam solucionar o problema com o mínimo impacto negativo. 

A primeira medida, de acordo com as diretivas da Comissão Europeia acerca da violação da confidencialidade, da disponibilidade ou da integridade dos dados, é verificar se a perda representa um risco para os direitos e as liberdades das pessoas. Em caso afirmativo, a sua empresa deve notificar a autoridade de controlo no prazo de 72 horas após tomar conhecimento da violação, e se esta representar um elevado risco para as pessoas afetadas, deve informá-las diretamente. Em simultâneo, deve aplicar medidas técnicas e organizativas adequadas para evitar possíveis fugas de dados, nomeadamente cumprir com o RGPD e implementar a ISO 27001 para começar a recuperação e remediação de dados, estudar erros e riscos e desenvolver resiliência contra ataques futuros.

Como é que o RGPD pode evitar fugas de dados na sua empresa?

O RGPD ou Regulamento Geral de Proteção de Dados ajuda a sua empresa a reforçar a proteção de dados, prevista no art.º 8º da Carta dos Direitos Fundamentais da União Europeia que tem por objetivo harmonizar a legislação dos Estados-Membros e criar as bases para o mercado único digital. Nesse sentido, o RGPD estabelece as regras relativas ao tratamento de dados pessoais de cidadãos da União Europeia para proteger contra o uso abusivo de informações que identificam pessoas, como nome, número do cartão de cidadão, número de contribuinte, morada, informações de saúde, informações de rendimento, etc. 

Dentro das regras estabelecidas pelo Regulamento Geral de Proteção de Dados, destacam-se as seguintes:

• Designar um Encarregado de Proteção de Dados.
• Adotar Políticas de Privacidade e de Segurança da Informação.
• Realizar a Avaliação de Impacto sobre Proteção de Dados (se tratar dados pessoais em larga escala ou usar sistemas de controlo como videovigilância).
• Prestar informações aos titulares dos dados e obter o consentimento para tratamento de dados para finalidades específicas.
• Tratar os dados recolhidos de acordo com as suas finalidades. 
• Garantir que os dados pessoais são conservados apenas durante o tempo necessário às finalidades.
• Garantir os direitos de acesso, retificação, apagamento e oposição dos titulares.
• Assegurar o direito de limitação do tratamento e portabilidade dos dados.
• Notificar violações de dados e incidentes de segurança que representem um risco para os direitos e liberdades das pessoas.
• Realizar auditorias RGPD com regularidade, para assegurar a conformidade.

Clique aqui para saber tudo o que a sua empresa precisa de fazer a respeito do RGPD!

Como é que a ISO 27001 pode evitar fugas de dados na sua empresa?

É fundamental cumprir com o RGPD para se defender dos riscos das novas tecnologias, mas sem a ISO 27001 não vai conseguir defender-se também de outras ameaças, como a fuga de dados causada por ações de colaboradores mal-informados ou por procedimentos ineficazes. É por isso que deve implementar um Sistema de Gestão de Segurança da Informação na sua empresa que respeite os controlos do Anexo A da norma, aplicáveis às tentativas de violação de dados no seu contexto específico de atuação. Desta forma consegue definir um sistema onde os colaboradores e parceiros externos podem identificar alguma fuga de informação ou falha e assim, analisar todos os riscos relacionados com possíveis fugas de dados e usar os controlos da norma para realizar as adequações necessárias para mitigar os riscos. 

Com a certificação ISO 27001, a sua empresa ganhará um grau de maturidade a nível de segurança da informação que garantirá a confiança dos públicos externos e internos e também o fortalecimento do negócio no mercado de atuação.

Principais vantagens de um Sistema de Gestão de Segurança da Informação

• integridade e disponibilidade dos dados.
• Avaliação dos riscos e identificação de ameaças e vulnerabilidades que podem afetar as informações da empresa.
• Cumprimento dos requisitos da norma ISO 27001, através de uma auditoria externa independente que assegura o bom funcionamento do sistema de gestão.

Não arrisque mais! Implemente a ISO 27001 e evite fugas de dados na sua empresa que podem trazer pesadas sanções, ações judiciais, perdas financeiras, danos na imagem da marca e quebra de confiança dos consumidores e demais parceiros de negócio. Contacte a Templum!