Estendemos o Black Friday! 🔥🔥🔥

Agora, termina em:

Dia
Horas
Minutos
Segundos

Segurança da Informação em Recursos Humanos

Adriano Martins Antonio

Adriano Martins Antonio

em 20 de abril de 2022

Fique ligado

​Entre para nossa lista e receba conteúdos exclusivos e com prioridade

Quando se fala de Segurança dos Recursos Humanos, o assunto logo nos remete às responsabilidades dos colaboradores pela segurança da informação, cuja responsabilidade deve ser explícita em um contrato de trabalho.

Além disso, a empresa deve manter também um manual contendo um código de conduta e as sanções que são impostas em caso de não conformidade, se um incidente acontecer, assim como o seu resultado.

Em contrapartida, é fundamental também considerar o pessoal como um patrimônio da empresa, pois cada um, seus conhecimentos e habilidades são ativos valiosos e medidas são necessárias para protegê-los.

Entenda mais sobre esse assunto agora!

Organização da Segurança da Informação

Primeiramente, sem uma segurança da informação efetiva, não é possível uma empresa sobreviver e todos devem aceitá-la. Dessa maneira, os funcionários levarão a sério e cumprirão as medidas, apenas quando o conselho administradores e gestores servirem de exemplo.

A Segurança da Informação é um processo onde há muitas pessoas envolvidas.

Portanto, esse processo precisa ser controlado eficazmente. A forma pela qual a segurança da informação é gerenciada dependerá do tamanho e da natureza da empresa.

Contudo, em empresas pequenas, a segurança da informação pode ser responsabilidade de várias pessoas que já possuem outras atribuições dentro da organização. Em contraste, grandes empresas contarão com pessoal cuja única responsabilidade será tratar dos aspectos de segurança da informação.

Requisitos legais, estatutários, regulamentares e contratuais

Enfim, é fundamental realizar a verificação de antecedentes de todos os candidatos que irão se tornar candidatos antes do ingresso à organização e preferencialmente realizar de forma contínua, levando em consideração as leis, regulamentos e ética aplicáveis.

Além disso, devem ser proporcionais aos requisitos do negócio, à classificação das informações a serem acessadas e aos riscos.

Basicamente, o objetivo é garantir que todo o pessoal seja elegível e adequado para as suas devidas funções.

Deve-se realizar um processo de triagem para todo o pessoal, incluindo funcionários em tempo integral, meio período e temporários. Quando se contrata tais indivíduos por meio de fornecedores de serviços, deve-se incluir os requisitos de triagem nos acordos contratuais entre a organização e os fornecedores.

Aliás, deve-se coletar e tratar as informações dos candidatos aos cargos levando em conta qualquer legislação apropriada existente na jurisdição efetiva.

Em certas jurisdições, a organização pode ser legalmente obrigada a informar aos candidatos com antecedência sobre as atividades de triagem.

Termos e condições de emprego

O objetivo dos termos e condições é garantir que o pessoal entenda suas responsabilidades de segurança da informação para as funções onde irão trabalhar.

Por isso, os contratos de trabalho ou acordos contratuais devem:

  • Indicar as responsabilidades do pessoal;
  • Indicar as responsabilidades da organização pela segurança da informação;
  • Considerar a política de segurança da informação;
  • Revisar as leis, regulamentações e políticas.

Obviamente, tais leis, regulamentações e políticas devem continuar validadas até o término do contrato de trabalho. E deve-se firmar em acordo, antes da contratação, tais responsabilidades.

Leia aqui os passos para criar uma política de privacidade e proteção de dados mais eficiente.

Conscientização da Segurança

Enfim, uma das medidas mais eficazes para a segurança da informação é a participação do pessoal em um curso de sensibilização, podendo também fazer parte do processo de inclusão de um novo colaborador no quadro de funcionários.

Pode-se utilizar vários meios a fim de apoiar a conscientização de segurança da informação, como folhetos, livretos, mouse pads, boletins informativos, mensagens no computador, vídeos, cartazes, etc.

Inclusive, grandes empresas podem organizar cursos de segurança para sensibilização das pessoas, separadamente, como para os gerentes de sistemas, desenvolvedores, usuários e segurança armada.

Outros grupos também podem se beneficiar de um curso mais específico para o seu próprio trabalho. Esses cursos e campanhas focam especialmente nas normas da empresa sobre a segurança da informação e as ameaças previstas.

Lembrando que informações e documentações sobre a segurança devem estar disponíveis a todos na organização. Claro, os funcionários devem estar conscientes da importância de não permitir que essas informações saiam da empresa.

Processo Disciplinar

Então, se alguém cometer uma violação da política de segurança da informação acaba sofrendo um processo disciplinar, o qual deve-se formalizar e comunicar oficialmente para tomar as medidas cabíveis.

De toda forma, não se deve iniciar o processo disciplinar sem a verificação prévia de que uma ocorreu realmente uma violação.

O processo disciplinar formal deve prever uma resposta graduada que leve em consideração fatores como:

  • A natureza (quem, o quê, quando, como) e a gravidade da violação e as consequências;
  • Se a ofensa foi intencional (dolosa) ou não intencional (acidental);
  • Se é a primeira infração ou reincidência;
  • Se o infrator foi ou não devidamente treinado.

A resposta deve seguir os requisitos legais, estatutários, regulamentares, contratuais e de negócios relevantes, bem como outros fatores conforme necessário.

Logo, deve-se usar o processo disciplinar também como um impedimento contra funcionários e outras partes interessadas relevantes que violem a política de segurança da informação, políticas específicas de tópicos e procedimentos para segurança da informação.

Por último, é importante lembrar que a identidade da pessoa sujeita à ação disciplinar deve ser protegida de acordo com os requisitos aplicáveis.

Leia mais sobre a segurança cibernética na cultura organizacional e os outros textos do blog

Dúvidas sobre o assunto? Pode deixar nos comentários que teremos o maior prazer em responder. 

E se quiser se capacitar nesse e em vários outros temas de Segurança da Informação e Gestão de Serviços de TI, acesse a PMG Academy.

Facebook
Twitter
LinkedIn

Artigos Relacionados

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *