Apenas quatro entre dez empresas brasileiras estão efetivamente preocupadas em prevenir que dados seguros da própria companhia e de seus clientes vazem.
O levantamento feito pelo Centro Regional de Estudos para o Desenvolvimento da Sociedade da Informação (Cetic) mostra uma situação alarmante.
Afinal, se muitas pessoas se preocupam em picotar e até queimar contas pessoas depois do uso, as empresas também devem dar a importância devida a esses dados de uma forma sistemática, planejada e que minimize riscos.
O descarte seguro de documentos e dados é importante para manter a integridade de uma empresa de controlador de acesso, por exemplo, e de seus clientes. Uma vez que isso é rompido, é muito difícil controlar a forma com que essas informações serão usadas.
No melhor dos casos, alguma empresa concorrente pode aproveitar e tirar alguma vantagem.
No pior dos casos, clientes podem ter contas roubadas, sofrer extorsão e cair em golpes financeiros que causam rombos astronômicos. Dessa forma, é fundamental saber como dar mais atenção a isso.
O que é um descarte seguro de dados?
Dentro da Tecnologia da Informação, há um processo que se chama ciclo de vida dos dados. Ou seja, o dado passa por etapas dentro das empresas:
- Criação dos dados;
- Armazenamento das informações;
- Como elas são utilizadas;
- Como esses dados são compartilhados dentro da organização;
- De que maneira serão arquivados;
- E, ao final desse ciclo, como esses dados serão descartados.
Então, o ciclo de vida passa por todas essas etapas. Em cada uma delas, as atribuições e prioridades são diferentes.
O momento de descartar e eliminar esses dados ocorre, normalmente, quando a corporação decide que algum grupo de informações não é mais relevante para o futuro da companhia. Isto é, não terá mais nenhum uso efetivo para nenhuma área.
Como grande exemplo estão os documentos fiscais e contábeis de uma empresa. Na legislação brasileira, esse tipo de informação precisa estar sob a posse da companhia por, no mínimo, cinco anos.
Depois disso, é possível decidir sobre o que fazer com os determinados dados: se a intenção é mantê-los no armazenamento interno junto com outras informações ou se, realmente, não serão mais necessários.
É nesse momento que é preciso ter muita atenção e cuidar para que essas informações não sirvam de munição e impulsionamento para uma organização criminosa pegar esses dados e fazer o que bem quiser.
Lembre-se que no primeiro momento de um ciberataque é feita a fase de reconhecimento ou de levantamento de dados.
Se aquilo não é considerado mais útil por algum motivo, isso não significa que outras pessoas podem usar essa informação com má fé ou, simplesmente, cruzar com outras informações públicas e chegar a outros dados que eram sigilosos.
Nesse universo de dados, no qual também há descarte, mesmo quando não parece mais fazer sentido aquela informação, é extremamente delicado o processo de descarte, que precisa ser feito com o máximo de segurança.
A Lei Geral de Proteção de Dados (LGPD), em relação ao descarte de dados, discorre sobre o tratamento de dados de forma geral.
Assim como armazenar um dado é, de fato, importante por ser algo sigiloso ou de valor para a empresa, o processo de exclusão deste dado é até mais importante porque pode facilitar crimes cibernéticos, que aproveitam o dado limpo para obter vantagem financeira.
Por que fazer o descarte seguro?
Normalmente, todos ficam muito preocupados com os pertences pessoais e, hoje em dia, principalmente com os smartphones, tablets ou computadores. Isso se deve à quantidade de informações que podem ser utilizadas para as finalidades mais maléficas possíveis.
Da mesma forma que no âmbito pessoal todos estão cada vez mais criando estratégias para que estes dados não vazem, as empresas precisam, por lei e pelo bem de sua reputação, fazer isso de forma ainda mais severa.
Isso diz respeito a como uma companhia trata as informações dos seus clientes principalmente.
Olhando pelo lado positivo, quando uma companhia tem um bom processo de tratamento de dados e demonstra isso publicamente, os clientes irão valorizar isso.
E quem não for cliente ainda olhará essa informação com muito afinco na hora de avaliar se comprará um produto ou serviço de reforma de armários de cozinha, por exemplo.
O contrário já se sabe como é ruim. Diversas empresas já tiveram seus dados roubados muito pelo descarte inadequado ou por não dar a importância para tal ato.
Mas há outros benefícios de fazer isso. Além de as pessoas verem com bons olhos a empresa que faz um bom tratamento de dados, pelo quesito da credibilidade, há outro ponto crucial: conformidade com a lei.
Pode-se dizer que todos os donos de empreendimentos querem ter tranquilidade em relação ao andamento dos negócios. No entanto, muitas não têm esse benefício por não se adequarem às regulações e legislações em diversos campos.
Acabam tendo a forte pressão da lei, como se estivessem em uma prensa enfardadeira hidráulica vertical.
No que tange a segurança e a tecnologia da informação, há também uma legislação a ser cumprida.
Uma companhia precisa estar totalmente focada em estabelecer todos os trâmites e processos possíveis não só para a área de tecnologia e segurança da informação.
Isso vale para toda a organização. Por exemplo, se uma empresa de serviços gerais tem cinco departamentos: recursos humanos, vendas, marketing, administrativo e almoxarifado.
Cada um desses departamentos precisa de regras específicas quanto ao manejo dos dados. Afinal, cada área tem dados mais sensíveis, dados que estão em anonimato e dados mais sigilosos. Cada tipo de informação deve ser tratada de forma distinta.
Dessa forma, o manejo e o fim do ciclo de vida desse dado são feitos pelo processo mais correto.
Uma companhia que faz espelho bronze sob medida, por exemplo, e que tem esse olhar tão específico certamente tem eficiência em outros processos que são até mais simples e corriqueiros no mercado.
Dicas para deletar corretamente um dado
Os benefícios de entrar em conformidade com a lei e, por consequência, ser uma empresa bem vista pelos clientes e pelo mercado no quesito de segurança da informação já ficaram bastante claros. No entanto, é imprescindível saber como deletar um dado de forma correta.
Tenha um processo claro de receber pedidos
Um repositório onde os pedidos de deletar as informações são armazenados e mantidos no mesmo lugar é uma técnica básica para começar o processo de exclusão de um dado.
Isso é importante para ter certeza de que o dado não vai se perder no meio do caminho. Se o pedido de emissão de um ltcat individual tiver que ser descartado, isso precisa ser recebido e armazenado.
Faça um treinamento com funcionários
Uma vez que os dados estão separados em algum local depois da realização dos pedidos de exclusão, é hora de começar a saber como fazer isso. E, para isso, é muito bem-vindo um treinamento com os funcionários de uma loja de cozinha planejada.
Verifique se a informação da exclusão é verdadeira
De nada adianta guardar e ter um processo claro de exclusão se aquela informação de quem solicitou não é verdadeira. O problema aqui é excluir um dado que não deveria ter sido eliminado.
É por isso que é preciso verificar essa informação por meio de validação por e-mail do diretor responsável pela área solicitante.
Envolva a área jurídica
Da mesma forma que a empresa que aluga dormitório casal sob medida precisa verificar a veracidade da informação sobre a exclusão, é essencial envolver os especialistas em legislação de tratamento de dados para entender se é possível realizar isso.
Caso contrário, não daria para recuperar o dado e a corporação poderia receber um processo judicial sobre a exclusão indevida. Então, sempre é válido ter respaldo jurídico.
Tenha um processo para excluir os dados
O descarte dos dados por ser feito de forma manual ou de forma automatizada por meio de softwares específicos terceirizados ou feito pela tecnologia da informação.
É crucial nesta etapa saber se há um repositório posterior ao da exclusão. Ou seja, muitas vezes só a palavra “delete” não significa que aquela informação se apagará por completo.
Às vezes, esse dado pode estar em uma espécie de lixeira que alguém pode recuperar e usar este dado de outra forma que não está rastreada. Por isso, é necessário verificar e se certificar da exclusão completa de qualquer banco de dados digital.
Notifique quando o dado for excluído
Se alguém solicitou que os dados fossem deletados por completo, essa pessoa ou essa área precisa ser notificada dessa operação. Isso é uma forma de resguardar tanto quem pediu quanto quem fez o processo de exclusão.
A notificação, de preferência, pode ser via e-mail com evidência de que o dado não existe mais e com explicações sobre o processo que foi escolhido para o descarte da informação. Assim, todos ficam na mesma página.
Considerações finais
A importância do tratamento de dados na era da internet é inestimável. Qualquer desvio de atenção ou conduta pode resultar em golpes cibernéticos que impactam as empresas e seus clientes.
É por isso que a etapa de exclusão dos dados é tão relevante e deve ser tratada com atenção da mesma forma que os dados são conquistados e mantidos.
- Fonte: LGPDnews.com.br – Texto: Guia de Investimento
- Imagem: Freepik
- 18 de novembro de 2022