O aumento no uso de dispositivos móveis corporativos, impulsionado pelo BYOD (Traga seu próprio dispositivo) e os avanços na tecnologia, significa que há muitas outras maneiras de perder dados, seja por erros do funcionário ou roubo malicioso e venda de informações confidenciais..

Como resultado, o GRC (Governance, Risk and Compliance) é um dos maiores problemas enfrentados pelas empresas no momento. Infelizmente, a média das empresas não percebeu isso e permanecer do lado certo da lei pode ser um problema real.

Sob a Lei de Proteção de Dados de 1998, quando uma empresa perde dados pessoais, o Gabinete do Comissionado da Informação (ICO) tem o poder de multa de até £ 500.000 e, mesmo em casos extremos, enviar indivíduos para a prisão.

Além disso, a Lei tem delitos criminais - 654 processos foram iniciados nos últimos seis anos somente pelo Ministério Público. O que torna isso um problema ainda maior é que os dados pessoais têm uma definição ampla - ou seja, qualquer informação que possa ser usada para identificar um indivíduo.

Para muitas empresas, suas políticas e abordagens de dispositivos atuais, como BYOD ou COIF (Corporately Owned Personally Enabled), não podem mais lidar com o atual cenário de conformidade.

Uma política e um procedimento adequados devem consistir em mais do que informar aos funcionários como acessar e-mails em seus dispositivos pessoais, porque isso não protege os dados armazenados neles. As empresas precisam adotar uma abordagem holística de três estágios para garantir que os dados sejam mantidos em segurança, consistindo em educação, políticas e tecnologia..

Mas em que consiste cada uma dessas etapas e como as empresas podem implementá-las sem afetar o uso de dispositivos móveis?

1. Implementar uma política

As empresas precisam ter uma política clara de dados e dispositivos comunicada à equipe e acionada. Dentro disso, também deve haver clareza sobre como os dados são classificados e protocolos de classificação de dados distintos.

Eles não devem ser escritos em linguagem excessivamente legal ou técnica, mas sim em um tom que todos os funcionários entendam. Dessa forma, tanto a empresa quanto os funcionários são mantidos totalmente informados sobre o que podem fazer com seus dispositivos. Ter uma boa política garante que fique claro quando os funcionários violaram essa política.

2. Treinar e educar os funcionários

O fator humano é frequentemente o elo mais fraco na segurança de dados de uma empresa, e é por isso que é tão importante que os funcionários sejam suficientemente treinados e educados para evitar deslizes de segurança. É vital poder demonstrar aos seus funcionários o impacto que práticas inadequadas de segurança de dados podem ter em toda a empresa, para que eles entendam por que o suporte deles é necessário..

No entanto, não é tão simples quanto fixar um pedaço de papel com uma lista de regras na parede do escritório ou baixar um pacote de treinamento da Internet. As práticas recomendadas de segurança de dados precisam ser envolventes, relevantes e adaptadas aos trabalhos que as pessoas estão fazendo.

3. Utilizar uma solução de tecnologia

Apesar de estabelecer uma política de dispositivos coesa e educar completamente o pessoal, ainda há um terceiro elemento vital. Os funcionários vão quebrar as regras, tanto acidentalmente quanto propositalmente. É por isso que é tão importante ter uma solução de software de tecnologia subjacente que possa proteger a empresa no caso de uma violação de dados.

As empresas precisam ser capazes de rastrear, gerenciar e proteger de forma persistente todos os dispositivos usados ​​no trabalho, bem como os dados armazenados neles. O mais importante é que a tecnologia usada também permitirá que uma empresa prove que os processos de conformidade estão sendo devidamente aplicados e cumpridos..

Tendo em vista os sérios problemas que as violações de dados podem causar, como perda de reputação, multas da OIC e até possíveis conseqüências criminais, as empresas não podem considerar a garantia de dados como garantida. E com um ambiente de conformidade tão nebuloso, agora é essencial adotar uma abordagem de três frentes para garantir que todas as bases sejam cobertas. Sua política deve ser clara e acessível, o treinamento BYOD que você fornece aos seus funcionários deve ser relevante para eles e para a organização, e deve haver um software de proteção de dados adequado em vigor..

A mobilidade pode ter inúmeros benefícios para os negócios, mas deve ser gerenciada adequadamente para combater os riscos e cumprir as regulamentações. E se ocorrer uma violação, o empregador pode ser capaz de escapar das sanções se puder provar que fez tudo o que podia - política, treinamento e tecnologia - para evitar a violação..

  • Jonathan Armstrong é consultor de regulamentação de dados da Absolute Software e advogado de tecnologia da Cordery