O que é segurança de dados — e como a Flash utiliza tecnologia para criar soluções seguras

Do recrutamento às rotinas diárias, os RHs lidam com uma infinidade de informações pessoais dos colaboradores, algo que torna a área uma das mais críticas quando o assunto é segurança de dados.

Desde que a LGPD (Lei Geral de Proteção de Dados) entrou em vigor no Brasil, em 2020, o tratamento e a criação de mecanismos de segurança para os dados pessoais coletados se tornou obrigatório — algo que impactou diversas áreas dentro das empresas, inclusive, gestão de pessoas.

Não é à toa que, segundo uma pesquisa realizada pela Flash, segurança e confiabilidade estão entre os principais fatores avaliados pelas empresas na hora de escolher fornecedores.

A segurança de dados também é algo levado à sério aqui na Flash e envolve o investimento em tecnologias, processos e treinamentos que garantem que as nossas soluções atendam à legislação e sejam confiáveis.

Continue lendo esse artigo para conhecer todos os diferenciais que a Flash oferece para garantir a segurança de dados de empresas e colaboradores!

O que é segurança de dados?

Antes de falar sobre o compromisso da Flash com a segurança de dados, o primeiro passo é entender o que isso significa.

De uma maneira simplificada, a segurança de dados engloba um conjunto de medidas que têm como objetivo proteger dados pessoais coletados por uma empresa.

Nos últimos anos, o tema ganhou relevância por conta das novas legislações que definiram regras sobre o uso de dados pessoais pelas empresas. Mas, o crescimento da digitalização na pandemia também fez surgir novas ameaças.

Os números deixam claro o quanto as empresas se tornaram mais vulneráveis. Segundo um relatório da ESET, empresa global de segurança digital, os ataques de phishing (fraude para obter ilegalmente informações sensíveis e financeiras dos usuários) aumentaram 226% entre os últimos semestres de 2021 e 2022.

Neste contexto, a segurança digital deve ser vista como uma estratégia de negócio, afirma o estudo.

Mais do que influenciar na reputação e nas finanças, a proteção de dados também é essencial para:

• Evitar multas e sanções - Segundo a LGPD, em caso de vazamento de dados, as empresas podem receber multas de até 2% sobre o faturamento do ano anterior (com um limite de R$ 50 milhões por infração). Além disso, outras sanções são o bloqueio e a eliminação dos dados pessoais referentes à infração e proibição total ou parcial do tratamento de dados futuros.
• Manter a competitividade de mercado - Um sistema de informação seguro é um atrativo para colaboradores e fornecedores. Além disso, aliado ao People Analytics, a coleta e utilização correta dos dados pode contribuir para levantar indicadores que ajudam na tomada de decisões.
• Conquistar a confiança das pessoas - A preocupação com o tratamento de dados não é exclusividade das empresas. Cada vez mais, consumidores entendem a importância do controle e da privacidade em relação às próprias informações. É por isso que empresas que seguem a LGPD e investem em segurança de dados saem na frente na preferência dos clientes.

Como verificar se um software é seguro?

Observar os pontos abaixo é essencial para verificar a segurança de um software:

• Pesquise o histórico da empresa desenvolvedora do software – Verifique o histórico da empresa e as avaliações disponíveis para saber como anda a satisfação dos clientes.
• Verifique as atualizações do sistema - Além de cumprir os requisitos do mercado para produção e segurança, a empresa desenvolvedora do software deve garantir sua atualização contínua para evitar que o sistema fique ultrapassado e vulnerável.
• Busque garantias de segurança da informação - Antes de implementar o sistema, avalie como os dados gerados são armazenados e quais as soluções para que o acesso a eles seja restrito a pessoas autorizadas.

Quais são os critérios que tornam um software seguro?

De maneira geral, os pontos-chave para garantir a segurança de um sistema estão relacionados a seis critérios:

1. Confidencialidade – garante que os dados trafeguem em total sigilo. Isso é feito a partir de medidas como a criptografia de dados e restrição de quem pode ou não pode acessá-los;
2. Autenticidade – assegura que os dados coletados sejam de uma fonte autêntica e confiável. Uma forma de atestar a veracidade de uma informação, por exemplo, é manter um registro do autor dos dados;
3. Integridade – sua função é garantir que os dados não sejam modificados no armazenamento ou processamento;
4. Disponibilidade – esse critério garante aos usuários que seus dados coletados estarão sempre disponíveis para acesso quando precisarem;
5. Irretratabilidade – impede que o usuário ou instituição negue a autoria de determinada informação ou ação, garantindo assim a sua autenticidade;
6. Conformidade - assegura que processos de tratamento de dados estejam em conformidade com a legislação brasileira, seguindo as normas regulamentadas na LGPD.

O compromisso da Flash com a segurança de dados

A Flash garante a segurança de dados das suas soluções por meio de uma equipe dedicada à segurança, treinamentos constantes e auditorias internas e externas regulares.

“Nossa segurança de informação é baseada em três pilares principais: processos, pessoas e tecnologia”, afirma Aretuza Iibuchi, analista de gestão de riscos e controles internos (GRC) e privacidade da Flash.

Confira, a seguir, as boas práticas que adotamos em cada uma dessas áreas:

Medidas e protocolos de segurança atualizados

Utilizamos tecnologias e procedimentos atualizados para garantir a segurança da informação e dados pessoais em nossos sistemas. São eles:

• Acesso HTTPS com certificado digital, com usuários filtrados de acordo com função, permissionamento, senha e domínio e senha com controle de bloqueio;
• Proteção que evita acessos não autorizados;
• Cláusulas contratuais que exigem que todos os nossos colaboradores, fornecedores e parceiros cumpram as diretrizes da LGPD;
• DLP (Data loss prevention) - software que garante que, se algum dado for vazado, ele seja bloqueado e não compartilhado;
• SIEM (na tradução, Gerenciamento de Eventos de Segurança)- sistema que monitora e envia alertas em caso de atividades suspeitas;
• WAF (Web Application Firewall) - um firewall que funciona como um escudo que garante proteção contra ataques.

Times focados em prevenção

Na Flash, a equipe de segurança atua em três principais frentes:

• White team - especialista em gestão de riscos e controles internos e privacidade, este time gerencia os nossos métodos de segurança para que estejam em conformidade com a legislação.
• Blue team - com função preventiva, esta equipe trabalha para evitar que possíveis ameaças coloquem em risco a segurança das plataformas;
• Red team - também chamados de “hackers éticos”, eles testam sistemas e fazem invasões intencionais para identificar as vulnerabilidades.

Em situações especiais, os times Red e Blue Team se unem para dar origem a um quarto time, o Purple.

“Essa dinâmica ajuda a manter a segurança de dados. Se estou fazendo um teste, por exemplo, peço para o Blue Team identificá-lo nas ferramentas. Com isso, criamos novos alertas e evitamos possíveis ataques”, diz Kaue Vaz, analista de segurança da informação da Flash e integrante do Red Team.

Para mitigar vulnerabilidades na web, a equipe também faz testes e aposta em metodologias mundialmente conhecidas como as recomendadas pela OWASP (Open Web Application Security Project).

Além disso, os times contam com uma consultoria externa, que dá suporte nas questões de GRC e funciona como um SOC (Centro de Operação de Segurança, em tradução livre), com atuação 24 horas por dias nos 7 dias da semana.

“Se o SOC identifica alguma atividade suspeita, fazem alerta para o Blue Team, que analisa se realmente é um incidente ou apenas um evento que saiu da normalidade”, explica Aretuza.

Treinamentos específicos para colaboradores

Segurança é um assunto prioritário também para os colaboradores da Flash. Já no no onboarding os novos membros passam por um treinamento de segurança e conhecem as principais diretrizes da empresa.

Entre os assuntos abordados estão desde a LGPD até estratégias importantes, como classificar as informações em públicas, restritas ou confidenciais.

“Mensalmente, enviamos por meio internamente boletins com temas sobre segurança, como ‘o que fazer para não cair em phishing’, entre outros”, afirma Aretuza.

Políticas de segurança da informação

Além da tecnologia, a Flash conta com uma Política de Privacidade que reitera nosso compromisso com a proteção dos dados das empresas e deixa claro pontos importantes como:

• tratamento dos dados pessoais,
• finalidade de coleta desses dados,
• canal de comunicação para que o titular entre em contato e tire dúvidas.

A partir dessa política, surgiram outras diretrizes como a Política de Segurança da Informação Externa da Flash, que regula a relação com fornecedores e outros parceiros.

Mais do que se atentar a essas regras, a Flash também tem feito programas para adequação a normas como a ISO27001 e ISO 27002.

Enquanto a primeira é referência Internacional para a gestão da segurança da informação, a segunda traz parâmetros e objetivos para o processamento de informações.

“Essas estruturas de segurança são bem importantes, principalmente, no mundo de cybersecurity. Por serem reconhecidos, basta mencioná-los para entender o nível de maturidade da empresa”, ressalta Aretuza.

Leia também:

• Conheça 6 vantagens que a plataforma da Flash oferece ao RH
• Flash integra soluções de benefícios, RH e gestão de gastos corporativos
• Saldo exclusivo: veja como esta ferramenta traz mais segurança à política de benefícios corporativos