Natália Broto e Sérgio Santos *
A opção de muitas empresas e até órgãos públicos por liberar os funcionários para trabalhar em casa durante a pandemia do novo coronavírus pode representar riscos para a organização que não se preparar adequadamente. O momento demanda medidas rápidas, firmes e adequadas no sentido de preservação da vida e da saúde da sociedade. Mas, algumas cautelas básicas devem ser adotadas pelas empresas.
> Últimas notícias da pandemia de covid-19
É recomendável a instituição ter uma política correta de segurança da informação e um sistema de proteção adequado para o atual ambiente digital sob duas perspectivas diferentes. A primeira do ponto de vista jurídico, mormente considerando a necessidade de adequação às leis trabalhistas, contratos de trabalho, sistema de controle de pontos, entre outros. No mesmo norte, as empresas deverão estar atentas às normas e leis que regulam a proteção dos dados pessoais, seja de colaboradores, seja de clientes.
Leia também
A segunda, do ponto de vista técnico, de segurança da informação, de maneira a garantir que os colaboradores tenham uma estrutura técnica adequada e segura para o exercício de suas atividades em casa. É necessário levar em consideração o risco de se trabalhar com dispositivos diferentes em ambientes desprotegidos.
Para garantir que os dados não sejam afetados por códigos maliciosos, todos os dispositivos utilizados pelo colaborador (computadores, celulares ou tablets) devem contar com uma solução de segurança que detecte ameaças.
PublicidadeConvém que a equipe técnica da empresa defina procedimentos e responsabilidades para tratar da proteção de código malicioso nos sistemas, como atualizações de patches e procedimentos de respostas para ataques de código maliciosos e principalmente em casos de sequestro de dados (ransomware).
Considerando que, em regime de home office, os diferentes dispositivos estarão acessando a rede de fora do perímetro físico do escritório, é necessário fazer um acompanhamento do tipo de tráfego gerado. Também é necessário fazer um acompanhamento da utilização dos recursos computacionais para garantir a disponibilidade dos serviços.
Se possível, a empresa deve fornecer uma Rede Privada Virtual (VPN) para as equipes se conectarem com segurança à rede corporativa ainda que não estejam fisicamente na empresa. Também se deve restringir os direitos de acesso dos usuários que se conectam à rede corporativa. A utilização da VPN também é uma excelente maneira de proteger e criptografar a comunicação com a internet em redes públicas não confiáveis, como redes Wi-Fi de aeroportos.
Os equipamentos devem ter as atualizações mais recentes dos sistemas operacionais e de aplicativos e a política para uso de dispositivos deve considerar questões como inventário dos dispositivos, restrições quanto à instalação de softwares, requisitos para as versões dos softwares e aplicações de patches, técnicas criptográficas, proteção contra códigos maliciosos, backups e uso dos serviços web e aplicações web.
O tratamento de dados pessoais por colaboradores em regime de home office pode ensejar em riscos de infração a regras quanto à proteção de dados de titulares, nomeadamente em razão de uma possível diminuição do controle, por parte do empregador, em relação à manipulação e tratamento desses dados pessoais.
Nesse sentido, recomenda-se a atualização (ou elaboração) de políticas internas da empresa quanto à proteção de dados de clientes e colaboradores para abarcar referido tratamento de dados realizado fora do estabelecimento da empresa.
Por fim, os colaboradores devem ter informações sobre regras de segurança e privacidade. Muitas vezes o vazamento de dados ou a infração à legislação advém do desconhecimento do colaborador em relação às melhores práticas e às atividades de risco.
*Natália Brotto é advogada com atuação nas áreas de direito cível, empresarial e contratual. Mestranda em Direito dos Negócios pela Escola de Direito de São Paulo da Fundação Getúlio Vargas – FGV. Certificada pela Exin em Privacy e Data Protection Foundation.
*Sérgio Santos é graduado em Análise e Desenvolvimento de Sistemas. MBA em Gestão e Compliance em TI, Instrutor CISCO CCNA, Certificação ITIL, Certificação ISO 27001, Certificação LGPD, Certificação GDPR.