Política de segurança BYOD: principais riscos, prós e contras e melhores práticas
Bring Your Own Device (BYOD) é uma política empresarial que permite aos colaboradores utilizar os seus dispositivos pessoais para fins de trabalho....
Embora proteger os seus dados de ciberataques externos e formar os colaboradores sobre ameaças internas seja essencial, e se uma ameaça interna se transformar numa externa? O risco colocado pelos colaboradores que saem é frequentemente descurado, mas pode ser significativo e prejudicial para a segurança de dados de uma empresa.
Neste artigo, daremos orientação sobre como proteger os seus dados sensíveis e confidenciais quando um colaborador sai da empresa. O que deve considerar no processo de offboarding de colaboradores?
Os riscos dos colaboradores que saem
Por mais que queira acreditar que os seus colaboradores só desejam o melhor para a sua empresa, precisa de manter um nível saudável de dúvida para o bem último de todos. Se não proteger os dados da empresa dos malfeitores, mesmo os bons sairão prejudicados.
Não é dizer que os colaboradores que saem se transformam magicamente em pessoas más de um dia para o outro; a ameaça interna é algo a ter em conta mesmo em situações em que ninguém está a ser dispensado. A perda de dados pode resultar de ações maliciosas ou não intencionais. Por exemplo:
- Os colaboradores têm frequentemente acesso a informação sensível, como dados de clientes ou segredos comerciais, que pode ser utilizada indevidamente ou divulgada.
- Um ex-colaborador pode partilhar informação confidencial com o seu novo empregador, dando-lhe acesso a informação valiosa ou fazendo-o perder a sua vantagem competitiva.
- Se um colaborador sai em más condições, pode intencionalmente causar danos à empresa eliminando ou modificando dados, ou mesmo utilizando-os para benefício pessoal.
- Colaboradores bem-intencionados podem deixar acidentalmente informação sensível nos seus dispositivos, como portáteis ou smartphones, que pode depois ser acedida por pessoas não autorizadas.
Para evitar que tais coisas aconteçam à sua empresa, é necessário ter um processo de offboarding de colaboradores implementado. Como diz o ditado: "Quem não se prepara, prepara-se para falhar".
Com políticas claras de offboarding, não será apanhado de surpresa quando um colaborador sair, e poderá proteger os dados sensíveis da sua empresa seguindo um processo passo a passo baseado num checklist de offboarding.
Desenvolver um plano de offboarding
Quer que as saídas dos colaboradores sejam fluidas e, num mundo perfeito, sem qualquer negatividade. Os processos de RH por trás disto são uma coisa, e os aspetos técnicos da saída de um colaborador são outra. Cada passo relativo à proteção dos dados da empresa aquando da saída de um colaborador deve estar previsto num plano de offboarding.
Desta forma, em caso de cessação do contrato, conseguirá pegar no plano de offboarding e seguir o seu checklist sem deixar nada ao acaso ou à imaginação.
O plano de offboarding da sua empresa deve cobrir estas áreas principais:
- Comunicação: Assim que informa o colaborador da cessação, ou vice-versa, é boa prática deixá-lo saber o que esperar nos dias seguintes. Esta é também a oportunidade perfeita para o lembrar do acordo de confidencialidade que assinou quando se juntou à empresa.
- Acessos e dispositivos: Revogue o acesso do colaborador a quaisquer redes da empresa, e-mail, bases de dados e qualquer software que a empresa utilize. Faça o mesmo para quaisquer sistemas de terceiros que utilize, como serviços cloud ou contas de redes sociais. Tenha um processo definido para recolher do colaborador todos os dispositivos da empresa.
- Entrevista de saída: Como passo final do processo de offboarding, conduza uma entrevista para obter feedback do colaborador e aproveite a oportunidade para o lembrar das suas obrigações de confidencialidade e outros requisitos legais.
Não se trata apenas de preparar uma transição fluida quando um colaborador sai amigavelmente, mas também de antecipar potenciais riscos que poderiam pôr o seu negócio em risco. Um plano eficaz de offboarding é como uma rede de segurança que evita que os dados sensíveis da sua empresa caiam nas mãos erradas em todas as situações potenciais.
Há cenários que exigem cuidadosa consideração no seu checklist de offboarding. Sejam quais forem as circunstâncias, é necessário cobrir todas as bases para garantir uma transferência segura de dados e equipamentos.
Talvez seja necessário cessar o contrato de um colaborador, ou de um grupo de colaboradores, e estar à espera de uma investigação ou ação legal. Ou está a lidar com um trabalhador remoto e/ou a implementar uma política de bring-your-own-device (BYOD).
É crucial adaptar o seu plano de offboarding para responder aos desafios únicos de cada situação que possa ocorrer na sua organização específica.
Criar um checklist de offboarding
Uma parte prática de um plano de offboarding é um "checklist de offboarding" — uma ferramenta usada para garantir que nada é descurado durante o processo de offboarding de colaboradores. Isto assegura que todas as tarefas necessárias são concluídas, não deixando margem para falhas que possam comprometer a informação sensível da empresa ou resultar em perda de dados.
O checklist de offboarding ajudará o colaborador que sai a concluir o seu trabalho e a completar todas as tarefas administrativas associadas à saída da empresa.
Eis exemplos do que um checklist de offboarding de colaboradores deve incluir:
- Lembre-os da confidencialidade: Lembre o colaborador das suas obrigações de confidencialidade e garanta que não leva consigo qualquer informação confidencial nem a partilha com ninguém.
- Recupere os ativos da empresa: O colaborador devolve todo o hardware, incluindo telemóveis, portáteis, chaves de acesso, tokens e quaisquer outros dispositivos da empresa. Se permite que os colaboradores comprem os seus telemóveis ou portáteis à empresa no momento da saída, certifique-se de que o hardware é apagado de quaisquer dados ou informações de acesso.
- Revogue acessos a sistemas: Garanta que o colaborador não terá acesso a quaisquer redes da empresa, e-mails, serviços cloud ou contas de redes sociais após a sua saída. Transferir o acesso a outro colaborador, quando necessário, também faz parte deste passo do checklist de offboarding.
- Reponha as palavras-passe: Esta é a continuação do ponto anterior: todas as palavras-passe associadas às contas do colaborador que sai devem ser alteradas.
- Recolha a informação do colaborador: É importante ter à mão toda a informação do colaborador que sai caso surjam formalidades após a sua saída.
- Realize uma entrevista de saída: Uma entrevista de saída pode ajudar a empresa a identificar potenciais riscos de segurança colocados pelo colaborador que sai. É também o momento para lembrar e detalhar as obrigações do colaborador relativamente a dados sensíveis, segredos comerciais e outras informações a que teve acesso. Por último, é uma boa oportunidade para as empresas recolherem feedback de modo a identificar áreas em que as suas políticas de proteção de dados possam estar em falta ou onde possam ser melhoradas.
Há outras áreas que vai querer abordar no seu checklist de offboarding, da comunicação interna, salários e obrigações contratuais à transferência de conhecimento e à atualização das bases de dados da empresa, para nomear apenas algumas. Não nos vamos aprofundar nesses tópicos aqui, mas são parte crucial do processo de offboarding e não devem ser esquecidos ao criar um checklist de offboarding.
Implementar políticas de offboarding
Políticas que descrevem expectativas para os colaboradores que saem podem ajudar a mitigar riscos potenciais associados a violações de dados, roubo de propriedade intelectual ou outras preocupações de segurança. Mas não é apenas a empresa que está a ser protegida por uma política de offboarding — o colaborador que sai também beneficia dela.
Uma política de offboarding bem estruturada pode fazer toda a diferença na experiência do colaborador, garantindo que não se sente sobrecarregado por uma saída desorganizada ou desrespeitosa. E não só isto promove uma cultura positiva para os seus colaboradores que saem, como também contribui para a reputação da sua empresa, demonstrando o seu compromisso em tratar todos os colaboradores com dignidade e respeito, independentemente do papel, antiguidade ou circunstâncias da saída.
Políticas bem documentadas também ajudam as empresas a cumprir leis e regulamentos relevantes sobre proteção de dados. Como tal, são parte importante de qualquer sistema de prevenção da perda de dados de uma empresa.
Ao definir o seu processo de offboarding, integre-o no sistema de gestão da segurança da informação da sua empresa; pode consultar a ISO 27001 para orientação.
O valor de um eficaz processo de offboarding de colaboradores
Um sólido plano de offboarding pode ajudar a proteger a sua empresa de muitos riscos potenciais, tais como:
Responsabilidade legal: Se um ex-colaborador retirar dados sensíveis ou confidenciais da empresa, esta pode ser responsabilizada por quaisquer danos causados pela divulgação desses dados, incluindo perdas de receita, custas judiciais e coimas.
Custos de violação: Se os dados forem efetivamente roubados ou levados pelo colaborador que sai e a empresa sofrer uma violação de dados em consequência disso, os custos para a empresa podem disparar muito rapidamente. As empresas podem também enfrentar custos adicionais associados à notificação da violação, à recuperação de dados e ao restauro de sistemas.
Danos reputacionais: Qualquer incidente de perda de dados danificará a reputação de uma empresa, resultando em perda de confiança dos clientes e, em última análise, de negócio e receita.
Perda de propriedade intelectual: Quando os colaboradores saem de uma empresa, podem levar consigo informação confidencial ou segredos comerciais, que podem potencialmente ser partilhados com o seu novo empregador. Para evitar a perda de propriedade intelectual, é crucial gerir esta matéria através do uso de acordos de confidencialidade (NDAs).
Conformidade regulamentar: A sua empresa pode estar sujeita a vários requisitos regulamentares, como a HIPAA, o GDPR ou a CCPA. O incumprimento destas regulamentações pode resultar em coimas significativas e sanções legais.
Não vai querer deixar pontas soltas quando o seu colaborador estiver a transitar para fora da empresa. Ao criar um sólido processo de offboarding, pode minimizar o risco de perda ou roubo de dados, proteger os interesses da sua empresa e evitar correrias de última hora que podem pôr em risco a segurança de dados e a reputação da sua empresa.