*Por Paulo Oliveira
Nos últimos anos, o setor de Recursos Humanos tornou-se parte integrante da gestão de riscos cibernéticos organizacionais. Juntamente com as tecnologias de segurança da informação, o RH é cada vez mais acionado para ajudar a determinar e fazer cumprir as permissões de dados dos funcionários, treinar e aplicar políticas e procedimentos de segurança cibernética e auxiliar na resposta a eventos cibernéticos envolvendo funcionários.
O maior envolvimento do setor se deve a uma convergência de fatores, incluindo: um ambiente regulatório mais ativo, o uso generalizado de tecnologia e dispositivos no trabalho dos colaboradores e o reconhecimento da importância de uma forte cultura organizacional de segurança cibernética.
Os dados dos funcionários e as práticas de segurança são determinantes críticas de segurança cibernética geral de uma organização. Cerca de 62% dos executivos dizem que a maior ameaça à segurança cibernética em sua organização é a falha dos profissionais em cumprir as regras de segurança de dados, não hackers ou fornecedores. É o que indica o Estudo Global de Tendências de Talentos da Mercer de 2021.
No entanto, o RH não costuma ser o principal proprietário ou condutor do gerenciamento de riscos cibernéticos. De acordo com um estudo da Marsh em conjunto com a Microsoft, cerca de 88% das empresas continuam delegando o risco cibernético primeiramente para a área de TI, em segundo lugar para o jurídico e terceiro lugar para o financeiro – o que pode ser considerado um erro. Uma forte aliança entre o setor de TI e RH poderia gerenciar o risco de dados e tecnologia de forma mais ampla, especialmente em um ambiente de trabalho remoto.
Cultura de cibersegurança
O RH costuma ser o primeiro e último ponto de contato para os funcionários e, portanto, desempenha um papel importante na criação e manutenção de uma cultura robusta de segurança cibernética.
Embora o setor de TI crie sessões de treinamento em cibersegurança, o envolvimento do RH aumentou à medida que a importância desse treinamento para os colaboradores se tornou mais bem compreendida.
O treinamento deve incluir orientação para reconhecer e lidar com cenários comuns, como phishing e segurança de senhas. Também deve incluir como lidar com a transformação digital da organização e a implementação de novas tecnologias, bem como as práticas recomendadas para o acesso remoto, resposta e recuperação de incidentes e uso de dispositivos móveis.
Uma cultura robusta de segurança cibernética começa no topo da organização e envolve comunicação e treinamentos contínuos para colaboradores em todas as funções.
Conformidade regulatória
Diversos países estão implementando ou já implementaram regulamentos de privacidade que definem diretrizes rígidas sobre como as organizações coletam e usam os dados do consumidor. Isso inclui a Lei Geral de Proteção de Dados (LGPD), lei brasileira promulgada para proteger os direitos fundamentais de liberdade e de privacidade de cada pessoa.
O não cumprimento desses regulamentos acarretam pesadas multas, penalidades e o potencial de ações judiciais – não apenas por violação de dados, mas também por manuseio incorreto de informações de consumidores.
O RH tradicionalmente conduz treinamentos sobre proteção de dados confidenciais e uso seguro de dispositivos de tecnologias como parte do processo de integração. No entanto, agora o setor também é encarregado de conduzir o treinamento de regulamentação de privacidade, em conjunto com o TI, para funcionários e terceirizados que se envolvem com informações da organização.
A responsabilidade interna por erros e más ações geralmente é de competência dos setores de TI, Compliance e investigadores terceirizados. Mas, devido ao seu papel no gerenciamento da conformidade dos funcionários com as políticas organizacionais, o RH está mais bem posicionado para fornecer orientação sobre as ações punitivas ou corretivas apropriadas para má conduta ou erros no tratamento de dados.
Por isso, é importante que o RH e o TI estejam alinhados na criação e implementação de um plano robusto de resposta a incidentes de dados, principalmente para lidar com evento envolvendo funcionários.
Divulgação de dados
O RH também tem um papel importante a desempenhar para ajudar a gerenciar divulgações e violações de dados. Sejam acidentais ou maliciosos, tais eventos podem resultar em danos financeiros significativos, ações legais, danos à reputação e perda da confiança do consumidor.
No caso de divulgação acidental ou ex-funcionário solicitando a exclusão de suas informações, as melhores práticas exigem que o plano de resposta a incidentes defina qual departamento enviaria a notificação de violação ou exclusão, qual responderia e qual seria a resposta apropriada. O RH geralmente é o primeiro a receber tal solicitação de um ex-funcionário e sua comunicação e direção com outras funções são essenciais para lidar com isso de maneira adequada.
Em um mundo cada vez mais conectado, é comum que crimes cibernéticos se tornem eminentes. Por isso, é extremamente importante garantir que a empresa conte com uma equipe de RH e TI que atuem em conformidade para assegurar a proteção dos dados e evite possíveis vazamentos.
*Paulo Oliveira, gerente de marketing da Apdata
Aviso: A opinião apresentada neste artigo é de responsabilidade de seu autor e não da ABES – Associação Brasileira das Empresas de Software